11-LDAP典型配置
本章节下载: 11-LDAP典型配置 (1.11 MB)
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,其实是一种目录服务,类似于我们所使用诸如 NIS(Network Information Service)、DNS (Domain Name Service)等网络目录。
信息被集中存储在服务器上的LDAP目录中,信息模型以条目(entry)为基础(如图1),一个条目是属性的集合,并且具有全局唯一DN(distinguished name)用来唯一标识;条目类似数据库中的一条记录。
LDAP目录以树状的层次结构来存储数据(这很类同于DNS),最顶层即根部称作“基准DN”,形如"dc=ldap,dc=com"或者"o=ldap.com",前一种方式更为灵活也是Windows AD中使用的方式。在根目录的下面有很多的文件和目录,为了把这些大量的数据从逻辑上分开,LDAP像其它的目录服务协议一样使用OU (Organization Unit),可以用来表示公司内部机构,如部门等,也可以用来表示设备、人员等。同时OU还可以有子OU,用来表示更为细致的分类。
LDAP中每一条记录都有一个唯一的区别于其它记录的名字DN(Distinguished Name),其处在“叶子”位置的部分称作RDN;如dn:cn=user,ou=test,dc=ldap,dc=com中user即为 RDN,RDN在一个OU中必须是唯一的。
LDAP支持TCP/IP协议,基于C/S模式客户端通过TCP连接到Server服务器,通过此连接发送请求和接收响应。
图1 LDAP目录
在配置LDAP服务器前,先了解如下几个定义(图2)以及它的详细说明(表1):
图2 LDAP服务器页面
表1 LDAP服务器页面的详细说明
项目 |
说明 |
服务器名称 |
LDAP服务器名称 |
服务器IP |
LDAP服务器地址 |
端口 |
LDAP服务器端口,默认389明文,暂不支持636加密同步 |
通用名显示 |
1、cn 全称 common name :配置cn时,同步、认证都使用标识名 2、sAMAccountName 同步和认证使用登录名 |
Base DN |
用于获取同步信息的服务器域名路径 |
管理员 |
拥有管理权限的域服务器管理员 |
管理员密码 |
管理员对应密码 |
开启加密 |
开启后LDAP同步交互采用TLS加密 |
分页搜索 |
勾选分页搜索,如果AD域服务器支持分页搜索时,可以勾选此选项。支持Windows server 2008及以上服务器。 设置分页读取AD域组织结构,可以保证设备能获取完整的AD域组织结构。 |
页面大小 |
默认空为无限制,配置范围为100-800,指一次同步的用户组的个数。 |
LDAP同步配置显示如图3所示。
在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,配置LDAP同步,LDAP同步详细参数如表2所示。
图3 LDAP同步配置界面
表2 LDAP同步界面的详细说明
参数 |
说明 |
名称 |
LDAP同步条目名称。 |
描述 |
LDAP同步描述信息 |
LDAP服务器 |
选择引用的LDAP服务器 |
同步类型 |
1、OU 同步AD域下ou用户 2、安全组同步Ad域下组用户 |
自动同步 |
启用或禁用自动同步功能 |
起始时间 |
LDAP同步条目创建后开始同步的时间 |
间隔时间 |
LDAP同步条目创建后按照时间间隔进行同步 |
自动录入 |
启用或禁用自动录入功能 |
用户组 |
LDAP同步用户录入本地的用户组 |
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解LDAP服务器特性。
· LDAP同步下来的用户如果在AD域上被删除,则在设备上进行删除用户;如果该用户有引用策略且为用户自己的引用策略同时删除用户并解引用;否则,只删除该用户在用户组中引用的该用户。
· 同步过程中如果由于网络异常(例如断网)导致同步的用户(组)不完整,则认为该次同步失败,将不完整数据丢弃。
· 同步下来的用户如果无法识别,则将该用户丢弃,不在设备上进行任何操作。Windows AD服务器上用户名超长(大于127字符);用户名包含不支持的字符(`\/”’ 和空格)时,用下划线_代替。.
