36-配置LDAP
本章节下载: 36-配置LDAP (518.43 KB)
目 录
LDAP是轻量目录访问协议,英文全称是lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,与X.500不同,LDAP支持TCP/IP。
LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,LDAP其实是一电话簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木。
在一些存在众多分支机构的大企业等网络中,往往存在LDAP(轻量级目录访问协议)系统,用户信息都由LDAP系统进行管理,如果分支机构间的人员出差频繁而又不符合漫游策略,为方便管理员开户操作,可以从LDAP系统中同步用户信息。
通过LDAP同步将AD服务器上的用户及用户组同步到设备上,对同步下来的用户及用户组可进行策略引用,同步方式为周期同步和触发同步两种:
设备周期向AD服务器发送LDAP同步请求。
可通过界面或命令行手动发起LDAP同步请求。
LDAP配置显示如图1-1所示。
在导航栏中选择“用户管理>认证服务器>LDAP”,进入LDAP服务器的配置界面,LDAP服务器详细参数如表1-1所示。
图1-1 LDAP服务器配置界面
表1-1 LDAP服务器界面的详细说明
参数 |
说明 |
名称 |
LDAP服务器名称。 |
服务器IP |
LDAP服务器地址。 |
端口 |
LDAP服务器端口,默认389明文,暂时不支持636加密同步。 |
通用标识 |
Cn全称common name每个用户节点的识别属性标识。 Upn用于用户登录名进行web认证时使用的标识。 |
Base DN |
用于获取同步信息的服务器域名路径。 |
绑定方式 |
匿名 简单 |
管理员 |
拥有管理权限的域服务器管理员。 |
管理员密码 |
管理员对应密码。 |
自动同步 |
开启关闭自动同步。 |
时间 |
勾选自动同步后配置自动同步时间向AD服务器发送同步请求。 |
在导航栏中选择“用户管理>认证服务器>LDAP”,进入LDAP服务器的配置界面,单击“新建”按钮,配置LDAP服务器,如图1-2所示。
图1-2 LDAP服务器新建界面
在导航栏中选择“用户管理>认证服务器>LDAP”,进入LDAP组的配置界面,单击“新建”按钮,配置LDAP组,如图1-3所示。
图1-3 LDAP组新建界面
表1-2 LDAP组界面的详细说明
参数 |
说明 |
名称 |
LDAP组名称。 |
服务器列表 |
已配置的LDAP服务器名称,最多可加入5个服务器。 |
在用户管理>全局配置>第三方LDAP认证处,选择LDAP组统一认证。
图1-4 LDAP用户认证通用用户标识有两种类型分别是CN和UPN
CN:使用的是标识名进行认证。
图1-5 标识名使用CN时服务器用户配置
UPN:使用的是登录名进行认证。
图1-6 标识名使用UPN时服务器用户配置
如图1-7所示,在公司你搭建有LDAP服务器,LDAP服务器上用户是以标识名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。
图1-7 LDAP认证拓扑图
· 新建LDAP服务器,通用名称标识为cn,并同步。
在导航栏中选择“用户管理>认证服务器>LDAP”,进入LDAP服务器的配置界面,单击“新建”按钮,配置LDAP服务器,如图1-8所示。
图1-8 标识为CN的LDAP服务器配置
配置完成后如图1-9所示。
图1-9 LDAP服务器配置效果图
· 新建用户认证策略
在导航栏中选择“用户管理>认证策略”,进入用户认证策略的配置界面,单击“新建”按钮,配置认证策略,如图1-10所示。
图1-11 PC访问网页弹出本地认证界面后,使用同步下来的LDAP用户进行认证
图1-12 认证成功效果图
如图1-13所示,在公司内网搭建有LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD—ldap服务器同步下来的用户进行认证上网。
图1-13 LDAP认证拓扑图
· 新建LDAP服务器,通用名称标识为UPN,并同步。
在导航栏中选择“用户管理>LDAP”,进入LDAP服务器的配置界面,单击“新建”按钮,配置LDAP服务器,如图1-14所示。
图1-14 标识名为UPN的LDAP服务器配置
配置完成后如图1-15所示。
图1-15 LDAP服务器配置效果图
· 启用第三方认证
在导航栏中选择“用户管理>全局配置”,进入全局配置界面,启用第三方认证,认证方式为LDAP,LDAP服务器选择刚配置的LDAP服务器提交,如图1-16所示。
· 新建用户认证策略
在导航栏中选择“用户管理>全局配置>认证策略”,进入用户认证策略的配置界面,单击“新建”按钮,配置认证策略,如图1-17所示。
图1-18 PC访问网页弹出本地认证界面后,使用同步下来的LDAP用户进行认证
图1-19 认证成功效果图
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!