LDAP身份验证

笔记

安全控制台目前不支持“轮询”LDAP配置。

完成以下步骤将LDAP集成配置为外部身份验证源。

定义外部身份验证源

  1. 点击管理标签。
  2. 在“全局和控制台设置”窗口中,单击管理.
  3. 在“安全控制台配置”屏幕上,单击认证标签。
  4. 在“LDAP/AD认证源列表”下,单击添加LDAP/AD源按钮。
  1. 点击启用身份验证源复选框。

LDAP身份验证区分大小写

您必须使用Active Directory服务器名称和凭据。

  1. 输入源的名称。

  2. 服务器名字段,输入AD服务器的确切DNS主机名。

    我的DNS主机名是什么?如果你不确定你应该使用的DNS主机名,你可以在命令行中运行“nslookup”来定位它。或者,免费的工具,如Softerra LDAP浏览器可以验证DNS主机名为您。

  3. 输入服务器端口号。

    我应该使用哪个端口?LDAP默认端口号如下:
    - 389
    - 636
    带有全局目录端口号的默认Microsoft AD如下:
    - 3268
    - 3269 (SSL)

  4. 如果需要,请指定LDAP身份验证凭据。

提示

使用提供的用户名暗语字段用于在LDAP/AD服务器不允许匿名绑定的情况下指定LDAP凭据。

  1. 如果需要,请检查需要安全通信(SSL)复选框。
  2. 如果需要,请指定允许的身份验证方法。多个条目可以用逗号、分号或空格分隔。

笔记

互联网工程任务组在文件RFC 2222中定义了允许LDAP用户身份验证的简单身份验证和安全层(SASL)身份验证方法http://www.ietf.org/rfc/rfc2222.txt. 该应用程序支持以下方法:

  • GSSAPI
  • cram -
  • 摘要-MD5
  • 易于理解的*
  • 平原**

*请注意易于理解的身份验证方法与Microsoft Active Directory不兼容。如果要将Active Directory服务器配置为身份验证源,请使用以下备选方案之一:

**我们不建议使用平原对于非SSL LDAP连接。

  1. 如果需要,请检查遵循LDAP推荐复选框。

LDAP推荐说明

当应用程序试图对用户进行身份验证时,它会查询目标LDAP服务器。此服务器上的LDAP和AD目录可能包含关于其他目录服务器的信息,这些目录服务器能够处理目标目录中没有定义的上下文的请求。如果是,目标服务器将向应用程序返回一条引用消息,然后应用程序可以与这些额外的LDAP服务器联系。有关LDAP引用的信息,请参见以下文档LDAPv3 RFC 2251:

  1. 如果需要,请指定搜索基数。

LDAP搜索基础解释

您可以在目录中的不同级别启动LDAP搜索。搜索库是应用程序启动搜索的树的特定部分。例子:

CN =销售,DC = acme, DC = com

  1. 手动设置属性映射,或单击任何可用按钮以根据预设自动填充字段。
  2. 点击保存.

“身份验证”选项卡现在将列出新的LDAP身份验证源。16最后,点击保存在“安全控制台配置”屏幕上完成您的身份验证源。

创建用户帐户

定义了外部身份验证源后,现在可以为用户创建帐户。

  1. 点击管理标签。
  2. 在“用户”窗口中,单击创建.
  3. 在“用户配置”屏幕的一般选项卡,从下拉列表中选择新的身份验证方法。
  4. 按要求填写所有字段。

笔记

选择外部身份验证源时,将禁用密码字段。安全控制台不控制或允许通过外部来源验证的用户更改密码。

  1. 点击保存完成后。