H3C SecPath ACG1000系列应用控制网关典型配置(R6616)-6W101

11-LDAP典型配置

3.1.2 sAMAccountName：使用的是登录名进行认证

4 LDAP使用通用名标识CN认证配置举例

5 LDAP使用通用名标识sAMAccountName认证配置举例

6 LDAP控制认证用户名是否区分大小写配置举例

1 简介

LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写，其实是一种目录服务，类似于我们所使用诸如 NIS(Network Information Service)、DNS (Domain Name Service)等网络目录。

信息被集中存储在服务器上的LDAP目录中，信息模型以条目（entry）为基础（如图1），一个条目是属性的集合，并且具有全局唯一DN(distinguished name)用来唯一标识；条目类似数据库中的一条记录。

LDAP目录以树状的层次结构来存储数据（这很类同于DNS），最顶层即根部称作“基准DN”，形如"dc=ldap,dc=com"或者"o=ldap.com"，前一种方式更为灵活也是Windows AD中使用的方式。在根目录的下面有很多的文件和目录，为了把这些大量的数据从逻辑上分开，LDAP像其它的目录服务协议一样使用OU （Organization Unit），可以用来表示公司内部机构，如部门等，也可以用来表示设备、人员等。同时OU还可以有子OU，用来表示更为细致的分类。

LDAP中每一条记录都有一个唯一的区别于其它记录的名字DN（Distinguished Name）,其处在“叶子”位置的部分称作RDN；如dn:cn=user,ou=test,dc=ldap,dc=com中user即为 RDN，RDN在一个OU中必须是唯一的。

LDAP支持TCP/IP协议，基于C/S模式客户端通过TCP连接到Server服务器，通过此连接发送请求和接收响应。

图1 LDAP目录

在配置LDAP服务器前，先了解如下几个定义（图2）以及它的详细说明（表1）：

图2 LDAP服务器页面

表1 LDAP服务器页面的详细说明

项目	说明
服务器名称	LDAP服务器名称
服务器IP	LDAP服务器地址
端口	LDAP服务器端口，默认389明文，暂不支持636加密同步
通用名显示	1、cn 全称 common name ：配置cn时，同步、认证都使用标识名 2、sAMAccountName 同步和认证使用登录名
Base DN	用于获取同步信息的服务器域名路径
管理员	拥有管理权限的域服务器管理员
管理员密码	管理员对应密码
开启加密	开启后LDAP同步交互采用TLS加密
分页搜索	勾选分页搜索，如果AD域服务器支持分页搜索时，可以勾选此选项。支持Windows server 2008及以上服务器。设置分页读取AD域组织结构，可以保证设备能获取完整的AD域组织结构。
页面大小	默认空为无限制，配置范围为100-800，指一次同步的用户组的个数。

LDAP同步配置显示如图3所示。

在导航栏中选择“用户管理>用户同步”，单击<新建>按钮，配置LDAP同步，LDAP同步详细参数如表2所示。

图3 LDAP同步配置界面

表2 LDAP同步界面的详细说明

参数	说明
名称	LDAP同步条目名称。
描述	LDAP同步描述信息
LDAP服务器	选择引用的LDAP服务器
同步类型	1、OU 同步AD域下ou用户 2、安全组同步Ad域下组用户
自动同步	启用或禁用自动同步功能
起始时间	LDAP同步条目创建后开始同步的时间
间隔时间	LDAP同步条目创建后按照时间间隔进行同步
自动录入	启用或禁用自动录入功能
用户组	LDAP同步用户录入本地的用户组

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解LDAP服务器特性。

3 使用限制

· LDAP同步下来的用户如果在AD域上被删除，则在设备上进行删除用户；如果该用户有引用策略且为用户自己的引用策略同时删除用户并解引用；否则，只删除该用户在用户组中引用的该用户。

· 同步过程中如果由于网络异常（例如断网）导致同步的用户（组）不完整，则认为该次同步失败，将不完整数据丢弃。

· 同步下来的用户如果无法识别，则将该用户丢弃，不在设备上进行任何操作。Windows AD服务器上用户名超长(大于127字符)；用户名包含不支持的字符（`\/”’ 和空格）时，用下划线_代替。.

