- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-LDAP典型配置举例
本章节下载: 12-LDAP典型配置举例 (1.07 MB)
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,其实是一种目录服务,类似于我们所使用诸如 NIS(Network Information Service)、DNS (Domain Name Service)等网络目录。
信息被集中存储在服务器上的LDAP目录中,信息模型以条目(entry)为基础(如图1),一个条目是属性的集合,并且具有全局唯一DN(distinguished name)用来唯一标识;条目类似数据库中的一条记录。
LDAP目录以树状的层次结构来存储数据(这很类同于DNS),最顶层即根部称作“基准DN”,形如"dc=LDAP,dc=com"或者"o=LDAP.com",前一种方式更为灵活也是Windows AD中使用的方式。在根目录的下面有很多的文件和目录,为了把这些大量的数据从逻辑上分开,LDAP像其它的目录服务协议一样使用OU (Organization Unit),可以用来表示公司内部机构,如部门等,也可以用来表示设备、人员等。同时OU还可以有子OU,用来表示更为细致的分类。
LDAP中每一条记录都有一个唯一的区别于其它记录的名字DN(Distinguished Name),其处在“叶子”位置的部分称作RDN;如dn:cn=user,ou=test,dc=LDAP,dc=com中user即为 RDN,RDN在一个OU中必须是唯一的。
LDAP支持TCP/IP协议,基于C/S模式客户端通过TCP连接到Server服务器,通过此连接发送请求和接收响应。
图1 LDAP目录
在配置LDAP服务器前,先了解如下几个定义(图2)以及它的详细说明(表1):
图2 LDAP服务器页面
表1 LDAP服务器页面的详细说明
|
项目 |
说明 |
|
服务器名称 |
LDAP服务器名称 |
|
服务器IP |
LDAP服务器地址 |
|
端口 |
LDAP服务器端口,默认389明文,暂不支持636加密同步 |
|
通用名显示 |
1、cn 全称 common name :配置cn时,同步、认证都使用标识名 2、sAMAccountName 同步和认证使用登录名 |
|
Base DN |
用于获取同步信息的服务器域名路径 |
|
管理员 |
拥有管理权限的域服务器管理员 |
|
管理员密码 |
管理员对应密码 |
LDAP同步配置显示如图3所示。
在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,配置LDAP同步,LDAP同步详细参数如表2所示。
图3 LDAP同步配置界面
表2 LDAP同步界面的详细说明
|
参数 |
说明 |
|
启用 |
Ldap同步条目启用。 |
|
名称 |
LDAP同步条目名称。 |
|
描述 |
LDAP同步描述信息 |
|
LDAP服务器 |
选择引用的LDAP服务器 |
|
同步类型 |
1、OU 同步AD域下ou用户 2、安全组同步Ad域下组用户 |
|
自动同步 |
启用或禁用自动同步功能 |
|
起始时间 |
LDAP同步条目创建后开始同步的时间 |
|
间隔时间 |
LDAP同步条目创建后按照时间间隔进行同步 |
|
用户组 |
LDAP同步用户的用户组 |
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解LDAP服务器特性。
· LDAP同步下来的用户如果在AD域上被删除,则在设备上进行删除用户;如果该用户有引用策略且为用户自己的引用策略同时删除用户并解引用;否则,只删除该用户在用户组中引用的该用户。
· 同步过程中如果由于网络异常(例如断网)导致同步的用户(组)不完整,则认为该次同步失败,将不完整数据丢弃。
· 同步下来的用户如果无法识别,则将该用户丢弃,不在设备上进行任何操作。Windows AD服务器上用户名超长(大于63字符);(汉字数字字母以及@._-()[]|以外的特殊字符).
· 最多可以配置128条LDAP服务器策略,最多可以配置100条LDAP组策略,每个LDAP组下最多可以引用5条LDAP服务器。
· LDAP仅支持简单模式的联动认证,不支持匿名和通用模式的联动认证。
· LDAP服务器用户名长度大于63字符后无法录入。
· LDAP服务器同步目前支持389明文传输,不支持636密文传输(加密跟服务器交互不了 身份验证不了)。
· 只支持Windows AD域用户同步,不支持匿名同步用户。不支持OpenLdap服务器(openLDAP同步的用户没有dn属性无法参与认证)。
· AD服务器上用户名超长(大于63字符),含有异常字符(汉字数字字母以及@._-()[]|以外的特殊字符)可以同步,不能录入到本地用户结构,同步过程中会依次在本地用户结构添加用户、用户组,本地满规格时无法录入,同步规格和本地用户规格相同。
· LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
· IPSec和sslvpn使用LDAP认证时,需保证本地存在该用户。
· 多个用户同步条目存在时,同步任务为串行,上面同步条目同步完成后在进行下面同步条目的同步。
· LDAP同步周期起始时间(0-23),间隔时间(1-24),例如起始时间8,间隔2,代表该同步条目每天8点开始同步,每隔2小时同步一次,晚上12点结束当天的同步任务。
· AD域用户更新密码后,使用同步的LDAP认证时,新旧密码都可以认证。在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。
· 这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。这样,即使新密码没有生效,旧密码依然可用。
测试2003的服务器,旧密码有效期为60分钟,自测60分钟后密码失效,此为AD域服务器的保护机制,不修改。
· LDAP同步下来的用户如果在AD域上被删除,则在设备上进行删除用户;如果该用户有引用策略且为用户自己的引用策略同时删除用户并解引用;否则,只删除该用户在用户组中引用的该用户。
· 同步过程中如果由于网络异常(例如断网)导致同步的用户(组)不完整,则认为该次同步失败,将不完整数据丢弃。
· 同步下来的用户如果无法识别,则将该用户丢弃,不在设备上进行任何操作。Windows AD服务器上用户名超长(大于63字符);(汉字数字字母以及@._-()[]|以外的特殊字符).
