• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(E6411 R6609)-6W106

36-配置LDAP

本章节下载 36-配置LDAP  (518.43 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Operation_Manual/ACG1000_WCG(E6411_R6609)-6W106/202009/1334426_30005_0.htm

36-配置LDAP


1 配置LDAP

1.1  LDAP服务器用户同步

LDAP是轻量目录访问协议,英文全称是lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,与X.500不同,LDAP支持TCP/IP。

LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,LDAP其实是一电话簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木。

在一些存在众多分支机构的大企业等网络中,往往存在LDAP(轻量级目录访问协议)系统,用户信息都由LDAP系统进行管理,如果分支机构间的人员出差频繁而又不符合漫游策略,为方便管理员开户操作,可以从LDAP系统中同步用户信息。

通过LDAP同步将AD服务器上的用户及用户组同步到设备上,对同步下来的用户及用户组可进行策略引用,同步方式为周期同步和触发同步两种:

设备周期向AD服务器发送LDAP同步请求。

可通过界面或命令行手动发起LDAP同步请求。

1.2  配置LDAP服务器

1.2.1  配置概述

LDAP配置显示如图1-1所示。

在导航栏中选择“用户管理>认证服务器>LDAP”,进入LDAP服务器的配置界面,LDAP服务器详细参数如表1-1所示。

图1-1 LDAP服务器配置界面

 

表1-1 LDAP服务器界面的详细说明

参数

说明

名称

LDAP服务器名称。

服务器IP

LDAP服务器地址。

端口

LDAP服务器端口,默认389明文,暂时不支持636加密同步。

通用标识

Cn全称common name每个用户节点的识别属性标识。

Upn用于用户登录名进行web认证时使用的标识。

Base DN

用于获取同步信息的服务器域名路径。

绑定方式

匿名

简单

管理员

拥有管理权限的域服务器管理员。

管理员密码

管理员对应密码。

自动同步

开启关闭自动同步。

时间

勾选自动同步后配置自动同步时间向AD服务器发送同步请求。

 

1.2.2  配置LDAP服务器

在导航栏中选择“用户管理>认证服务器>LDAP”,进入LDAP服务器的配置界面,单击“新建”按钮,配置LDAP服务器,如图1-2所示。

图1-2 LDAP服务器新建界面

 

1.2.3  配置LDAP

在导航栏中选择“用户管理>认证服务器>LDAP”,进入LDAP组的配置界面,单击“新建”按钮,配置LDAP组,如图1-3所示。

图1-3 LDAP组新建界面

 

表1-2 LDAP组界面的详细说明

参数

说明

名称

LDAP组名称。

服务器列表

已配置的LDAP服务器名称,最多可加入5个服务器。

 

1.2.4  LDAP组用法

在用户管理>全局配置>第三方LDAP认证处,选择LDAP组统一认证。

1.2.5  LDAP认证的两种方式

图1-4 LDAP用户认证通用用户标识有两种类型分别是CN和UPN

 

CN:使用的是标识名进行认证。

图1-5 标识名使用CN时服务器用户配置

 

UPN:使用的是登录名进行认证。

图1-6 标识名使用UPN时服务器用户配置

 

1.3  LDAP使用标识名CN认证典型配置举例

1.3.1  组网需求

图1-7所示,在公司你搭建有LDAP服务器,LDAP服务器上用户是以标识名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。

图1-7 LDAP认证拓扑图

 

1.3.2  配置步骤

·     新建LDAP服务器,通用名称标识为cn,并同步。

在导航栏中选择“用户管理>认证服务器>LDAP”,进入LDAP服务器的配置界面,单击“新建”按钮,配置LDAP服务器,如图1-8所示。

图1-8 标识为CN的LDAP服务器配置

 

配置完成后如图1-9所示。

图1-9 LDAP服务器配置效果图

 

·     新建用户认证策略

在导航栏中选择“用户管理>认证策略”,进入用户认证策略的配置界面,单击“新建”按钮,配置认证策略,如图1-10所示。

图1-10 用户认证策略配置效果图

 

1.3.3  验证效果

图1-11 PC访问网页弹出本地认证界面后,使用同步下来的LDAP用户进行认证

 

图1-12 认证成功效果图

 

1.4  LDAP使用标识名UPN认证典型配置案例

1.4.1  组网需求

图1-13所示,在公司内网搭建有LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD—ldap服务器同步下来的用户进行认证上网。

图1-13 LDAP认证拓扑图

 

1.4.2  配置步骤

·     新建LDAP服务器,通用名称标识为UPN,并同步。

在导航栏中选择“用户管理>LDAP”,进入LDAP服务器的配置界面,单击“新建”按钮,配置LDAP服务器,如图1-14所示。

图1-14 标识名为UPN的LDAP服务器配置

 

配置完成后如图1-15所示。

图1-15 LDAP服务器配置效果图

 

·     启用第三方认证

在导航栏中选择“用户管理>全局配置”,进入全局配置界面,启用第三方认证,认证方式为LDAP,LDAP服务器选择刚配置的LDAP服务器提交,如图1-16所示。

图1-16 第三方认证配置界面

 

·     新建用户认证策略

在导航栏中选择“用户管理>全局配置>认证策略”,进入用户认证策略的配置界面,单击“新建”按钮,配置认证策略,如图1-17所示。

图1-17 用户认证策略配置效果图

 

1.4.3  验证配置效果

图1-18 PC访问网页弹出本地认证界面后,使用同步下来的LDAP用户进行认证

 

图1-19 认证成功效果图

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们