· 最多可以配置128条LDAP服务器策略，最多可以配置100条LDAP组策略，每个LDAP组下最多可以引用5条LDAP服务器。

· LDAP仅支持简单模式的联动认证，不支持匿名和通用模式的联动认证。

· LDAP服务器用户名长度大于127字符后无法录入。

· LDAP服务器同步支持389明文传输，也支持密文传输。

· 只支持Windows AD域用户同步，不支持匿名同步用户。不支持OpenLdap服务器（openldap同步的用户没有dn属性无法参与认证）。

· AD服务器上用户名超长(大于127字符)，含有异常字符（汉字数字字母以及@._-()[]|以外的特殊字符）可以同步，不能录入到本地用户结构，同步过程中会依次在本地用户结构添加用户、用户组，本地满规格时无法录入，同步规格和本地用户规格相同。

· LDAP BaseDN如果写根OU的话，同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。

· IPSec和sslvpn使用LDAP认证时，需保证本地存在该用户。

· 多个用户同步条目存在时，同步任务为串行，上面同步条目同步完成后在进行下面同步条目的同步。

· LDAP同步周期起始时间（0-23），间隔时间（1-24），例如起始时间8，间隔2，代表该同步条目每天8点开始同步，每隔2小时同步一次，晚上12点结束当天的同步任务。

· AD域用户更新密码后，使用同步的ldap认证时，新旧密码都可以认证。在server 2008级别的AD下，旧密码生存期为5分钟，在server 2003级别的AD下，旧密码生存期为60分钟。

· 这个5分钟就是为了防止AD同步延时问题，防止DC数量比较多时，用户登录所在的站点内还没有成功的更新到密码的修改的情况。这样，即使新密码没有生效，旧密码依然可用。

测试2003的服务器，旧密码有效期为60分钟，自测60分钟后密码失效，此为AD域服务器的保护机制，不修改。

· 同步过程中如果由于网络异常（例如断网）导致同步的用户（组）不完整，则认为该次同步失败，将不完整数据丢弃。

· 手动创建用户组、用户创建为本地用户，和ldap服务器上组、用户名称一样，点ldap同步，这个用户没法用ldap认证，ldap同步当存在重名用户时，只移动用户，不覆盖。

· ldap组里第一个ldap服务器密码不对，用户在第二个服务器，此时用户认证浏览器无响应，目前处理不了跨域的ldap组认证，需要保障ldap组下地址可达，服务器密码正确。

· 分页搜索功能支持Windows Server 2008 及以上服务器。

3.1 LDAP认证的两种方式

图4 LDAP用户认证方式有两种类型分别为CN和sAMAccountName

3.1.1 CN：使用的是显示名进行认证

图5 通用名标识配置为CN时服务器用户配置

3.1.2 sAMAccountName：使用的是登录名进行认证

图6 通用名标识配置为sAMAccountName时服务器用户配置

4 LDAP使用通用名标识CN认证配置举例

4.1 组网需求

如图7所示，在公司内网搭建有LDAP服务器，LDAP服务器上用户是以标识名的方式进行创建的，要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。

图7 LDAP组网图

4.2 配置思路

按照组网图组网。

(1) 新建LDAP服务器,通用名标识为cn；

(2) 新建LDAP同步，并同步用户；

(3) 全局配置启用第三方认证选择ldap服务器；

(4) 新建用户认证策略。

4.3 使用版本

本举例是在R6616版本上进行配置和验证的。

4.4 配置步骤

4.4.1 配置设备

(1) 新建LDAP服务器,通用名标识为cn。

在导航栏中选择“用户管理>认证管理>认证服务器”，单击<新建>按钮，配置LDAP服务器，如图8所示。

图8 标识为为CN的LDAP服务器配置

(2) 新建LDAP同步。

在导航栏中选择“用户管理>用户同步”，单击<新建>按钮，配置LDAP同步，如图9所示。

图9 LDAP同步配置

(3) 全局配置启用第三方认证选择ldap服务器

在导航栏中选择“用户管理>认证管理>高级选项”，进入全局配置页面，启用第三方认证选择Ldap服务器，如图10所示。

图10 全局模式启用第三方Ldap配置效果图

(4) 新建用户认证策略

在导航栏中选择“用户管理>认证管理>认证策略”，进入用户认证策略的配置页面，单击<新建>按钮，配置认证策略，如图11所示。

图11 用户认证策略配置效果图

4.5 验证配置

如图12所示，访问www.qq.com，设备弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。

图12 PC访问网页弹出本地认证页面，后使用同步下来的LDAP 用户进行认证。

如图13所示，通用名标识为CN的LDAP认证效果图。

图13 认证成功效果图

5 LDAP使用通用名标识sAMAccountName认证配置举例

5.1 组网需求

如图14所示，在公司内网搭建有LDAP服务器，LDAP服务器上用户是以用户登录名的方式进行创建的，要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。