· 最多可以配置128条LDAP服务器策略,最多可以配置100条LDAP组策略,每个LDAP组下最多可以引用5条LDAP服务器。
· LDAP仅支持简单模式的联动认证,不支持匿名和通用模式的联动认证。
· LDAP服务器用户名长度大于127字符后无法录入。
· LDAP服务器同步支持389明文传输,也支持密文传输。
· 只支持Windows AD域用户同步,不支持匿名同步用户。不支持OpenLdap服务器(openldap同步的用户没有dn属性无法参与认证)。
· AD服务器上用户名超长(大于127字符),含有异常字符(汉字数字字母以及@._-()[]|以外的特殊字符)可以同步,不能录入到本地用户结构,同步过程中会依次在本地用户结构添加用户、用户组,本地满规格时无法录入,同步规格和本地用户规格相同。
· LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
· IPSec和sslvpn使用LDAP认证时,需保证本地存在该用户。
· 多个用户同步条目存在时,同步任务为串行,上面同步条目同步完成后在进行下面同步条目的同步。
· LDAP同步周期起始时间(0-23),间隔时间(1-24),例如起始时间8,间隔2,代表该同步条目每天8点开始同步,每隔2小时同步一次,晚上12点结束当天的同步任务。
· AD域用户更新密码后,使用同步的ldap认证时,新旧密码都可以认证。在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。
· 这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。这样,即使新密码没有生效,旧密码依然可用。
测试2003的服务器,旧密码有效期为60分钟,自测60分钟后密码失效,此为AD域服务器的保护机制,不修改。
· LDAP同步下来的用户如果在AD域上被删除,则在设备上进行删除用户;如果该用户有引用策略且为用户自己的引用策略同时删除用户并解引用;否则,只删除该用户在用户组中引用的该用户。
· 同步过程中如果由于网络异常(例如断网)导致同步的用户(组)不完整,则认为该次同步失败,将不完整数据丢弃。
· 手动创建用户组、用户创建为本地用户,和ldap服务器上组、用户名称一样,点ldap同步,这个用户没法用ldap认证,ldap同步当存在重名用户时,只移动用户,不覆盖。
· ldap组里第一个ldap服务器密码不对,用户在第二个服务器,此时用户认证浏览器无响应,目前处理不了跨域的ldap组认证,需要保障ldap组下地址可达,服务器密码正确。
· 分页搜索功能支持Windows Server 2008 及以上服务器。
图4 LDAP用户认证方式有两种类型分别为CN和sAMAccountName
图5 通用名标识配置为CN时服务器用户配置
图6 通用名标识配置为sAMAccountName时服务器用户配置
如图7所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以标识名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。
图7 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器,通用名标识为cn;
(2) 新建LDAP同步,并同步用户;
(3) 全局配置启用第三方认证选择ldap服务器;
(4) 新建用户认证策略。
本举例是在R6616版本上进行配置和验证的。
(1) 新建LDAP服务器,通用名标识为cn。
在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器,如图8所示。
图8 标识为为CN的LDAP服务器配置
(2) 新建LDAP同步。
在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,配置LDAP同步,如图9所示。
图9 LDAP同步配置
(3) 全局配置启用第三方认证选择ldap服务器
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图10所示。
图10 全局模式启用第三方Ldap配置效果图
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图11所示。
如图12所示,访问www.qq.com,设备弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。
图12 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。
如图13所示,通用名标识为CN的LDAP认证效果图。
如图14所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。
图14 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器,通用名标识为sAMAccountName;
(2) 新建LDAP同步,并同步用户;
(3) 全局配置启用第三方认证选择ldap服务器;
(4) 新建用户认证策略。
本举例是在R6616版本上进行配置和验证的。
(1) 新建LDAP服务器,通用名称标识为sAMAccountName,并同步。
在导航栏中选择“用户管理>认证管理>认证服务器”,选择“新建LDAP服务器”,如图15所示。
图15 标识名为sAMAccountName的LDAP服务器配置
(2) 新建LDAP同步
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图16所示。
图16 LDAP同步
(3) 全局模式启用第三方ldap配置
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图17所示。
图17 启用第三方ldap配置界面
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图18所示。
如图19所示,访问www.qq.com,设备弹出本地认证界面。输入LDAP同步下来的用户名和密码进行认证。
图19 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。
