国家 / 地区

H3C SecPath A2000-G[AK][V]系列运维审计系统 典型配置举例(E6101 E6102 E6103 E6104)-5W104

01-AD&LDAP认证配置举例

本章节下载  (405.85 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Typical_Configuration_Example/H3C_A2000-G[AK][V]_CE(E6101)-5W104/201905/1189374_30005_0.htm

01-AD&LDAP认证配置举例

AD&LDAP认证配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 简介

1. LDAP

LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,简称为LDAP。目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链接、jpeg图像等各种信息。为了访问存储在目录中的信息,就需要使用运行在TCP/IP之上的访问协议—LDAP。

2. AD

AD是Active Directory的缩写,AD应该是LDAP的一个应用实例。比如:windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题,只是AD顺便还提供了用户接口,也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库,微软自己在库中建立了几个表,每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的,而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口,用户可以利用这些接口写程序操作LDAP,使得ActiveDirectory也成了一个LDAP服务器。

2 名词解释

1. 条目

条目,也叫记录项,是LDAP中最基本的颗粒,就像字典中的词条,或者是数据库中的记录。通常对LDAP的添加、删除、更改、检索都是以条目为基本对象的。

2. DN

每一个条目都有一个唯一的标识名,如dn="cn=baby,ou=marketing,ou=people,dc=mydomain,dc=org"。通过DN的层次型语法结构,可以方便地表示出条目在LDAP树中的位置,通常用于检索。

3. Basedn

LDAP目录树的最顶部就是根,也就是所谓的“Base DN",如"dc=mydomain,dc=org"。

在运维审计系统的BaseDN是指,以当前的组织作为根,搜索当前组织的范围。

4. 属性

每个条目都可以有很多属性(Attribute),比如常见的人都有姓名、地址、电话等属性。每个属性都有名称及对应的值。

5. 用户Filter

运维审计系统的用户Filter是指,通过属性来过滤用户。

例如:(&(objectclass=person)(sAMAccountName=testuser)),代表过滤出objectclass为person并且sAMAccountName为testuser的用户。

6. Simple方法

Simple需用绑定查询用户及口令,配置相对灵活复杂,几乎所有的目录服务器都支持该验证方法。

7. Digest-md5方法

仅需要知道ldap服务器的FQDN和IP地址既可,不需要绑定用户名和密码,配置方法相对简单。

8. 查询用户

在域控中,具有查询权限的用户。

3 配置前提

1. Windows(AD)

·            准备Windows域控主机一台。

·            准备Windows域控主机的相关信息:IP地址、端口、计算机全名、查询用户、查询用户密码、BaseDN、用户Filter。

·            确保域控主机到运维审计系统的网络可达。

2. LDAP

·            准备LDAP服务器一台。

·            准备LDAP服务器的相关信息:IP地址、端口、查询用户、查询用户密码、BaseDN、用户Filter。

·            确保LDAP服务器到运维审计系统的网络可达。

3. AD/LDAP典型配置

·            DIGEST-MD5设置:

¡  状态:启用服务器1

¡  名称:Windows_AD

¡  方法:DIGEST-MD5

¡  服务器1全名:ad1.abc.com(AD(LDAP)服务器主机名全称)

¡  服务器1地址:192.168.6.200

¡  服务器1端口:389

¡  服务器2全名:ad2.abc.com

¡  服务器2地址:192.168.6.201

¡  服务器2端口:389

·            SIMPLE设置:

¡  状态:启用服务器1

¡  名称:Windows_AD

¡  方法:SIMPLE

¡  服务器1地址:192.168.6.200

¡  服务器1端口:389

¡  服务器2地址:192.168.6.201

¡  服务器2端口:389

¡  查询用户DN:CN=Administrator,CN=Users,DC=dep,DC=com

¡  查询用户密码:123456

¡  用户basedn:CN=Users,DC=dep,DC=com

¡  用户Filter:(&(objectclass=person)(sAMAccountName={username}))

4 配置举例

4.1  组网需求

图4-1 AD/LDAP认证网络图

 

4.2  系统版本要求

适用产品版本:ESS 6101

4.3  Windows(AD) Digest-MD5认证

4.3.1  收集信息

·            Windows域控主机IP地址。

·            Windows域控主机的计算机全名。(控制面板\系统和安全\系统\计算机全名)