图14 LDAP组网图

5.2 配置思路

按照组网图组网。

(1) 新建LDAP服务器,通用名标识为 sAMAccountName；

(2) 新建LDAP同步，并同步用户；

(3) 全局配置启用第三方认证选择ldap服务器；

(4) 新建用户认证策略。

5.3 使用版本

本举例是在R6616版本上进行配置和验证的。

5.4 配置步骤

5.4.1 配置设备

(1) 新建LDAP服务器，通用名称标识为sAMAccountName，并同步。

在导航栏中选择“用户管理>认证管理>认证服务器”，选择“新建LDAP服务器”，如图15所示。

图15 标识名为sAMAccountName的LDAP服务器配置

(2) 新建LDAP同步

在导航栏中选择“用户管理>用户同步”，选择“新建> LDAP同步”，配置LDAP同步，如图16所示。

图16 LDAP同步

(3) 全局模式启用第三方ldap配置

在导航栏中选择“用户管理>认证管理>高级选项”，进入全局配置页面，启用第三方认证选择Ldap服务器，如图17所示。

图17 启用第三方ldap配置界面

(4) 新建用户认证策略

在导航栏中选择“用户管理>认证管理>认证策略”，进入用户认证策略的配置页面，单击<新建>按钮，配置认证策略，如图18所示。

图18 用户认证策略配置效果图

5.5 验证配置

如图19所示，访问www.qq.com，设备弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。

图19 PC访问网页弹出本地认证页面，后使用同步下来的LDAP 用户进行认证。

如图20所示，通用名标识为sAMAccountName的LDAP认证效果图。

图20 认证成功效果图

6 LDAP 控制认证用户名是否区分大小写配置举例

6.1 组网需求

如图21所示，在公司内网搭建有LDAP服务器，LDAP服务器上用户是以用户登录名的方式进行创建的，要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网，启用ldap控制用户名不区分大小写认证。

图21 LDAP组网图

6.2 配置思路

按照组网图组网。

(1) 新建LDAP服务器,通用名标识为sAMAccountName，并同步。

(2) 新建LDAP同步，并同步用户。

(3) 全局配置启用第三方认证选择ldap服务器。

(4) 新建用户认证策略。

(5) 启用ldap认证用户不区分大小写。

6.3 使用版本

本举例是在R6616版本上进行配置和验证的。

6.4 配置步骤

6.4.1 配置设备

(1) 新建LDAP服务器,通用名标识为sAMAccountName

在导航栏中选择“用户管理>认证管理>认证服务器”，单击<新建>按钮，配置LDAP服务器，如图22所示。

图22 显示名为sAMAccountName的LDAP服务器配置

(2) 新建LDAP同步，并同步用户。

在导航栏中选择“用户管理>用户同步”，选择“新建> LDAP同步”，配置LDAP同步，如图23所示。

图23 LDAP同步

(3) 全局配置启用第三方认证选择ldap服务器

在导航栏中选择“用户管理>认证管理>高级选项”，进入全局配置页面，启用第三方认证选择Ldap服务器，如图24所示。

图24 启用第三方ldap配置界面

(4) 新建用户认证策略

在导航栏中选择“用户管理>认证管理>认证策略”，进入用户认证策略的配置页面，单击<新建>按钮，配置认证策略，如图25所示。

图25 用户认证策略配置效果图

(5) 启用LDAP认证用户名不区分大小写，如图26所示。

图26 LDAP认证用户名不区分大小写配置图

默认情况下设备认证过程中用户名称不区分大小写，而LDAP服务器在检验用户名时不区分大小写，如在LDAP服务器上配置用户名为aaa，用户在认证时输入AAA，也可以认证通过，但在设备侧上线时记录的用户名是AAA，由于设备从LDAP服务器同步下来的用户名是aaa，其它策略在调用aaa做控制后，由于上线时的用户为AAA，导致策略无法匹配上，为了解决这一问题，设备侧开启认证用户名称区分大小写，即使用户输入了AAA，上线时也会显示为aaa，与本地存的用户名一模一样，保证了后续用户对象正常匹配。