如图20所示,通用名标识为sAMAccountName的LDAP认证效果图。
如图21所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网,启用ldap控制用户名不区分大小写认证。
图21 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器,通用名标识为sAMAccountName,并同步。
(2) 新建LDAP同步,并同步用户。
(3) 全局配置启用第三方认证选择ldap服务器。
(4) 新建用户认证策略。
(5) 启用ldap认证用户不区分大小写。
本举例是在R6616版本上进行配置和验证的。
(1) 新建LDAP服务器,通用名标识为sAMAccountName
在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器,如图22所示。
图22 显示名为sAMAccountName的LDAP服务器配置
(2) 新建LDAP同步,并同步用户。
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图23所示。
图23 LDAP同步
(3) 全局配置启用第三方认证选择ldap服务器
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图24所示。
图24 启用第三方ldap配置界面
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图25所示。
(5) 启用LDAP认证用户名不区分大小写,如图26所示。
图26 LDAP认证用户名不区分大小写配置图
默认情况下设备认证过程中用户名称不区分大小写,而LDAP服务器在检验用户名时不区分大小写,如在LDAP服务器上配置用户名为aaa,用户在认证时输入AAA,也可以认证通过,但在设备侧上线时记录的用户名是AAA,由于设备从LDAP服务器同步下来的用户名是aaa,其它策略在调用aaa做控制后,由于上线时的用户为AAA,导致策略无法匹配上,为了解决这一问题,设备侧开启认证用户名称区分大小写,即使用户输入了AAA,上线时也会显示为aaa,与本地存的用户名一模一样,保证了后续用户对象正常匹配。
PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。(原同步下来的用户为upntest1,启用ldap认证用户名区分大小写后,认证用户名输入UPNtest1进行认证)
(1) 关闭LDAP认证用户区分大小写
关闭ldap认证用户名区分大小写,认证页面显示如图27所示。
关闭ldap认证用户名区分大小写,设备在线用户显示如图28所示。
(2) 开启LDAP认证用户区分大小写
开启ldap认证用户名区分大小写,认证页面显示如图29所示。
开启ldap认证用户名区分大小,设备在线用户显示如图30所示。
如图31所示,在公司内网搭建有LDAP服务器,LDAP服务器上用户是以标识名的方式进行创建的,要求内网用户使用AD-ldap服务器上安全组下的用户进行认证后上网。
图31 LDAP组网图
按照组网图组网。
(1) 新建LDAP服务器;
(2) 新建LDAP同步,同步类型为按安全组同步,并同步用户;
(3) 全局配置启用第三方认证选择LDAP服务器;
(4) 新建用户认证策略。
本举例是在R6616版本上进行配置和验证的。
(1) 新建LDAP服务器,通用名称标识为cn。
在导航栏中选择“用户管理>认证管理>认证服务器”,选择“新建>LDAP服务器”,配置LDAP服务器,如图32所示。
图32 标识名为cn的LDAP服务器配置
(2) 新建LDAP同步,同步类型为按安全组同步。
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图33所示。
图33 LDAP同步
(3) 全局模式启用第三方ldap配置
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图34所示。
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图35所示。
(1) 查看LDAP同步用户
在导航栏中选择“用户管理>用户组织结构”,查看LDAP同步用户,如下图所示。左侧显示同步用户的导航栏,并且同一用户可以同步到多个安全组中。
图36 LDAP同步的用户
(2) 使用安全组用户进行认证
如图37所示,PC访问www.qq.com,弹出本地认证界面。输入LDAP同步下来的安全组用户的用户名和密码进行认证。
图37 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 安全组用户进行认证。
如图38所示,安全组用户的LDAP认证效果图。
如下图所示,在公司内网搭建有LDAP服务器,LDAP服务器上maxpagesize 默认为1000,每次同步只能同步1000个用户组,要求内网用户使用AD-ldap服务器同步超过1000个用户组。
图39 LDAP组网图
(1) 按照组网图组网。
(2) 新建LDAP服务器,开启分页搜索,分页大小为无限制。
(3) 新建LDAP同步,并同步用户。
(4) 查看域用户。
本举例是在R6616版本上进行配置和验证的。
(1) 新建LDAP服务器,开启分页搜索,分页大小为无限制。
在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器。
图40 标识为为CN的LDAP服务器配置
(2) 新建LDAP同步。
在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,配置LDAP同步。
图41 LDAP同步配置
(1) 用户同步完成后,查看域用户组织结构,同步过来的用户组超过1000个,同步了最大数量的组织结构。
图42 域用户组织结构
(2) 修改LDAP服务器,不开启分页搜索。
图43 配置LDAP服务器-不开启分页搜索
(3) 在导航栏中选择“用户管理>域用户结构”,查看LDAP同步,域用户只能同步1000个用户组。
图44 域用户
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!