场景案例

在客户内网已经部署了LDAP服务器的情况下再部署SIG，管理员希望内网用户能够使用现有的LDAP账号密码通过SIG的身份认证策略，无须为内网用户在SIG上再创建一套账号，从而避免用户在原有LDAP账号的基础上再记忆一套新账号和密码。

配置步骤

本次以Microsoft Active Directory作为外部LDAP服务器示例。

步骤1.在SIG上配置外部认证服务器。在[准入控制/portal认证/认证服务器]界面配置外部认证服务器，点击<新增>按钮选择[LDAP服务器]。

步骤2.配置LDAP服务器相关参数。在[服务器名称]栏定义外部认证服务器的名称，在服务器类型：选择MS Active Directory(视实际情况选择对应的类型)。

• IP地址：填写LDAP服务器的IP地址。

• 认证端口：LDAP服务器连接的端口。例如AD域在未启用SSL/TLS加密时默认端口为389。

• 超时：设定认证请求的超时时间。当SIG把认证请求转发到LDAP服务器后，如果超过这个时间无回应，则视为认证失败，如果SIG到LDAP服务器间的网络比较慢，可尝试把超时时间延长（例如10秒）。

• 匿名搜索：如果LDAP服务器支持匿名搜索时，则可以使用此选项。

• 管理员账号：SIG将使用该账号到LDAP服务器去查询以及同步的内网的用户账号。

以MS Active Directory为例：账号为administrator域名为：damian.com，那么填写administrator@damian.com 。该账号拥有查询及同步AD域账号的权限（Domain Admin），并非一定要administrator账号。

• 管理员密码：管理员账号对应的密码。

• 开启加密：当LDAP服务器启用SSL/TLS加密后SIG对接时也需要开启加密。且开启加密后认证端口需要更改。AD域使用SSL加密时默认为636。

• 校验证书：校验证书的合法性。如果LDAP服务器需要校验证书，请配置域名且SIG能够访问到该域名。（在[系统管理/网络配置/高级设置/Hosts]里填写该域名解析到的IP）

• BaseDN：指定域搜索路径的起点，该起点决定了该条LDAP规则的生效范围。如果用户在指定的BaseDN以外，则该用户无法做外部服务器认证，所配置的策略对该用户也不会生效。所以可以通过BaseDN来划分不同管理员的所属区域。

步骤3.测试连通性。点击<测试有效性>后可以测试以当前的配置对接LDAP服务器是否成功。

 

• 修改密码：以AD域为例：如果在AD域上创建域账号时选择了“初次登录修改密码”，那么可以直接在这里修改密码。

• 账户有效性：测试SIG设备与LDAP服务器通信是否正常，校验LDAP用户账号是否有效。

步骤4.测试类型相关信息填写后，点击<测试有效性>即可验证当前配置是否有效。

编辑同步配置和高级选项。（如果无特殊需求请保持默认值）

• 用户属性：指定LDAP服务器上，唯一标识用户的属性字段。例如AD域上sAMAccountName属性标识了用户，而在Novell LDAP上uid属性标识了用户。

• 显示名属性：指定LDAP服务器上，唯一标识用户显示名的属性字段。例如AD域上displayName属性标识了用户的显示名。

• 描述属性：指定LDAP服务器上，唯一标识用户描述的属性字段。例如AD域上description属性标识了用户的描述。

• 用户过滤：指定LDAP服务器的用户过滤条件，即通过这条件可以确定某个节点是否为用户。例如AD域上可以通过填写“(|(objectClass=user)(objectClass=person))”来过滤某个节点是否为用户。

• 组织单位过滤：指定LDAP服务器的组织单位过滤条件，即通过这条件可以确定某个节点是否为组织单位。

• 例如AD域上可以通过填写(|( objectClass=organizationalUnit)(objectClass=organization)(objectClass=domain)(objectClass=domainDNS)(objectClass=container))来过滤某个节点是否为组织单位。

• 安全组过滤：指定LDAP服务器的（安全）组过滤条件（注：对于AD域而言，这里是安全组，对于非AD域而言，这里是group），即通过这条件可以确定某个节点是否为（安全）组，例如AD域上可以通过填写“(objectClass=group)”来过滤某个节点是否为安全组。

• 安全组成员属性：指定AD域服务器上哪个属性标识了安全组的成员列表，该属性只有LDAP服务器为AD域的时候生效。该字段如没有特别情况，一般填写member即可。

步骤5.当服务器类型选择“MS Active Directory”时上面这些参数是设置好的，一般采用默认参数即可，如果服务器是其他类型的LDAP，则需要根据实际情况调整，以便设备能读取到LDAP上正确的信息。

• 启用安全组实时更新：勾选该功能后SIG将实时请求LDAP服务器，将所需同步的内容同步到本地，会对LDAP服务器性能增加压力。本选项只对AD域生效。

• 设置安全组和用户的关联方式：此处建议使用默认配置。

• 关联方法：可以选择“用户找组（推荐）”或“组找用户”。如果LDAP服务器上，用户存在某个属性保存了其所属组，这时可以选择"用户找组（推荐）"，因为这种方式将会提供更好的性能，同时减少LDAP服务器的性能压力。如果LDAP服务器上，用户和组之间没有相互保存的信息，只有组保存了所属用户，这种情况需要勾选“组找用户”。

• 关联属性：如果选择了“用户找组（推荐）”模式，该字段需要填写LDAP服务器上组或者用户保存其父组的属性。例如AD域上memberOf属性标识了某个节点的父组，所以搜索的时候，将使用memberOf属性来搜索其父组。如果选择了“组找用户”，该字段需要填写LDAP服务器上组保存子用户的属性。例如AD域上member属性标识了某个组的子用户，所以搜索的时候，将使用member属性来搜索某个组的子用户。

• 支持安全组嵌套：该复选框决定了配置（安全）组的时候，是对该组下的用户生效，还是对该组下的用户以及子组都递归生效。勾选该字段以后表示对应（安全）组的用户以及子组都递归生效；如果不勾选，则表示仅对配置的（安全）组下直属用户生效，忽略所有子组。

• 嵌套属性：嵌套属性只有在勾选了“支持安全组嵌套”以后才可以填写。该选项表示递归查找的时候需要搜索的组使用哪个属性来标识。如果选择了“用户找组（推荐）”模式，该字段只需要和“关联属性”保持一致即可。如果选择了“组找用户”，该字段需要填写LDAP服务器上组保存子组的属性。例如AD域上member属性标识了某个组的所有子组，所以搜索的时候，将使用member属性来搜索某个组的所有子组。

• 分页搜索：使用扩展API对LDAP服务器进行搜索，建议保留默认配置。

• 页面大小：LDAP分页时返回的大小，0表示无限制，建议保留默认配置。

• 大小限制：同步LDAP时的size limit选项，这里建议保留默认配置。

步骤6.在SIG上配置认证策略。在[准入控制/portal认证/认证策略]界面，点击<新增>按钮新建一条Portal认证策略。

• 认证范围：按实际需求配置策略生效的IP地址范围。

• 认证方式：选择密码认证，并在认证服务器栏勾选已配置好的LDAP服务器。

其他的功能项按需配置即可，最后提交并保存配置。

步骤7.在PC的认证界面使用LDAP服务器存储的用户名密码认证，在SIG上查看该用户能否成功入网。