背景
在企业级部署中,使用 Microsoft Active Directory (AD) 组来管理用户权限是最佳实践。对于 RocketSoftware Exceed TurboX (ETX) 来说,将特定的会话配置(Profile)授权(Distribute)给特定的 AD 组,可以显著简化大规模用户的接入管理。
在 ETX 中,这一过程遵循以下逻辑: AD Group $\rightarrow$ (映射) $\rightarrow$ ETX User Group $\leftarrow$ (授权) $\leftarrow$ ETX Profile。 通过这种方式,管理员只需管理 AD 组的成员,ETX 的访问权限会自动同步。
前置条件:LDAP 配置检查
在开始映射之前,必须确保 ETX Server 的 LDAP 认证配置允许授权逻辑。
- 登录 Server Manager,进入 Administration > Authentication。
- 检查你的 LDAP 配置。
- 关键设置:确保 “Use LDAP for authentication only” 选项是 未勾选 (Unchecked) 状态。
[!IMPORTANT] 如果勾选了此项,ETX 将仅使用 LDAP 进行登录验证,而忽略 LDAP 组的成员身份,导致授权失效。
核心流程
将 Profile 授权给 AD 组分为两个主要阶段:映射组(Mapping)和分发配置(Distribute)。
阶段一:将 Microsoft AD 组映射到 ETX 用户组
ETX 用户组(User Group)是管理容器,可以包含 LDAP/AD 组作为其成员。
-
登录 Exceed TurboX Server Manager。
-
导航至 Users and Profiles 页面(在旧版本中可能位于
Nodes and Users>Groups)。 - 在 User Groups 面板中,执行以下操作之一:
- 新建组:点击 Add User Group。
- 编辑现有组:在目标组的 Actions 列点击 Properties 图标。
-
在弹出的属性对话框中,定位到 Candidates(候选)区域。
-
在 Candidates 下方的下拉过滤器中选择 LDAP groups。
-
在搜索框内输入 AD 组的名称(支持部分匹配),点击 Search。
-
从搜索结果中选中目标 AD 组,点击 Add (->) 箭头,将其移动到 Assigned(已分配)列表中。
- 点击 OK 保存。
[!TIP] ETX 支持嵌套组(Nested Groups)查询,默认支持最多 3 级嵌套。
阶段二:将 Profile 分发(授权)给该用户组
在 ETX 术语中,“授权”被称为 Distribute(分发)。
- 在 Server Manager 导航栏中,选择 Profiles and Templates(或 Profiles)。
- 在列表中找到你想要授权的 Profile。
- 在 Actions 列中,点击 Distribute 图标
。 - 在弹出的 Distributing profile 对话框中:
- 在下方过滤器中选择 User Groups。
- 搜索并选中你在阶段一配置的 ETX 用户组。
- 点击 Add (->) 将其移动到 Distributed to(分发至)列表。
- 点击 OK 完成。
关键要点
- 实时解析:ETX 不会在本地存储 AD 组成员列表。每次用户登录时,ETX 都会实时向 AD 服务器查询其所属组,以决定显示的 Profile。
- 权限继承:AD 组中的成员将自动继承分发给该 ETX 用户组的所有配置。
- 搜索性能:如果 AD 目录非常庞大,建议在
Authentication设置中使用具体的Group Search Filter以优化搜索速度。
参考资料
- Manual: RocketSoftware Exceed TurboX Administrator Guide — Section: Managing users, groups, profiles and templates
- Online Help: Working with User Groups (Internal)
- Rocket Documentation: Distributing profiles to users or user groups
