• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6616)-6W101

目录

11-LDAP典型配置

本章节下载 11-LDAP典型配置  (1.11 MB)

11-LDAP典型配置


1  简介

LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,其实是一种目录服务,类似于我们所使用诸如 NIS(Network Information Service)、DNS (Domain Name Service)等网络目录。

信息被集中存储在服务器上的LDAP目录中,信息模型以条目(entry)为基础(如图1),一个条目是属性的集合,并且具有全局唯一DN(distinguished name)用来唯一标识;条目类似数据库中的一条记录。

LDAP目录以树状的层次结构来存储数据(这很类同于DNS),最顶层即根部称作“基准DN”,形如"dc=ldap,dc=com"或者"o=ldap.com",前一种方式更为灵活也是Windows AD中使用的方式。在根目录的下面有很多的文件和目录,为了把这些大量的数据从逻辑上分开,LDAP像其它的目录服务协议一样使用OU (Organization Unit),可以用来表示公司内部机构,如部门等,也可以用来表示设备、人员等。同时OU还可以有子OU,用来表示更为细致的分类。

LDAP中每一条记录都有一个唯一的区别于其它记录的名字DN(Distinguished Name),其处在“叶子”位置的部分称作RDN;如dn:cn=user,ou=test,dc=ldap,dc=com中user即为 RDN,RDN在一个OU中必须是唯一的。

LDAP支持TCP/IP协议,基于C/S模式客户端通过TCP连接到Server服务器,通过此连接发送请求和接收响应。

图1 LDAP目录

 

在配置LDAP服务器前,先了解如下几个定义(图2)以及它的详细说明(表1):

图2 LDAP服务器页面

 

表1 LDAP服务器页面的详细说明

项目

说明

服务器名称

LDAP服务器名称

服务器IP

LDAP服务器地址

端口

LDAP服务器端口,默认389明文,暂不支持636加密同步

通用名显示

1cn 全称 common name  :配置cn时,同步、认证都使用标识名

2sAMAccountName  同步和认证使用登录名

Base DN

用于获取同步信息的服务器域名路径

管理员

拥有管理权限的域服务器管理员

管理员密码

管理员对应密码

开启加密

开启后LDAP同步交互采用TLS加密

分页搜索

勾选分页搜索,如果AD域服务器支持分页搜索时,可以勾选此选项。支持Windows server 2008及以上服务器。

设置分页读取AD域组织结构,可以保证设备能获取完整的AD域组织结构。

页面大小

默认空为无限制,配置范围为100-800,指一次同步的用户组的个数。

 

LDAP同步配置显示如图3所示。

在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,配置LDAP同步,LDAP同步详细参数如表2所示。

图3 LDAP同步配置界面

 

表2 LDAP同步界面的详细说明

参数

说明

名称

LDAP同步条目名称。

描述

LDAP同步描述信息

LDAP服务器

选择引用的LDAP服务器

同步类型

1OU  同步AD域下ou用户

2安全组同步Ad域下组用户

自动同步

启用或禁用自动同步功能

起始时间

LDAP同步条目创建后开始同步的时间

间隔时间

LDAP同步条目创建后按照时间间隔进行同步

自动录入

启用或禁用自动录入功能

用户组

LDAP同步用户录入本地的用户组

 

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解LDAP服务器特性。

3  使用限制

·              LDAP同步下来的用户如果在AD域上被删除,则在设备上进行删除用户;如果该用户有引用策略且为用户自己的引用策略同时删除用户并解引用;否则,只删除该用户在用户组中引用的该用户。

·              同步过程中如果由于网络异常(例如断网)导致同步的用户(组)不完整,则认为该次同步失败,将不完整数据丢弃。

·              同步下来的用户如果无法识别,则将该用户丢弃,不在设备上进行任何操作。Windows AD服务器上用户名超长(大于127字符);用户名包含不支持的字符(`\/”’ 和空格)时,用下划线_代替。.

·              最多可以配置128条LDAP服务器策略,最多可以配置100条LDAP组策略,每个LDAP组下最多可以引用5条LDAP服务器。

·              LDAP仅支持简单模式的联动认证,不支持匿名和通用模式的联动认证。

·              LDAP服务器用户名长度大于127字符后无法录入。

·              LDAP服务器同步支持389明文传输,也支持密文传输。

·              只支持Windows AD域用户同步,不支持匿名同步用户。不支持OpenLdap服务器(openldap同步的用户没有dn属性无法参与认证)。

·              AD服务器上用户名超长(大于127字符),含有异常字符(汉字数字字母以及@._-()[]|以外的特殊字符)可以同步,不能录入到本地用户结构,同步过程中会依次在本地用户结构添加用户、用户组,本地满规格时无法录入,同步规格和本地用户规格相同。

·              LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。

·              IPSec和sslvpn使用LDAP认证时,需保证本地存在该用户。

·              多个用户同步条目存在时,同步任务为串行,上面同步条目同步完成后在进行下面同步条目的同步。

·              LDAP同步周期起始时间(0-23),间隔时间(1-24),例如起始时间8,间隔2,代表该同步条目每天8点开始同步,每隔2小时同步一次,晚上12点结束当天的同步任务。

