- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
16-LDAP配置指导
本章节下载: 16-LDAP配置指导 (376.87 KB)
目录
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,其实是一种目录服务,类似于我们所使用诸如NIS(Network Information Service)、DNS(Domain Name Service)等网络目录。
信息被集中存储在服务器上的LDAP目录中,信息模型以条目(entry)为基础,一个条目是属性的集合,并且具有全局唯一DN(distinguished name)用来唯一标识;条目类似数据库中的一条记录。
LDAP目录以树状的层次结构来存储数据(这很类同于DNS),最顶层即根部称作“基准DN”,形如“dc=sapling,dc=com”或者“o= sapling.com”,前一种方式更为灵活也是Windows AD中使用的方式。在根目录的下面有很多的文件和目录,为了把这些大量的数据从逻辑上分开,LDAP像其它的目录服务协议一样使用OU(Organization Unit),可以用来表示公司内部机构,如部门等,也可以用来表示设备、人员等。同时OU还可以有子OU,用来表示更为细致的分类。
LDAP中每一条记录都有一个唯一的区别于其它记录的名字DN(Distinguished Name),其处在“叶子”位置的部分称作RDN;如dn:cn=user,ou=test,dc=sapling,dc=com中user即为RDN,RDN在一个OU中必须是唯一的。
LDAP支持TCP/IP协议,基于C/S模式客户端通过TCP连接到Server服务器,通过此连接发送请求和接收响应。
本模块功能具有如下功能点:
· 设备周期(默认每天23点)向AD服务器发送同步请求;
· 可手动(UI界面或命令行)向AD服务器下发ldap同步请求;
· 在设备上配置ldap服务器后,可手动触发向AD服务器下发ldap同步请求;
· 从AD域中同步用户组到设备,并且能被引用;
· 从AD域中同步用户到设备,同时在设备上将该用户添加到所属用户组。
LDAP同步日志,在操作日志中查看。主要记录LDAP同步模块的名称和同步时间。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
新建ldap,进入ldap配置视图 |
ldap NAME |
必选 |
|
配置ldap服务器地址 |
ldap A.B.C.D [PORT] |
必选 |
|
配置cnid |
cnid NAME |
必选 |
|
配置dn |
dn DN |
必选 |
|
绑定方式 |
bingtype {simple user NAME PASSWORD | anonymous} |
必选 |
|
开启ldap同步 |
ldap auto-syn |
可选 |
|
设置同步周期 |
ldap auto-syn intral |
可选 |
在完成上述配置后,在任意视图下执行display命令显示LDAP的配置情况。
表1-1 LDAP显示和维护
|
操作 |
命令 |
|
LDAP 配置显示 |
display ldapserver |
如图2-1所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以标示名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。
图2-1 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器,并同步
(2) 新建用户认证策略
(1) 配置LDAP服务器,并同步
host# system-view
host(config)#ldap 193_a10023
host(config-ldap)# ldap 192.168.2.193 389
host(config-ldap)# cnid cn
host(config-ldap)# dn ou=a10023,dc=aaaa,dc=com
host(config-ldap)# bindtype simple user cn=administrator,cn=users,dc=aaaa,dc=com passwd 123456
host(config-ldap)# ldap auto-syn
host(config-ldap)# ldap auto-syn 14
配置完成后如下所示。
host# display ldapserver
ldapserver 193_a10023
addr: 192.168.2.193 port: 389
cnid: cn
dn: ou=a10023,dc=aaaa,dc=com
auto syn enable time 14
bind type simple
ref_cout 0
WEB页面点击立即同步。
在导航栏中选择“用户管理>认证服务器>LDAP”,在LDAP服务器条目后面,单击<
>按钮,立即同步。
(2) 新建用户认证策略
#创建一个地址对象。
host(config)# address user_auth
host (config-address)#ip subnet 172.20.3.0/24
host (config-address)#exit
# 配置认证策略
host(config)# user-policy ge9 any user_auth any always local-webauth
如图2-2所示,访问www.qq.com,弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。
图2-2 PC访问网页弹出本地认证页面,后使用同步下来的LDAP用户进行认证。
如图2-3所示,LDAP认证效果图。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
