1、AC3.3数据库认证说明及配置示例一、数据库认证简介:.1二、数据库认证必要条件:.1三、配置示例:.1配置前准备:.1配置数据库认证单点登录(同步在线用户): 3配置用户自动同步(同步组织结构): 4三、其他注意事项:.7一、数据库认证简介:AC3.3数据库认证,是指在客户已有一套数据库系统存储用户、认证信息的前提下,AC3.3在界面上配置SQL查询语句,去主动查询数据库系统中的用户列表和已认证用户,并同步到AC的组织结构和在线用户列表中,从而实现用户通过数据库认证时,即通过AC的用户认证,同样的,用户从数据库认证系统中注销,也自动完成了在AC上的注销。(即单点登录/注销)目前支持的数据库类
2、型有oracle,ms sql server,db2和mysql几种。二、数据库认证必要条件:要判断客户处是否可以采用数据库认证方式,可以参考以下几个条件:1. 用户有一套用来管理用户信息的数据库系统,如oracle,ms sql server,db2和mysql。2. 能用一条select语句从数据库中查询出在线用户,且提取的结果集中包含“用户名”和“ip地址”两列。3. 如果需要做用户和组织结构同步,能用一条select语句从数据库中查询出所有用户,并能查询出用户所属组(如果不需要同步组,则也可以不需要查询出用户所属组)。4. 需要客户提供一个数据库中的账户,能够对上述数据表表或者视图有s
3、elect权限。5. AC能够和该服务器正常通讯(由AC主动连接数据库服务器相应端口来触发同步,可不要求用户到数据库服务器的认证数据一定经过AC)。三、配置示例:配置前准备:配置之前先参考上述“必要条件”章节,从客户处获取一些信息,如数据库类型、数据库服务器编码、数据表结构、关键的列名等,并要求客户提供一个数据库账户。这些信息一般客户自己对数据库比较了解,能够直接提供,如果需要我们自己查找,则可以参考以下示例。本章模拟了一个客户环境,假设客户数据库服务器ip地址193.168.1.124,数据库类型是MSSQL,管理用户信息的数据库名为lmjtest,了解到客户的在线用户信息存储在表onlie
4、user中,而组织结构信息存储在表ou中,两个表的结构如下:存储在线用户信息的Onlieuser表结构:存储组织结构信息的Ou表结构:获取数据库账户,本例中直接使用sa账户,实际上只需要对数据表有查询权限的用户即可。(若为MS SQL需要启用混合身份认证)获取数据库编码,不同数据库类型获取数据库编码的方式不一样,如mysql可以通过输入status命令,来获取数据库编码类型。配置数据库认证单点登录(同步在线用户):一、 定义一个外部认证服务器,“用户与策略管理”“用户认证”“外部认证服务器”,新增一个数据库类型的外部认证服务器并配置,特别注意“数据库编码”的配置要和客户数据库使用的编码一致,“
5、超时时间”可能需要根据用户数大小酌情调整,默认是60s,如下:二、启用数据库认证单点登录,菜单在“认证选项”-“数据库服务器”-勾选“启用数据库认证单点登录”,选择刚才定义的外部认证服务器lmjtest ,定义查询语句如下:点击“测试有效性“可以看到sql语句执行结果,点击“提交“完成配置,此时AC会立即自动同步一次在线用户列表,数据库单点登录配置到此步已经完成,此时查看到在线用户列表,用户lmj已经在AC在线用户列表中,认证方式为单点登录:注意:1. AC只支持同步在线用户的用户名和ip地址两列,并且在提取后的结果集中,第一列是用户名,第二列是ip,如上图sql语句若为select ip,u
6、sername form onlieuser,这样测试有效性是成功的,但是同步在线用户列表不成功。2. AC从数据库中获取的在线用户列表上限是20w,若用户数超过20w,即使在sql语句后未加上limit 200000,则AC也只同步前 20w个结果到在线用户列表中。3. “获取已认证用户列表的时间间隔”建议值是30s,如果间隔时间太小则影响AC性能,间隔时间太大了影响用户体验。(如用户已经通过客户数据库系统的认证了,但是AC尚未同步过来,则根据用户认证策略的不同设置,可能会弹认证框或者成为临时用户。)配置用户自动同步(同步组织结构):三、如要同步组织结构,则在“用户自动同步”-新增一个“数据
7、库同步”,填写可以获取用户的sql语句和组路径分隔符,组路径分隔符是指客户的数据表中如果有多个组,是以什么符号来分隔组和子组,如上述示例是以短横线分隔的:点击“测试有效性“,可以列出可以获取的信息:这里会列出sql执行耗时时间,此时间可以作为定义外部认证服务器的超时时间的参考(超时时间一般建议比这个值稍微大一点,比如大10s),同步过来之后,看到的组织结构信息如下:上述是一个客户的组织结构和在线用户分别由两个表存储的情况,如果两者信息在同一个表中,只要有select语句可以查询出来就是支持的,例:客户的ou表结构如下,有一个logon字段来标识用户是否在线,若logon=0则在线,则就不需要再
8、提供onlieuser表,就可以实现提取在线用户的功能,如下图:此种情况,用户认证处sql语句可以如下填写:三、其他注意事项:1. 此文档只列举了数据库单点登录部分的配置,其他的配置同其他认证方式,如认证策略还是需要按客户需求配置的。2. 可以只同步在线用户,不同步组织结构,若用户没在组织结构则走新用户认证流程,但是只能加到指定组,不能体现组织结构。若后续再配置了同步,只要用户属性没有变更为自建用户,则还是可以同步到对应结构的。3. 在线用户列表只支持同步“用户名”和“ip”地址两列,若用户有更多的属性,如标识用户是否禁用等,目前是不支持同步的。默认同步过来的用户是启用和永不过期的。4. 用户从AC上注销的过程和登录的过程类似,当select语句返回的结果中,没有该用户时,则AC将该用户从在线用户列表中移除,这个过程对用户来说是透明的,就不详述。5. 数据库认证相关其他配置按字面意思可以理解的,不一一说明,后续可以参考用户手册。6. 此种实现方式是AC定时从数据库服务器获取在线用户,而并非数据库服务器每认证一个用户AC能实时感知,所以AC认证会存在一点延迟。
