本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 活动目录同步
## 运行时配置
在安装过程中,所有与活动目录 (AD) 相关的 AWS CloudFormation 参数都是可选的。
![\[活动目录可选细节\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/active-directory-details.png)
对于运行时提供的任何密钥 ARN(例如,`ServiceAccountCredentialsSecretArn`或`DomainTLSCertificateSecretArn`),请务必在密钥中添加以下标签,以便 RES 获得读取密钥值的权限:
+ 键:`res:EnvironmentName`,值:``
+ 键:`res:ModuleName`,值:`directoryservice`
门户网站中的任何 AD 配置更新都将在下一次预定广告同步(每小时)期间自动获取。用户在更改 AD 配置后可能需要重新配置 SSO(例如,如果他们切换到其他 AD)。
初始安装后,管理员可以在**身份管理**页面下的 RES Web 门户中查看或编辑 AD 配置:
![\[活动目录域配置设置详细信息\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-active-directory-domain.png)
![\[活动目录同步弹出窗口\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/active-directory-synchronization.png)
### 自动加入活动目录
管理员可以配置 “**自动加入 Active** Directory” 设置,以控制 VDI 启动期间的目录域加入行为。
**配置选项:**
+ **已启用**-在启动期间自动将 Windows 和 Linux VDIs 加入你的目录域。
+ **已禁用**-关闭自动加入域名。无论是否加入域,Linux 实例都可以启动。Windows 实例需要加入域才能成功启动,因此管理员必须在其自定义启动脚本中包含域加入逻辑。
**重要**
如果您禁用此设置,请验证您的 Windows 实例自定义启动脚本是否包含必要的域加入逻辑。
### 其他设置
**筛选条件**
管理员可以使用 “用户筛选器” 和 “群组筛选器” 选项**筛选要同步的用户****或群组**。筛选器必须遵循 [LDAP 筛选器语法](https://ldap.com/ldap-filters/)。过滤器示例如下:
```
(sAMAccountname=)
```
**自定义 SSSD 参数**
管理员可以提供包含 SSSD 参数和值的键值对字典,以写入集群实例上的 SSSD 配置文件`[domain_type/DOMAIN_NAME]`部分。RES 会自动应用 SSSD 更新,它会在集群实例上重新启动 SSSD 服务并触发 AD 同步过程。
一些常见的自定义 SSSD 设置有:
+ `enumerate`-设置为 “true” 以缓存目录服务中的所有用户和组条目。禁用此功能可能会缩短用户首次登录的延迟。
+ `ldap_id_mapping`-设置为 “true” 以将 LDAP/AD 用户和组映射 IDs 到本地 UIDs 和 Linux 系统 GIDs 上。启用此功能可以提高与现有 POSIX 脚本和应用程序的兼容性。
有关 SSSD 配置文件的完整描述,请参阅 Linux 手册页。`SSSD`
![\[其他 SSSD 配置\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-additional-sssd-config1.png)
SSSD 参数和值必须与 RES SSSD 配置兼容,如下所述:
+ `id_provider`由 RES 内部设置,不得修改。
+ AD 相关配置(包括`ldap_uri``ldap_search_base`、`ldap_default_bind_dn`和)`ldap_default_authtok`是根据提供的其他 AD 配置设置的,不得修改。
以下示例启用 SSSD 日志的调试级别:
![\[显示输入的新密钥和值对的其他 SSSD 配置\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-additional-sssd-config2.png)
## 初始广告同步后的电子邮件更新(版本 2025.09 及更高版本)
如果 Active Directory 用户的电子邮件地址已更改,管理员可以手动启动 AD 同步,或者等待下一次预定的 AD 同步,以获取更改并将其同步到 RES。
## 如何手动启动或停止同步(版本 2025.03 及更高版本)
导航到**身份管理**页面,然后在 A **ctive Directory 域**容器中选择 “**启动 AD 同步**” 按钮,按需触发 AD 同步。
![\[活动目录域配置\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-ad-directory-sync1.png)
要停止正在进行的 AD 同步,请在 Ac **tive Directory 域**容器中选择 “**停止 AD 同步**” 按钮。
![\[显示停止同步选项的 Active Directory 域配置页面\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-ad-directory-sync2.png)
您还可以在 Act **ive Directory 域**容器中查看 AD 同步状态和最新同步时间。
![\[显示最新同步时间的活动目录域配置页面\]](http://docs.aws.amazon.com/zh_cn/res/latest/ug/images/res-ad-directory-sync3.png)
## 如何手动运行同步(版本 2024.12 和 2024.12.01)
Active Directory 同步过程已从集群管理器基础设施主机转移到后台的一次性亚马逊弹性容器服务 (ECS) 任务。该过程计划每小时运行一次,您可以在`-ad-sync-cluster`集群下的 Amazon ECS 控制台中找到正在运行的 ECS 任务。
**要手动启动它,请执行以下操作:**
1. 导航到 [Lambda 控制台](https://console.aws.amazon.com/lambda)并搜索名为的 lambda。`-scheduled-ad-sync`
1. **打开 Lambda 函数并转到测试**
1. 在**事件 JSON** 中输入以下内容:
```
{
"detail-type": "Scheduled Event"
}
```
1. 选择**测试**。
1. 在 → 日志**组 **CloudWatch**→ 下查看正在运行的 AD Sync 任务的日志**`//ad-sync`。您将看到每个正在运行的 ECS 任务的日志。选择最新的,查看日志。
**注意**
如果您更改 AD 参数或添加 AD 过滤器,RES 将根据新指定的参数添加新用户,并删除之前已同步但不再包含在 LDAP 搜索空间中的用户。
RES 无法移除主动分配给项目的用户或群组。要让 RES 将用户从环境中移除,必须将其从项目中移除。
## SSO 配置
提供 AD 配置后,用户必须设置单点登录 (SSO),才能以 AD 用户身份登录 RES Web 门户。SSO 配置已从 **“常规设置”** 页面移至新的**身份管理**页面。有关设置 SSO 的更多信息,请参阅[身份管理](manage-users.md)。