03-安全策略配置指导

16-LDAP配置指导

1 LDAP配置

1.1 LDAP简介

1.1.1 LDAP设计概述

LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写，其实是一种目录服务，类似于我们所使用诸如NIS(Network Information Service)、DNS(Domain Name Service)等网络目录。

信息被集中存储在服务器上的LDAP目录中，信息模型以条目（entry）为基础，一个条目是属性的集合，并且具有全局唯一DN(distinguished name)用来唯一标识；条目类似数据库中的一条记录。

LDAP目录以树状的层次结构来存储数据（这很类同于DNS），最顶层即根部称作“基准DN”，形如“dc=sapling,dc=com”或者“o= sapling.com”，前一种方式更为灵活也是Windows AD中使用的方式。在根目录的下面有很多的文件和目录，为了把这些大量的数据从逻辑上分开，LDAP像其它的目录服务协议一样使用OU（Organization Unit），可以用来表示公司内部机构，如部门等，也可以用来表示设备、人员等。同时OU还可以有子OU，用来表示更为细致的分类。

LDAP中每一条记录都有一个唯一的区别于其它记录的名字DN（Distinguished Name），其处在“叶子”位置的部分称作RDN；如dn:cn=user,ou=test,dc=sapling,dc=com中user即为RDN，RDN在一个OU中必须是唯一的。

LDAP支持TCP/IP协议，基于C/S模式客户端通过TCP连接到Server服务器，通过此连接发送请求和接收响应。

本模块功能具有如下功能点：

· 设备周期（默认每天23点）向AD服务器发送同步请求；

· 可手动（UI界面或命令行）向AD服务器下发ldap同步请求；

· 在设备上配置ldap服务器后，可手动触发向AD服务器下发ldap同步请求；

· 从AD域中同步用户组到设备，并且能被引用；

· 从AD域中同步用户到设备，同时在设备上将该用户添加到所属用户组。

1.1.2 NAT日志简介

LDAP同步日志，在操作日志中查看。主要记录LDAP同步模块的名称和同步时间。

1.2 LDAP参数简介

操作	命令	说明
进入系统视图	system-view	-
新建ldap，进入ldap配置视图	ldap NAME	必选
配置ldap服务器地址	ldap A.B.C.D [PORT]	必选
配置cnid	cnid NAME	必选
配置dn	dn DN	必选
绑定方式	bingtype {simple user NAME PASSWORD \| anonymous}	必选
开启ldap同步	ldap auto-syn	可选
设置同步周期	ldap auto-syn intral	可选
配置ldap认证用户名称是否区分大小写	ldap-auth easy-name-match { enable \| disable }	可选