การเชื่อมต่อ LDAP/Active Directory กับ VDC

บทนำ

VDC รองรับการเชื่อมต่อกับ External LDAP/Active Directory Server เพื่อให้สามารถจัดการผู้ใช้แบบรวมศูนย์ (Centralized User Management) ได้ ผู้ใช้สามารถใช้ Username และ Password เดียวกันกับที่ใช้ใน Active Directory ในการ Login เข้า VDI โดยไม่ต้องสร้างบัญชีแยกต่างหาก บทความนี้จะอธิบายวิธีการเพิ่ม LDAP/AD Server เข้ามาใน VDC ตั้งค่า Authentication และ Import ผู้ใช้จาก Active Directory

ข้อกำหนดเบื้องต้น

• มีสิทธิ์ Admin เข้าถึง VDC Console
• มีข้อมูล LDAP/AD Server ดังนี้: IP Address, Port, Bind DN, Password, Base DN
• Network ระหว่าง VDC กับ LDAP/AD Server สามารถสื่อสารกันได้ (Port 389 สำหรับ LDAP หรือ Port 636 สำหรับ LDAPS)
• บัญชีสำหรับ Bind ต้องมีสิทธิ์ Read Access ไปยัง OU ที่ต้องการ Import ผู้ใช้

ขั้นตอนการเพิ่ม LDAP/AD Server

ขั้นตอนที่ 1: เข้าสู่หน้า External LDAP/RADIUS

ไปที่ Services > Authentication > External LDAP/RADIUS บน VDC Console แล้วคลิกปุ่ม Add เพื่อเพิ่ม LDAP Server ใหม่

ขั้นตอนที่ 2: กรอกข้อมูล LDAP Server

กรอกข้อมูลต่อไปนี้ในฟอร์ม Add LDAP Server:

• Server Name: ตั้งชื่อสำหรับ LDAP Server นี้ (เช่น Company-AD)
• Server IP: ใส่ IP Address ของ LDAP/AD Server
• Port: ใส่หมายเลข Port
  • 389 - สำหรับ LDAP (ไม่เข้ารหัส)
  • 636 - สำหรับ LDAPS (เข้ารหัสด้วย SSL/TLS แนะนำสำหรับ Production)
• Bind DN: ใส่ Distinguished Name ของบัญชีที่ใช้เชื่อมต่อ เช่น CN=admin,OU=Users,DC=domain,DC=com หรือใช้รูปแบบ UPN เช่น admin@domain.com
• Password: ใส่รหัสผ่านของบัญชี Bind DN
• Base DN: ใส่ Base Distinguished Name ที่ต้องการค้นหาผู้ใช้ เช่น DC=domain,DC=com หากต้องการจำกัดการค้นหาเฉพาะ OU ให้ระบุเป็น OU=Staff,DC=domain,DC=com

ขั้นตอนที่ 3: ทดสอบการเชื่อมต่อ

คลิกปุ่ม Test Connection เพื่อตรวจสอบว่า VDC สามารถเชื่อมต่อกับ LDAP/AD Server ได้สำเร็จ หากแสดง Connection Successful แสดงว่าข้อมูลถูกต้อง

ขั้นตอนที่ 4: บันทึกการตั้งค่า

คลิก Save เพื่อบันทึก LDAP Server

การตั้งค่า Authentication Setting

หลังจากเพิ่ม LDAP Server แล้ว ต้องตั้งค่า Authentication Method ดังนี้:

1. ไปที่ Services > Authentication > Authentication Setting
2. เลือก Primary Authentication Method เป็น LDAP เพื่อให้ผู้ใช้ Login ด้วยบัญชี AD เป็นหลัก
3. สามารถตั้ง Secondary Authentication Method เป็น Local เพื่อให้ผู้ใช้ที่ไม่มีบัญชี AD สามารถ Login ด้วยบัญชี Local ได้
4. คลิก Save เพื่อบันทึก

การ Import ผู้ใช้จาก LDAP

1. กลับไปที่ Services > Authentication > External LDAP/RADIUS
2. คลิกที่ LDAP Server ที่เพิ่มไว้ แล้วคลิกปุ่ม Import
3. เลือก OU ที่ต้องการ Import ผู้ใช้
4. กำหนด User Group Mapping เพื่อจับคู่ OU กับ User Group บน VDC
5. คลิก Save and Import Now เพื่อทำการ Import ทันที

การตรวจสอบ

• ตรวจสอบว่า LDAP Server แสดงสถานะ Connected ที่หน้า External LDAP/RADIUS
• ตรวจสอบรายการผู้ใช้ที่ถูก Import ที่ Services > Users > User List
• ทดลอง Login เข้า VDI ด้วยบัญชี AD ที่ถูก Import เข้ามา
• หากผู้ใช้ที่ Import มี Status เป็น Disabled ให้ทำการ Enable ก่อนใช้งาน

การแก้ไขปัญหาเบื้องต้น

• Test Connection ล้มเหลว: ตรวจสอบ Network Connectivity โดย Ping หรือ Telnet จาก VDC ไปยัง AD Server Port 389/636 ตรวจสอบว่า Firewall ไม่ได้ Block Port ดังกล่าว
• Bind DN ไม่ถูกต้อง: ตรวจสอบรูปแบบ DN ว่าถูกต้อง สามารถใช้เครื่องมือ เช่น ldapsearch หรือ ADSIEdit เพื่อยืนยัน DN ของบัญชี
• ไม่พบผู้ใช้หลัง Import: ตรวจสอบ Base DN ว่าครอบคลุม OU ที่ผู้ใช้อยู่ หาก Base DN ระบุเฉพาะ OU ใด OU หนึ่ง จะไม่สามารถค้นหาผู้ใช้ใน OU อื่นได้
• Login ด้วยบัญชี AD ไม่ได้: ตรวจสอบว่า Authentication Setting ตั้งค่า Primary Method เป็น LDAP แล้ว และตรวจสอบว่าบัญชีผู้ใช้บน VDC มี Status เป็น Enabled

หมายเหตุ

• แนะนำให้ใช้ LDAPS (Port 636) แทน LDAP (Port 389) ใน Production Environment เพื่อเข้ารหัสข้อมูลระหว่างการสื่อสาร
• บัญชี Bind DN ควรเป็นบัญชี Service Account ที่มีรหัสผ่านไม่หมดอายุ เพื่อป้องกันปัญหาการเชื่อมต่อ
• VDC รองรับการเพิ่ม LDAP Server ได้มากกว่า 1 Server สำหรับองค์กรที่มี Multiple Domain
• การเปลี่ยนรหัสผ่านของผู้ใช้ LDAP ต้องทำบน Active Directory ไม่สามารถเปลี่ยนผ่าน VDC ได้