·              AD域用户更新密码后,使用同步的ldap认证时,新旧密码都可以认证。在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。

·              这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。这样,即使新密码没有生效,旧密码依然可用。

测试2003的服务器,旧密码有效期为60分钟,自测60分钟后密码失效,此为AD域服务器的保护机制,不修改。

·              LDAP同步下来的用户如果在AD域上被删除,则在设备上进行删除用户;如果该用户有引用策略且为用户自己的引用策略同时删除用户并解引用;否则,只删除该用户在用户组中引用的该用户。

·              同步过程中如果由于网络异常(例如断网)导致同步的用户(组)不完整,则认为该次同步失败,将不完整数据丢弃。

·              手动创建用户组、用户创建为本地用户,和ldap服务器上组、用户名称一样,点ldap同步,这个用户没法用ldap认证,ldap同步当存在重名用户时,只移动用户,不覆盖。

·              ldap组里第一个ldap服务器密码不对,用户在第二个服务器,此时用户认证浏览器无响应,目前处理不了跨域的ldap组认证,需要保障ldap组下地址可达,服务器密码正确。

·              分页搜索功能支持Windows Server 2008 及以上服务器。

 

3.1  LDAP认证的两种方式

图4 LDAP用户认证方式有两种类型分别为CN和sAMAccountName

 

3.1.1  CN:使用的是显示名进行认证

图5  通用名标识配置为CN时服务器用户配置

 

3.1.2  sAMAccountName:使用的是登录名进行认证

图6 通用名标识配置为sAMAccountName时服务器用户配置

 

4  LDAP使用通用名标识CN认证配置举例

4.1  组网需求

图7所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以标识名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。

图7 LDAP组网图

 

4.2  配置思路

按照组网图组网。

(1)      新建LDAP服务器,通用名标识为cn;

(2)      新建LDAP同步,并同步用户;

(3)      全局配置启用第三方认证选择ldap服务器;

(4)      新建用户认证策略。

4.3  使用版本

本举例是在R6616版本上进行配置和验证的。

4.4  配置步骤

4.4.1  配置设备

(1)      新建LDAP服务器,通用名标识为cn。

在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器,如图8所示。

图8 标识为为CN的LDAP服务器配置

 

(2)      新建LDAP同步。

在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,配置LDAP同步,如图9所示。

图9 LDAP同步配置

 

(3)      全局配置启用第三方认证选择ldap服务器

在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图10所示。

图10 全局模式启用第三方Ldap配置效果图

 

(4)      新建用户认证策略

在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图11所示。

图11 用户认证策略配置效果图

 

4.5  验证配置

图12所示,访问www.qq.com,设备弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。

图12 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。

 

图13所示,通用名标识为CN的LDAP认证效果图。

图13 认证成功效果图

 

5  LDAP使用通用名标识sAMAccountName认证配置举例

5.1  组网需求

图14所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。

图14 LDAP组网图

 

5.2  配置思路

按照组网图组网。

(1)      新建LDAP服务器,通用名标识为sAMAccountName

(2)      新建LDAP同步,并同步用户;

(3)      全局配置启用第三方认证选择ldap服务器;

(4)      新建用户认证策略。

5.3  使用版本

本举例是在R6616版本上进行配置和验证的。

5.4  配置步骤

5.4.1  配置设备

(1)      新建LDAP服务器,通用名称标识为sAMAccountName,并同步。

在导航栏中选择“用户管理>认证管理>认证服务器”,选择“新建LDAP服务器”,如图15所示。

图15 标识名为sAMAccountName的LDAP服务器配置

 

(2)      新建LDAP同步

在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图16所示。

图16 LDAP同步

 

(3)      全局模式启用第三方ldap配置

在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图17所示。

图17 启用第三方ldap配置界面

(4)      新建用户认证策略

在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图18所示。

图18 用户认证策略配置效果图

 

5.5  验证配置

图19所示,访问www.qq.com,设备弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。

图19 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。

 

图20所示,通用名标识为sAMAccountName的LDAP认证效果图。

图20 认证成功效果图

 

 

6  LDAP控制认证用户名是否区分大小写配置举例

6.1  组网需求

图21所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网,启用ldap控制用户名不区分大小写认证。

图21 LDAP组网图

 

6.2  配置思路

按照组网图组网。

(1)      新建LDAP服务器,通用名标识为sAMAccountName,并同步。

(2)      新建LDAP同步,并同步用户。

(3)      全局配置启用第三方认证选择ldap服务器。

(4)      新建用户认证策略。

(5)      启用ldap认证用户不区分大小写。

6.3  使用版本

本举例是在R6616版本上进行配置和验证的。

6.4  配置步骤

6.4.1  配置设备

(1)      新建LDAP服务器,通用名标识为sAMAccountName

在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器,如图22所示。

图22 显示名为sAMAccountName的LDAP服务器配置

 

