本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
活动目录同步
运行时配置
在安装过程中,所有与活动目录 (AD) 相关的 CFN 参数都是可选的。
对于运行时提供的任何密钥 ARN(例如,ServiceAccountCredentialsSecretArn或DomainTLSCertificateSecretArn),请务必在密钥中添加以下标签,以便 RES 获得读取密钥值的权限:
键:
res:EnvironmentName,值:<your RES environment name>键:
res:ModuleName,值:directoryservice
门户网站中的任何 AD 配置更新都将在下一次预定广告同步(每小时)期间自动获取。用户在更改 AD 配置后可能需要重新配置 SSO(例如,如果他们切换到其他 AD)。
初始安装后,管理员可以在身份管理页面下的 RES Web 门户中查看或编辑 AD 配置:
其他设置
筛选条件
管理员可以使用 “用户筛选器” 和 “群组筛选器” 选项筛选要同步的用户或群组。筛选器必须遵循 LDAP 筛选器语法
(sAMAccountname=<user>)
自定义 SSSD 参数
管理员可以提供包含 SSSD 参数和值的键值对字典,以写入集群实例上的 SSSD 配置文件[domain_type/DOMAIN_NAME]部分。RES 会自动应用 SSSD 更新,它会在集群实例上重新启动 SSSD 服务并触发 AD 同步过程。有关 SSSD 配置文件的完整描述,请参阅 Linux 手册页。SSSD
SSSD 参数和值必须与 RES SSSD 配置兼容,如下所述:
-
id_provider由 RES 内部设置,不得修改。 -
AD 相关配置(包括
ldap_urildap_search_base、ldap_default_bind_dn和)ldap_default_authtok是根据提供的其他 AD 配置设置的,不得修改。
以下示例启用 SSSD 日志的调试级别:
如何手动启动或停止同步(版本 2025.03 及更高版本)
导航到身份管理页面,然后在 A ctive Directory 域容器中选择 “启动 AD 同步” 按钮,按需触发 AD 同步。
要停止正在进行的 AD 同步,请在 Ac tive Directory 域容器中选择 “停止 AD 同步” 按钮。
您还可以在 Act ive Directory 域容器中查看 AD 同步状态和最新同步时间。
如何手动运行同步(版本 2024.12 和 2024.12.01)
Active Directory 同步过程已从集群管理器基础设施主机转移到幕后的一次性亚马逊弹性容器服务 (ECS) 任务。该过程计划每小时运行一次,您可以在<res-environment-name>-ad-sync-cluster
要手动启动它,请执行以下操作:
-
导航到 Lambda 控制台
并搜索名为的 lambda。 <res-environment>-scheduled-ad-sync -
打开 Lambda 函数并转到测试
-
在事件 JSON 中输入以下内容:
{ "detail-type": "Scheduled Event" } -
选择测试。
-
在 → 日志组 CloudWatch→ 下查看正在运行的 AD Sync 任务的日志
<environment-name>/ad-sync
注意
-
如果您更改 AD 参数或添加 AD 过滤器,RES 将根据新指定的参数添加新用户,并删除之前已同步但不再包含在 LDAP 搜索空间中的用户。
-
RES 无法移除 user/group 已主动分配给项目的。要让 RES 将用户从环境中移除,必须将其从项目中移除。
SSO 配置
提供 AD 配置后,用户必须设置单点登录 (SSO),才能以 AD 用户身份登录 RES 门户。SSO 配置已从 “常规设置” 页面移至新的身份管理页面。有关设置 SSO 的更多信息,请参阅身份管理。
