配置 Active Directory 的 Control Room:自动模式
- Updated: 2025/06/24
通过允许 Control Room 发现和列出组织中的域和站点,将 Control Room 配置为使用 Active Directory 对用户进行身份验证。
注:
Active Directory 集成是不可逆的,建立后无法修改配置。
um-properties 文件是在 Control Room 中使用的配置文件。 它在定义与用户管理和 LDAP 配置相关的各种属性和设置方面发挥着重要作用。 请查看下表,了解 um-properties 文件中的可配置条目:
条目 | 描述 |
---|---|
um.ad.max.gc.url.per.forest=10 | 要收集的每个林的 GC URL 数量,默认为 10 |
um.ad.max.kdc.per.domain=3 | 每个域允许的 KDC 服务器数量,默认为 3 |
um.ad.max.retry.count=2 | 请求将重试 x 次,默认为 2 次 |
um.ad.retry.delay.milliseconds=500 | 请求将在 x 毫秒后重试,默认为 500 毫秒 |
um.ad.retry.max.delay.milliseconds=5000 | 请求将在不超过 x 毫秒后重试,默认为 5000 毫秒 |
um.ad.krb5.cr.retries=1 | 如果身份验证失败,这将强制 CR 重新向 AD 进行身份验证;默认值为 1,在这种情况下可调整为 2 或 3 |
um.ldap.connect.timeout.milliseconds=2000 | 连接超时,默认为 2000 毫秒 |
um.ldap.kdcs=\'\' | 如果在条目中定义了各种密钥分发中心 (KDC),它将覆盖自动发现流程找到的密钥分发中心。 这为客户创建了一个安全网,使其有能力覆盖任何 KDC。 定义此条目时,必须在此处定义所有具有相应 KDC 的域。 默认为空 例如,如果 AD 环境共有 3 个域:domain1.com、domain2.com 和 domain3.com,则条目将如下所示:
|
um.ldap.read.timeout.milliseconds=10000 | 读取超时,默认为 10000 毫秒 |
um.ad.total.db.user.per.retrieval=1000 | 这用于用户角色批量同步,每次检索从数据库加载 x 个用户。 |
um.ldap.groupmapping.domain.filter=\'\' | 如果未定义此行,则默认为用户组。 |
um.ldap.groupmapping.sync.on.get.mappings=false | 默认值为 false,因此在 UI 上显示映射列表时不会验证映射列表。 将其设置为 true;会与之前的行为相反,每当进行获取映射调用时都会验证映射列表,这可能会降低性能。 |
要在首次启动 Control Room 时对其进行配置,请执行以下步骤:
过程
后续步骤
在配置 Control Room 之后,安装产品许可证。