(2)      新建LDAP同步,并同步用户。

在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图23所示。

图23 LDAP同步

 

(3)      全局配置启用第三方认证选择ldap服务器

在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图24所示。

图24 启用第三方ldap配置界面

 

(4)      新建用户认证策略

在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图25所示。

图25 用户认证策略配置效果图

 

(5)      启用LDAP认证用户名不区分大小写,如图26所示。

图26 LDAP认证用户名不区分大小写配置图

 

说明

默认情况下设备认证过程中用户名称不区分大小写,而LDAP服务器在检验用户名时不区分大小写,如在LDAP服务器上配置用户名为aaa,用户在认证时输入AAA,也可以认证通过,但在设备侧上线时记录的用户名是AAA,由于设备从LDAP服务器同步下来的用户名是aaa,其它策略在调用aaa做控制后,由于上线时的用户为AAA,导致策略无法匹配上,为了解决这一问题,设备侧开启认证用户名称区分大小写,即使用户输入了AAA,上线时也会显示为aaa,与本地存的用户名一模一样,保证了后续用户对象正常匹配。

 

6.5  验证配置

PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。(原同步下来的用户为upntest1,启用ldap认证用户名区分大小写后,认证用户名输入UPNtest1进行认证)

(1)      关闭LDAP认证用户区分大小写

 

关闭ldap认证用户名区分大小写,认证页面显示如图27所示。

图27 登录页面

 

 

关闭ldap认证用户名区分大小写,设备在线用户显示如图28所示。

图28 在线用户页面

 

(2)      开启LDAP认证用户区分大小写

开启ldap认证用户名区分大小写,认证页面显示如图29所示。

图29 登录页面

 

开启ldap认证用户名区分大小,设备在线用户显示如图30所示。

图30 在线用户页面

 

7  LDAP使用同步安全组认证配置举例

7.1  组网需求

图31所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以标识名的方式进行创建的,要求内网用户使用AD-ldap服务器上安全组下的用户进行认证后上网。

图31 LDAP组网图

 

7.2  配置思路

按照组网图组网。

(1)      新建LDAP服务器;

(2)      新建LDAP同步,同步类型为按安全组同步,并同步用户;

(3)      全局配置启用第三方认证选择LDAP服务器;

(4)      新建用户认证策略。

7.3  使用版本

本举例是在R6616版本上进行配置和验证的。

7.4  配置步骤

7.4.1  配置设备

(1)      新建LDAP服务器,通用名称标识为cn。

在导航栏中选择“用户管理>认证管理>认证服务器”,选择“新建>LDAP服务器”,配置LDAP服务器,如图32所示。

图32 标识名为cn的LDAP服务器配置

 

(2)      新建LDAP同步,同步类型为按安全组同步。

在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图33所示。

图33 LDAP同步

 

(3)      全局模式启用第三方ldap配置

在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图34所示。

图34 全局模式配置效果图

 

(4)      新建用户认证策略

在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图35所示。

图35 用户认证策略配置效果图

 

2. 验证配置效果

(1)      查看LDAP同步用户

在导航栏中选择“用户管理>用户组织结构”,查看LDAP同步用户,如下图所示。左侧显示同步用户的导航栏,并且同一用户可以同步到多个安全组中。

图36 LDAP同步的用户

 

 

(2)      使用安全组用户进行认证

图37所示,PC访问www.qq.com,弹出本地认证界面。输入LDAP同步下来的安全组用户的用户名和密码进行认证。

图37 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 安全组用户进行认证。

 

图38所示,安全组用户的LDAP认证效果图。

图38 认证成功效果图


 

8  LDAP使用分页搜索配置举例

8.1  组网需求

下图所示,在公司内网搭建有LDAP服务器,LDAP服务器上maxpagesize 默认为1000,每次同步只能同步1000个用户组,要求内网用户使用AD-ldap服务器同步超过1000个用户组。

图39 LDAP组网图

 

8.2  配置思路

(1)      按照组网图组网。

(2)      新建LDAP服务器,开启分页搜索,分页大小为无限制。

(3)      新建LDAP同步,并同步用户。

(4)      查看域用户。

8.3  使用版本

本举例是在R6616版本上进行配置和验证的。

8.4  配置步骤

8.4.1  配置设备

(1)      新建LDAP服务器,开启分页搜索,分页大小为无限制。

在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器。

图40 标识为为CN的LDAP服务器配置

 

(2)      新建LDAP同步。

在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,配置LDAP同步。

图41 LDAP同步配置

 

8.5  验证配置

(1)      用户同步完成后,查看域用户组织结构,同步过来的用户组超过1000个,同步了最大数量的组织结构。

图42 域用户组织结构

 

(2)      修改LDAP服务器,不开启分页搜索。

图43 配置LDAP服务器-不开启分页搜索

(3)      在导航栏中选择“用户管理>域用户结构”,查看LDAP同步,域用户只能同步1000个用户组。

图44 域用户

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们