- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-LDAP典型配置举例
本章节下载 (681.24 KB)
目录
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,其实是一种目录服务,类似于我们所使用诸如 NIS(Network Information Service)、DNS (Domain Name Service)等网络目录。
信息被集中存储在服务器上的LDAP目录中,信息模型以条目(entry)为基础(如图1),一个条目是属性的集合,并且具有全局唯一DN(distinguished name)用来唯一标识;条目类似数据库中的一条记录。
LDAP目录以树状的层次结构来存储数据(这很类同于DNS),最顶层即根部称作“基准DN”,形如"dc=sapling,dc=com"或者"o= sapling.com",前一种方式更为灵活也是Windows AD中使用的方式。在根目录的下面有很多的文件和目录,为了把这些大量的数据从逻辑上分开,LDAP像其它的目录服务协议一样使用OU (Organization Unit),可以用来表示公司内部机构,如部门等,也可以用来表示设备、人员等。同时OU还可以有子OU,用来表示更为细致的分类。
LDAP中每一条记录都有一个唯一的区别于其它记录的名字DN(Distinguished Name),其处在“叶子”位置的部分称作RDN;如dn:cn=user,ou=test,dc=sapling,dc=com中user即为 RDN,RDN在一个OU中必须是唯一的。
LDAP支持TCP/IP协议,基于C/S模式客户端通过TCP连接到Server服务器,通过此连接发送请求和接收响应。
图1 LDAP目录
在配置LDAP服务器前,先了解如下几个定义(图2)以及它的详细说明(图2表1):
图2 LDAP服务器一些定义
表1 LDAP服务器页面的详细说明
|
项目 |
说明 |
|
名称 |
LDAP服务器名称 |
|
服务器IP |
LDAP服务器地址 |
|
端口 |
LDAP服务器端口,默认389明文,暂不支持636加密同步 |
|
通用名标示 |
(1) cn 全称 common name :每个用户节点的识别属性标识 (2) upn 用于用户登录名进行web认证时使用的标识 |
|
Base DN |
用于获取同步信息的服务器域名路径 |
|
绑定方式 |
1.匿名 2.简单 |
|
管理员 |
拥有管理权限的域服务器管理员 |
|
管理员密码 |
管理员对应密码 |
|
自动同步 |
开启关闭自动同步 |
|
时间 |
勾选自动同步后配置自动同步时间向AD服务器发送同步请求 |
本模块功能具有如下功能点:
· 设备周期(默认每天23点)向AD服务器发送同步请求。
· 可手动(UI界面或命令行)向AD服务器下发ldap同步请求。
· 在设备上配置ldap服务器后,可手动触发向AD服务器下发ldap同步请求。
· 从AD域中同步用户组到设备,并且能被引用。
· 从AD域中同步用户到设备,同时在设备上将该用户添加到所属用户组。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解LDAP服务器特性。
· LDAP同步下来的用户如果在AD域上被删除,则在设备上进行删除用户;如果该用户有引用策略且为用户自己的引用策略同时删除用户并解引用;否则,只删除该用户在用户组中引用的该用户。
· 同步过程中如果由于网络异常(例如断网)导致同步的用户(组)不完整,则认为该次同步失败,将不完整数据丢弃。
· 同步下来的用户如果无法识别,则将该用户丢弃,不在设备上进行任何操作。Windows AD服务器上用户名超长(大于63字符);(汉字数字字母以及@._-()[]|以外的特殊字符);单OU下大于2048个用户的不支持同步。
· 支持主备同步。HA主备环境配置不会比较LDAP同步下来的用户。
· LDAP服务器同步目前支持389明文传输,不支持636密文传输(加密跟服务器交互不了 身份验证不了)。
· 最多可以配置128条LDAP服务器策略,最多可以配置100条LDAP组策略,每个LDAP组下最多可以引用5条LDAP服务器。
· LDAP服务器 BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
· 远端用户删除后重新同步ldap组后,远端被删除的用户移除用户组,本地用户没被删除,不会影响到策略。
· IPSec条件下使用LDAP认证时,IPSec认证使用用户名密码认证后,会从本地查找该用户名用户,若该用户不存在,则不会添加该用户到认证用户组。所以若使用该方式认证,需保证本地存在该用户。
· LDAP定时同步设定的时间范围为0-23,例如:23,所代表的含义是时间整点为23点的一个小时时间段内均为自动同步的有效时间,即23:00-23:59为自动同步有效时间。
表2 用户及用户组规格
|
设备型号(GY) |
最大用户数 |
最大用户组数 |
每组最大用户数 |
|
1G内存 |
2048 |
2048 |
2048 |
|
2G内存 |
4096 |
4096 |
2048 |
|
4G内存 |
8192 |
8192 |
2048 |
|
8G内存及以上 |
32768 |
32768 |
2048 |
图3 LDAP用户认证通用户标示有两种类型分别为CN和UPN
图4 标示名使用CN时服务器用户配置
图5 标示名使用UPN时服务器用户配置
如图6所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以标示名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。
图6 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器,通用名标示为cn,并同步。
(2) 启用第三方认证。
(3) 新建用户认证策略。
(1) 新建LDAP服务器,通用名标示为cn,并同步。
在导航栏中选择“用户管理>认证服务器>LDAP”,进入LDAP服务器的配置页面,单击<新建>按钮,配置LDAP服务器,如图7所示。
图7 标示名为CN的LDAP服务器配置
配置完成后如下图8所示。
图8 LDAP服务器配置效果图
(2) 启用第三方认证
在导航栏中选择“用户管理>全局配置”,进入全局配置页面。启用第三方认证,认证方式选择Ldap,LDAP服务器选择刚配置的LDAP服务器提交,如下图所示。
第三方认证配置页面
(3) 新建用户认证策略
在导航栏中选择“用户管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图9所示。
如图10所示,访问www.qq.com,设备弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。
图10 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。
如图11所示,标示名为CN的LDAP认证效果图。
如图12所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。
图12 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器,通用名标示为UPN,并同步。
(2) 启用第三方认证。
(3) 新建用户认证策略。
(1) 新建LDAP服务器,通用名标示为UPN,并同步。
在导航栏中选择“用户管理>认证服务器>LDAP”,进入LDAP服务器的配置页面,单击<新建>按钮,配置LDAP服务器,如图13所示。
图13 标示名为CN的LDAP服务器配置
配置完成后如下图14所示。
图14 LDAP服务器配置效果图
(2) 启用第三方认证
在导航栏中选择“用户管理>全局配置”,进入全局配置页面。启用第三方认证,认证方式选择Ldap,LDAP服务器选择刚配置的LDAP服务器提交,如图15所示。
(3) 新建用户认证策略
在导航栏中选择“用户管理>全局配置>认证配置”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图16所示。
如图17所示,访问www.qq.com,设备弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。
图17 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。
如图18所示,标示名为UPN的LDAP认证效果图。
· 《H3C SecPath F1000-C8102安全产品管理平台Web配置手册》中的“LDAP”
· 《H3C SecPath F1000-C8102安全产品管理平台 典型配置举例》中的“LDAP”
· 《H3C SecPath F1000-C8102安全产品管理平台对外测试手册》中的“LDAP”
· 《H3C SecPath F1000-C8102安全产品管理平台 用户FAQ》中的“LDAP”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
