1. 业务场景

假设现在公司使用了20个系统，每个用户需要在20个系统均注册一个账号密码才能登录，如果使用AD域来保存用户的账号信息，所有系统通过AD域账号进行登录，那么用户只需要在AD域服务器添加一个账号密码，即可登录这20个系统。

2.适用版本

金蝶云苍穹 V4.0.006

3.功能介绍

苍穹的的AD域功能是基于LDAP协议实现的，同时支持SSL协议。在系统启用了AD域，配置好系统参数后，就可以输入AD域服务器或者计算机域账号密码来登录苍穹系统。

那么LDAP是什么意思？以下是从网络中搬运过来的对LDAP的解释：

• 首先LDAP是一种通讯协议，LDAP支持TCP/IP。协议就是标准，并且是抽象的。在这套标准下，AD（Active Directory）是微软出的一套实现。那AD是什么呢？暂且把它理解成是个数据库。也有很多人直接把LDAP说成数据库(可以把LDAP理解成存储数据的数据库)。像是其他数据库一样，LDAP也是有client端和server端。server端是用来存放资源，client端用来操作增删改查等操作。

• 而我们通常说的LDAP是指运行这个数据库的服务器。

• 可以简单理解AD =LDAP服务器＋LDAP应用。

      那LDAP这种数据库有什么特殊的呢？

• 我们知道，像MySQL数据库，数据都是按记录一条条记录存在表中。而LDAP数据库，是树结构的，数据存储在叶子节点上。看看下面的比喻：

      假设你要树上的一个苹果（一条记录），你怎么告诉园丁它的位置呢？当然首先要说明是哪一棵树（dc，相当于MYSQL的DB），然后是从树根到那个苹果所经过的所有“分叉”（ou），最后就是这个苹果的名字（uid，相当于MySQL表主键id）。好了！这时我们可以清晰的指明这个苹果的位置了，就是那棵“歪脖树”的东边那个分叉上的靠西边那个分叉的再靠北边的分叉上的半红半绿的……，晕了！你直接爬上去吧！

就这样就可以描述清楚“树结构”上的一条记录了。说一下LDAP里如何定义一个记录的位置吧。

好了，redApple的位置出来了：dn:cn=honglv,ou=bei,ou=xi,ou=dong,dc=ljheee其中dn标识一条记录，描述了一条数据的详细路径。咦!有人疑问，为什么ou会有多个值？你想想，从树根到达苹果的位置，可能要经过好几个树杈，所有ou可能有多个值。关于dn后面一长串，分别是cn，ou,dc；中间用逗号隔开。

3.1 采用计算机本身域配置步骤

路径：【系统服务云】-【基础服务】-【系统参数】

将“启用AD域”开关打开，填写好正确的AD域URL、域名两个参数之后，即可启用AD域验证登录。

3.2 采用自有AD域服务器配置步骤

路径：【系统服务云】-【基础服务】-【系统参数】

3.3 参数说明

AD域URL：ldap://172.18.2.123:389（AD域服务器地址）

域名：my-domain（创建服务器时设置的）

DN前缀：cn（ldif文件中配置）,在MC对应的配置参数ldap_search_prefix

DN模式（ou层级）：

目前支持多种DN模式，不同的DN模式使用;隔开，在MC对应的配置参数ldap_search_dn

是否区分职员：

”是否区分职员“开启时，苍穹系统中的非职员用户可使用苍穹账号登录

3.4 升级处理

历史版本：参数“DN前缀”和“DN模式”在上一版本中需要在MC中配置。

新版兼容历史版本配置。

优先使用苍穹系统参数“DN前缀”和“DN模式”，若无，则检查MC中是否配置了参数项ldap_search_prefix和参数项ldap_search_dn。

3.5 启用AD域后登录苍穹

开启AD域后，登录界面，光标在数据中心上悬停时，会出现域标识。

3.6  可能会遇到的问题

苍穹系统管理员administrator账号密码不受AD域控制。

当启用了AD域登录，配置错误导致普通用户无法登录系统时，可以通过administrator账户登录后修改。