· 手动创建用户组、用户创建为本地用户,和LDAP服务器上组、用户名称一样,点LDAP同步,这个用户没法用LDAP认证,LDAP同步当存在重名用户时,只移动用户,不覆盖。
· LDAP组里第一个LDAP服务器密码不对,用户在第二个服务器,此时用户认证浏览器无响应,目前处理不了跨域的LDAP组认证,需要保障LDAP组下地址可达,服务器密码正确。
· 如果设备本地存在用户组和LDAP服务器上组名一样,可以把AD域上重名的用户录入到设备组下。
· 如果设备本地存在用户和LDAP服务器上用户名称一样,不会把AD域上的用户录入到设备上。
· LDAP安全组和安全组下用户不允许删除,只可以编辑查看,不能修改。
· LDAP安全组和用户不允许导出和导入。
· LDAP安全组不允许录入其他用户(包含:认证策略里指定用户组,用户同步条目里的指定用户组,自注册里的用户组)。
· 第三方LDAP认证时,用户属于多个组的情况下,在线用户中只显示一个组信息。
· 安全组同步过程中修改用户组,禁用或删除策略后会导致最终设备残留安全组无法删除。
· 两台AD服务器上有相同的用户,用户属于不同的安全组。同步后,设备上查看用户所属安全组有两台AD上的安全组。
· 不用层级的相同名称安全组占用多个用户组规格;一个用户属于多个安全组,该用户只占用1个用户规格。
· 编辑LDAP安全组同步任务:禁用、修改录入组、更换LDAP时服务器,会删除修改之前的同步结果。(修改LDAP服务器的Base DN不会触发)。
· LDAP安全组同步任务在同步失败(密码错误、网络不可达、AD域上无安全组)时,会删除之前的未被引用的LDAP安全组和组下用户。
· R6613以下版本升级到R6613及以上版本时,LDAP同步条目里同步周期小时会换算成秒,配置可以兼容,设备起来后LDAP会立即同步一次。
· R6613及以上版本降级到R6613以下版本时,LDAP同步条目丢失(R6613及以上版本改了同步间隔,以下版本不兼容)LDAP安全组图标变成ou组,安全组下用户丢失(版本降级后需要手动创建LDAP同步条目重新同步一次LDAP用户)。
图4 LDAP用户认证方式有两种类型分别为CN和sAMAccountName
图5 通用名标识配置为CN时服务器用户配置
图6 通用名标识配置为sAMAccountName时服务器用户配置
如图7所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以标识名的方式进行创建的,要求内网用户使用AD-ldap服务器上安全组同步下来的用户进行认证后上网。
图7 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器,通用名标识为cn;
(2) 新建LDAP同步,并同步用户;
(3) 全局配置启用第三方认证选择ldap服务器;
(4) 新建用户认证策略。
本举例是在R6614版本上进行配置和验证的。
(1) 新建LDAP服务器,通用名标识为cn。
在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器,如图8所示。
图8 标识为为CN的LDAP服务器配置
配置完成后如下图9所示。
图9 LDAP服务器配置效果图
(2) 新建LDAP同步。
在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,配置LDAP同步,如图10所示。
图10 LDAP同步配置
(3) 全局配置启用第三方认证选择ldap服务器
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图11所示。
图11 全局模式启用第三方Ldap配置效果图
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图12所示。
如图13所示,访问www.qq.com,设备弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。
图13 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。
如图14所示,通用名标识为CN的LDAP认证效果图。
如图15所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD-LDAP服务器同步下来的用户进行认证后上网。
图15 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器,通用名标识为sAMAccountName;
(2) 新建LDAP同步,并同步用户;
(3) 全局配置启用第三方认证选择LDAP服务器;
(4) 新建用户认证策略。
本举例是在R6614版本上进行配置和验证的。
(1) 新建LDAP服务器,通用名称标识为sAMAccountName,并同步。
在导航栏中选择“用户管理>认证管理>认证服务器”,选择“新建LDAP服务器”,如图16所示。
图16 标识名为sAMAccountName的LDAP服务器配置
配置完成后如图17所示。
图17 LDAP服务器配置效果图
(2) 新建LDAP同步
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图18所示。
图18 LDAP同步
(3) 全局模式启用第三方LDAP配置
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图19所示。
图19 启用第三方LDAP配置界面
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图20所示。
如图21所示,访问www.qq.com,设备弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。
图21 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。
如图22所示,通用名标识为sAMAccountName的LDAP认证效果图。
