零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","LDAP/AD认证")}}

LDAP/AD认证

更新时间:2023-06-15

aTrust支持与微软AD域或Open LDAP服务器使用标准的LDAP/LDAPS协议对接,使用LDAP服务器上的用户进行认证并登录到aTrust设备上。

在控制中心[业务管理/认证服务器/]点击<新增服务器>,新增LDAP/AD认证服务器。

表22LDAP/AD认证操作说明表

操作

说明

状态

设置LDAP/AD认证服务器是否启用。

名称

设置认证服务器的名称。

描述

设置认证服务器的描述,非必填项。

认证域

用于用户登录时,通过认证域判断用户认证的服务器,当有多个认证服务器时,用户选择不同的认证域,前往不同的认证服务器认证。

服务器类型

选择LDAP服务器的类型,微软的AD域选择MS ActiveDirectoryOpen LDAP 服务器选择LDAP Server

服务器地址

填写LDAP服务器的地址,协议支持ldapsldap,地址支持IP或域名。

例如:ldaps://1.1.1.1:636ldap://domain.com:389

认证超时

设置认证的超时时间,在设置时间内LDAP服务器未回复则认证失败。

管理员账号

填写管理员账号,需携带域服务器名称。

例如:sslt\administratoradministrator@sslt.com

管理员密码

填写管理员账号的密码。

搜索入口

填写需要进行LDAP认证的用户所在的组织结构,及OU

用户过滤

用户筛选符合条件的用户。

例如:objectCategory=person,表示筛选出类型为person的所有对象;!objectCategory=computer,表示筛选出类型不为computer的所有对象;&(objectCategory=person)(ou=sangfor),表示筛选出类型为person且组织架构为sangfor的所有对象;cn=jo*,表示筛选出名字为jo开头的所有对象(注意加上括号)。

默认微软AD域为(objectCategory=person)Open LDAP(objectclass=person)

外部ID字段

用户的唯一标识信息字段,用户从服务器获取和同步信息。

默认微软AD域为objectGUIDOpen LDAPentryUUID

用户名字段

标识性用户名的字段。

默认微软AD域为sAMAccountNameOpen LDAPuid

显示名字段

标识用户显示名的字段

默认微软AD域、Open LDAPSangfor IDTrust LDAP均为displayName

描述字段

标识用户描述的字段。

默认微软AD域、Open LDAP均为description

所属组织架构字段

默认微软AD域、Open LDAP均为ou

标签(安全组)字段

默认微软AD域为memberOfOpen LDAP(|(objectclass=groupOfUniqueNames)(objectclass=groupOfNames)

(objectclass=posixGroup))

账号状态字段

默认微软AD域为userAccountControlOpen LDAP从服务器获取用户状态。

过期时间字段

默认微软AD域为accountExpiresOpen LDAP永不过期。

手机号码字段

默认微软AD域、Open LDAP均为telephoneNumber

电子邮箱字段

默认微软AD域、Open LDAP均为mail

唯一ID字段、用户名字段、描述字段、所属组织架构字段、标签(安全组)字段、账号状态字段、过期时间字段、手机号码字段、电子邮箱字段均以标准LDAP/AD服务器填写,若有修改可以使用LDAP Browser等工具确认字段含义。

LDAP/AD认证服务器对接完成后,配置默认的认证策略,默认未配置其他认证策略的用户使用该默认认证策略。

表23LDAP/AD认证认证策略操作说明表

操作

说明

PC/WEB端认证

设置PC端及WEB端(含移动WEB端)的认证方式。

移动端认证

设置移动端手机APP使用的认证方式。

豁免规则

认证策略中设置了二次认证,但是在指定的环境内可以免除二次认证,或直接一键上线,例如在使用授信终端登录时、在Windows域环境下登录时、满足以下网络环境使用时等。

安全规则

当登陆时候满足设置条件时,登录时需要再次进行短信认证,例如用户的密码属于弱密码、用户在异常时间段登录、用户在异地登录等。

若需新建认证策略适用于部分用户,可以在对接完成后,配置的LDAP服务器中新建认证策略。

最后配置默认授权,默认授权指的是若用户的组织架构或用户未导入到外部用户中,则登录后则使用默认授权进行分配资源,若组织架构或用户导入到外部用户中,则使用导入后的组织架构或者用户的授权分配资源。

点击<授权应用>按钮可以选择需要分配的应用添加到默认授权,也可以不进行授权,则若用户或用户的组织结构未导入到外部用户中,则登录后无法看到应用。

最后点击<完成>按钮保存此次配置。