·            Windows域控主机AD服务的端口号。

4.3.2  配置步骤

1. 登录具有超级管理员角色的用户。

2. 创建ldap认证方式。

进入“策略配置 > 身份验证”,选择ldap协议,点击“创建”。

图4-2 创建ldap认证方式

 

3. 编辑ldap认证方式。

(1)       选择认证方法为“DIGEST-MD5”。

(2)       选择状态为:“启用服务器1”。

(3)       填写“名称”、“服务器1全名”、“服务器1地址”、“服务器1端口”几个字段。

¡  名称:填写此AD认证的名称。

¡  服务器1地址:Windows域控主机IP地址。

¡  服务器1全名:Windows域控主机的计算机全名。

¡  服务器1端口:如果留空,默认为389端口。

(4)       点击“确定”,提交配置。

图4-3 配置ldap认证方式

 

4. 创建ldap用户。

进入“基本控制 > 用户账号”。点击“新建用户”。

图4-4 创建ldap用户

 

(1)       选择“身份验证方式”为刚才配置的名称。

(2)       填写“登录名”、“真实姓名”、“部门”、“ldap用户名”这几个字段。

¡  登录名:登录运维审计系统的账户名。

¡  真实姓名:该账户名的真实用户。

¡  部门:选择相应的部门。

¡  ldap用户名:绑定该登录名对应的ldap账户,如果不填,则默认此项为登录名。

(3)       点击“保存”。

图4-5 配置ldap用户信息

 

5. 登录ldap用户。

图4-6 ldap用户登录

 

4.3.3  验证配置

进入超级管理员账户。

(1)       选择“策略配置 > 身份验证”,选择相应的ldap认证,点击“测试”。

图4-7 身份验证

 

(2)       填写需要验证的账户密码,选择相应的服务器,点击“确定”。

图4-8 填写验证的账户密码

 

(3)       返回“登录测试成功”。

图4-9 登录成功

 

4.4  Windows(AD)simple认证

4.4.1  收集信息

·            Windows域控主机IP地址。

·            Windows域控主机AD服务的端口号。

·            Windows域控主机的查询用户的DN(打开“cmd”,通过命令“dsquery user -name [username]”查询)。

·            Windows域控主机查询用户的密码。

·            用户basedn(希望从哪一层组织下查找)。

·            用户Filter(系统通过什么属性过滤用户)。

4.4.2  配置步骤

1. 登录具有超级管理员角色的用户。

2. 创建ldap认证方式。

进入“策略配置 > 身份验证”,选择ldap协议,点击“创建”。

图4-10 创建ldap认证方式

 

3. 编辑ldap认证方式。

(1)       选择认证方法为“SIMPLE”。

(2)       选择状态为:“启用服务器1”。

(3)       填写“名称”、“服务器1地址”、“服务器1端口”、“查询用户DN”、“查询用户密码”、“用户BaseDN”、“用户Filter”几个字段。

¡  名称:填写此ldap认证的名称。

¡  服务器1地址:Windows 域控主机IP地址。

¡  服务器1端口:如果留空,默认为389端口。

¡  查询用户DN:具有查询权限的用户的DN。

¡  查询用户密码:查询用户密码。

¡  用户BaseDN:希望从那一层组织下查找。

¡  用户Filter:系统通过什么属性过滤用户。对于windows的域控可以通过“(&(objectclass=person)(sAMAccountName={username}))”过滤。其中{username}代表提交的变量,代表将来传入的用户名。

(4)       第4步:点击“确定”,提交配置。

图4-11 配置ldap认证方式

 

4. 创建ldap用户。

进入“基本控制 > 用户账号”。点击“新建用户”。

图4-12 创建ldap用户

 

(1)       选择“身份验证方式”为刚才配置的名称。

(2)       填写“登录名”、“真实姓名”、“部门”、“ldap用户名”这几个字段。

¡  登录名:登录运维审计系统的账户名。

¡  真实姓名:该账户名的真实用户。

¡  部门:选择相应的部门。

¡  ldap用户名:绑定该登录名对应的ldap账户,如果不填,则默认此项为登录名。

(3)       点击“保存”。

图4-13 配置ldap用户

 