如图23所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD-LDAP服务器同步下来的用户进行认证后上网,启用LDAP控制用户名不区分大小写认证。
图23 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器,通用名标识为sAMAccountName,并同步。
(2) 新建LDAP同步,并同步用户。
(3) 全局配置启用第三方认证选择LDAP服务器。
(4) 新建用户认证策略。
(5) 启用LDAP认证用户不区分大小写。
本举例是在R6614版本上进行配置和验证的。
(1) 新建LDAP服务器,通用名标识为sAMAccountName
在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器,如图24所示。
图24 显示名为sAMAccountName的LDAP服务器配置
配置完成后如图25所示。
图25 LDAP服务器配置效果图
(2) 新建LDAP同步,并同步用户。
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图26所示。
图26 LDAP同步
(3) 全局配置启用第三方认证选择LDAP服务器
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图27所示。
图27 启用第三方LDAP配置界面
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图28所示。
(5) 启用LDAP认证用户名不区分大小写,如图29所示。
图29 LDAP认证用户名不区分大小写配置图
默认情况下设备认证过程中用户名称不区分大小写,而LDAP服务器在检验用户名时不区分大小写,如在LDAP服务器上配置用户名为aaa,用户在认证时输入AAA,也可以认证通过,但在设备侧上线时记录的用户名是AAA,由于设备从LDAP服务器同步下来的用户名是aaa,其它策略在调用aaa做控制后,由于上线时的用户为AAA,导致策略无法匹配上,为了解决这一问题,设备侧开启认证用户名称区分大小写,即使用户输入了AAA,上线时也会显示为aaa,与本地存的用户名一模一样,保证了后续用户对象正常匹配。
PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。(原同步下来的用户为upntest1,启用LDAP认证用户名区分大小写后,认证用户名输入UPNtest1进行认证)
(1) 关闭LDAP认证用户区分大小写
关闭LDAP认证用户名区分大小写,认证页面显示如图30所示。
关闭LDAP认证用户名区分大小写,设备在线用户显示如图31所示。
(2) 开启LDAP认证用户区分大小写
开启LDAP认证用户名区分大小写,认证页面显示如图32所示。
开启LDAP认证用户名区分大小,设备在线用户显示如图33所示。
如图34所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以标识名的方式进行创建的,要求内网用户使用AD-LDAP服务器上安全组下的用户进行认证后上网。
图34 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器;
(2) 新建LDAP同步,同步类型为按安全组同步,并同步用户;
(3) 全局配置启用第三方认证选择LDAP服务器;
(4) 新建用户认证策略。
(5) 配置控制策略。
本举例是在R6614版本上进行配置和验证的。
(1) 新建LDAP服务器,通用名标识为cn。
在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器,如4.4.1 (1)图8所示。
图35 标识为为CN的LDAP服务器配置
(2) 新建LDAP同步。
在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,配置LDAP同步,如4.4.1 (2)图10所示。
图36 LDAP同步配置
(3) 全局配置启用第三方认证选择LDAP服务器
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如4.4.1 (3)图11所示。
图37 全局模式启用第三方Ldap配置效果图
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,单击<新建>按钮,配置认证策略,输入策略名称,其它默认,点击提交。如4.4.1 (4)图12所示。
图38 用户认证策略配置效果图
(5) 新建控制策略
在导航栏中选择“策略配置>控制策略”,进入策略配置页面,点击<新建>按钮,配置控制策略。用户选择“SG-TEST1”组,选择“应用过滤>应用控制”页面,点击“新建”,应用选择“电子商务”,处理动作选择“允许”,配置完成后点击“提交”。如下图所示。
图39 配置应用控制策略
同样的方式再新建一条控制策略,用户选“SG-TEST2”组,应用选择“电子商务”,动作为“拒绝”,提交后如下图所示。
图40 控制策略配置完成
(1) 查看LDAP同步用户
在导航栏中选择“用户管理>用户”,查看LDAP同步用户。左侧显示同步用户的导航栏,并且同一用户可以同步到多个安全组中。如下图所示,用户sg,同时同步到了SG-TEST1和SG-TEST2两个组中。
图41 LDAP同步的用户SG-TEST1组
图42 LDAP同步的用户SG-TEST2组
(2) 使用安全组用户进行认证
如4.5 图13所示,PC访问www.qq.com,设备弹出本地认证界面。输入LDAP同步下来的安全组用户sg的用户名和密码进行认证。
图43 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。
认证成功后,访问网站(www.jd.com),查看控制日志,在导航栏“数据中心>日志中心>控制日志”,选择应用控制日志,查看日志,用户sg匹配了两条控制策略,第一条为允许,第二条为阻断,如下图所示。
图44 应用控制日志-允许
图45 应用控制日志-阻断
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
