01-AD&LDAP认证配置举例

1 简介

1. LDAP

LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，简称为LDAP。目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链接、jpeg图像等各种信息。为了访问存储在目录中的信息，就需要使用运行在TCP/IP之上的访问协议—LDAP。

2. AD

AD是Active Directory的缩写，AD应该是LDAP的一个应用实例。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题，只是AD顺便还提供了用户接口，也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序操作LDAP，使得ActiveDirectory也成了一个LDAP服务器。

2 名词解释

1. 条目

条目，也叫记录项，是LDAP中最基本的颗粒，就像字典中的词条，或者是数据库中的记录。通常对LDAP的添加、删除、更改、检索都是以条目为基本对象的。

2. DN

每一个条目都有一个唯一的标识名，如dn="cn=baby,ou=marketing,ou=people,dc=mydomain,dc=org"。通过DN的层次型语法结构，可以方便地表示出条目在LDAP树中的位置，通常用于检索。

3. Basedn

LDAP目录树的最顶部就是根，也就是所谓的“Base DN"，如"dc=mydomain,dc=org"。

在运维审计系统的BaseDN是指，以当前的组织作为根，搜索当前组织的范围。

4. 属性

每个条目都可以有很多属性（Attribute），比如常见的人都有姓名、地址、电话等属性。每个属性都有名称及对应的值。

5. 用户Filter

运维审计系统的用户Filter是指，通过属性来过滤用户。

例如：(&(objectclass=person)(sAMAccountName=testuser))，代表过滤出objectclass为person并且sAMAccountName为testuser的用户。

6. Simple方法

Simple需用绑定查询用户及口令，配置相对灵活复杂，几乎所有的目录服务器都支持该验证方法。

7. Digest-md5方法

仅需要知道ldap服务器的FQDN和IP地址既可，不需要绑定用户名和密码，配置方法相对简单。

8. 查询用户

在域控中，具有查询权限的用户。

3 配置前提

1. Windows（AD）

· 准备Windows域控主机一台。

· 准备Windows域控主机的相关信息：IP地址、端口、计算机全名、查询用户、查询用户密码、BaseDN、用户Filter。

· 确保域控主机到运维审计系统的网络可达。

2. LDAP

· 准备LDAP服务器一台。

· 准备LDAP服务器的相关信息：IP地址、端口、查询用户、查询用户密码、BaseDN、用户Filter。

· 确保LDAP服务器到运维审计系统的网络可达。

3. AD/LDAP典型配置

· DIGEST-MD5设置：

¡ 状态：启用服务器1

¡ 名称：Windows_AD

¡ 方法：DIGEST-MD5

¡ 服务器1全名：ad1.abc.com(AD（LDAP）服务器主机名全称)

¡ 服务器1地址：192.168.6.200

¡ 服务器1端口：389

¡ 服务器2全名：ad2.abc.com

¡ 服务器2地址：192.168.6.201

¡ 服务器2端口：389

· SIMPLE设置：

¡ 状态：启用服务器1

¡ 名称：Windows_AD

¡ 方法：SIMPLE

¡ 服务器1地址：192.168.6.200

¡ 服务器1端口：389

¡ 服务器2地址：192.168.6.201

¡ 服务器2端口：389

¡ 查询用户DN：CN=Administrator,CN=Users,DC=dep,DC=com

¡ 查询用户密码：123456

¡ 用户basedn：CN=Users,DC=dep,DC=com

¡ 用户Filter：(&(objectclass=person)(sAMAccountName={username}))

4 配置举例

4.1 组网需求

图1 AD/LDAP认证网络图

4.2 系统版本要求

适用产品版本：ESS 6101

4.3 Windows（AD） Digest-MD5认证

4.3.1 收集信息

· Windows域控主机IP地址。

· Windows域控主机的计算机全名。（控制面板\系统和安全\系统\计算机全名）

· Windows域控主机AD服务的端口号。

4.3.2 配置步骤

1. 登录具有超级管理员角色的用户。

2. 创建ldap认证方式。

进入“策略配置 > 身份验证”，选择ldap协议，点击“创建”。

图2 创建ldap认证方式

3. 编辑ldap认证方式。

(1) 选择认证方法为“DIGEST-MD5”。

(2) 选择状态为：“启用服务器1”。

(3) 填写“名称”、“服务器1全名”、“服务器1地址”、“服务器1端口”几个字段。

¡ 名称：填写此AD认证的名称。

¡ 服务器1地址：Windows域控主机IP地址。

¡ 服务器1全名：Windows域控主机的计算机全名。

¡ 服务器1端口：如果留空，默认为389端口。

(4) 点击“确定”，提交配置。

图3 配置ldap认证方式

4. 创建ldap用户。

进入“基本控制 > 用户账号”。点击“新建用户”。

图4 创建ldap用户

(1) 选择“身份验证方式”为刚才配置的名称。

(2) 填写“登录名”、“真实姓名”、“部门”、“ldap用户名”这几个字段。

¡ 登录名：登录运维审计系统的账户名。

¡ 真实姓名：该账户名的真实用户。

¡ 部门：选择相应的部门。

¡ ldap用户名：绑定该登录名对应的ldap账户，如果不填，则默认此项为登录名。

(3) 点击“保存”。

图5 配置ldap用户信息

5. 登录ldap用户。

图6 ldap用户登录

4.3.3 验证配置

进入超级管理员账户。

(1) 选择“策略配置 > 身份验证”，选择相应的ldap认证，点击“测试”。

图7 身份验证

(2) 填写需要验证的账户密码，选择相应的服务器，点击“确定”。

图8 填写验证的账户密码

(3) 返回“登录测试成功”。

图9 登录成功

4.4 Windows（AD）simple认证

4.4.1 收集信息

· Windows域控主机IP地址。

· Windows域控主机AD服务的端口号。

· Windows域控主机的查询用户的DN（打开“cmd”，通过命令“dsquery user -name [username]”查询）。

· Windows域控主机查询用户的密码。

· 用户basedn（希望从哪一层组织下查找）。

· 用户Filter（系统通过什么属性过滤用户）。