5. 登录ldap用户。

图4-14 ldap用户登录

 

4.4.3  验证配置

进入超级管理员账户。

(1)       选择“策略配置 > 身份验证”,选择相应的ldap认证,点击“测试”。

图4-15 身份验证

 

(2)       填写需要验证的账户密码,选择相应的服务器,点击“确定”。

图4-16 配置账户密码

 

(3)       返回“登录测试成功”。

图4-17 登录成功

 

4.5  Ldap simple认证

4.5.1  收集信息

·            Ldap服务器的IP地址。

·            Ldap服务器的ldap服务的端口号。

·            Ldap服务器的的查询用户的DN。

·            Ldap服务器的查询用户的密码。

·            用户basedn。(希望从那一层组织下查找)。

·            用户filter。(系统通过什么属性过滤用户)。

4.5.2  配置步骤

1. 登录具有超级管理员角色的用户。

2. 创建ldap认证方式。

进入“策略配置 > 身份验证”,选择ldap协议,点击“创建”。

图4-18 创建ldap认证方式

 

3. 编辑ldap认证方式。

(1)       选择认证方法为“SIMPLE”。

(2)       选择状态为:“启用服务器1”。

(3)       填写“名称”、“服务器1地址”、“服务器1端口”、“查询用户DN”、“查询用户密码”、“用户BaseDN”、“用户Filter”几个字段。

¡  名称:填写此ldap认证的名称。

¡  服务器1地址:Ldap服务器的IP地址。

¡  服务器1端口:如果留空,默认为389端口。

¡  查询用户DN:具有查询权限的用户的DN。

¡  查询用户密码:查询用户密码。

¡  用户BaseDN:希望从那一层组织下查找。

¡  用户Filter:系统通过什么属性过滤用户。这里通过cn属性可以过滤出用户,所以使用cn={username}。

(4)       点击“确定”,提交配置。

图4-19 配置ldap认证方式

 

4. 创建ldap用户。

进入“基本控制 > 用户账号”。点击“新建用户”。

图4-20 创建ldap用户

 

(1)       选择“身份验证方式”为刚才配置的名称。

(2)       填写“登录名”、“真实姓名”、“部门”、“ldap用户名”这几个字段。

¡  登录名:登录运维审计系统的账户名。

¡  真实姓名:该账户名的真实用户。

¡  部门:选择相应的部门。

¡  ldap用户名:绑定该登录名对应的ldap账户,如果不填,则默认此项为登录名。

(3)       点击“保存”。

图4-21 配置ldap用户信息

 

5. 登录ldap用户。

图4-22 Ldap用户登录

 

4.5.3  验证配置

进入超级管理员账户。

(1)       选择“策略配置 > 身份验证”,选择相应的ldap认证,点击“测试”。

图4-23 身份验证

 

(2)       填写需要验证的账户密码,选择相应的服务器,点击“确定”。

图4-24 配置账户密码

 

(3)       返回“登录测试成功”。

图4-25 登录成功

 

4.6  Ldap用户批量导入

Ldap用户的批量导入功能,仅限simple配置的方法。

4.6.1  新建批量导入

(1)       “基本控制 > 用户账号 > 批量导入”。

图4-26 批量导入

 

(2)       “批量新增用户方式”选择“LDAP导入”。

图4-27 配置批量新增用户方式

 

4.6.2  编辑批量导入规则

·            Ldap身份验证方式:选择之前配置的ldap的名称。

·            服务器地址:填写需要从哪一个ldap服务器进行导入。

·            LDAP服务端口:如果不填写,默认为389端口。

·            查询用户DN:具有查询权限的用户的DN。

·            查询用户密码

·            用户basedn:希望从哪一层组织下导入。

·            用户filter:系统通过什么属性过滤用户。这里通过cn属性可以过滤出用户,所以使用cn=*。

图4-28 编辑批量导入规则

 

如果需要将ldap上的用户属性也导入运维审计系统,可以在这里设置。

图4-29 配置ldap上的用户属性

 

4.6.3  提交批量导入规则

运维审计系统会将查询到的用户以表格的方式列出。

如果确认无误,点击“确定”,创建用户。

图4-30 提交批量导入规则

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!