SANGFOR SSL VPN 网关支持使用“LDAP 协议”的第三方的服务器作为认证服务器。

『LDAP 认证』就是用于设置 LDAP 外部认证服务器相应参数的。

WEBUI 路径：『SSL VPN 设置』→『认证设置』→『主要认证』→『LDAP 认证』。页面如下：

点击 LDAP 认证后面的设置，弹出【LDAP 认证服务器设置】页面，界面如下图所示：

点击新建可新增一个 LDAP 服务器，弹出 LDAP 外部认证服务器的参数设置界面。

配置如下图：

『服务器名称』和『服务器描述』可随便填写便于记忆的文字。

『服务器地址』用于设置 LDAP 服务器的 IP 地址和所使用的端口，此处可设置多个服务器地址和端口，他们之间是主备关系，第一个服务器为主服务器，其余都为备服务器， 当第一个服务器连不上，才尝试连接第二个服务器认证，以此类推。

点击图标，出现服务器 IP 地址和端口的设置页面如下：

点击 ，可以删除所选的服务器地址。

点击 ，可以编辑所选的服务器地址。

点击 或 ，可以调整服务器地址的顺序。

『管理员全路径（DN）』和『管理员密码』填写 LDAP 服务器内一个有效的账号和密码，用于读取 LDAP 结构。所填写的帐号一般要以域中 DN 的形式填写。

注意：该账号在 LDAP 服务器必须有读取用户路径的权限。

『搜索入口』用于选择需要用于认证的 LDAP 用户账号所在路径。

在所选择用户账号所在路径时，在包含（嵌套）子路径的情况下，若勾选[搜索子树]， 该路径下的所有子路径的用户账号都包含进来；若不勾选[搜索子树]，则只包含该路径下的本级用户账号。

『认证超时』当连接到服务器但服务器超过这里所设置的时间仍然没有回应，就认为 客户端认证失败。

『是否启用』用于设置是否启用该 LDAP 外部认证服务器。

『高级设置』配置如下图：

『高级设置』相关配置，请征询 LDAP 服务器管理员的意见才能进行修改。

注意：系统支持普通的LDAP 协议和支持微软的MS Active Directory 协议。对于 MS-AD，用户是以属性 sAMAccountName 认证属性，以“objectCategory=person”作为过滤用户账号的条件；对于普通 LDAP 协议，用户是以属性 uid 为认证属性，以“objectclass=person” 作为过滤用户账号的条件。用户也可以自定义其他属性来得到用户名和组名称。

『其他属性』包含『组映射』、『角色映射』、『LDAP 扩展参数』和『用户名密码加密方式』。如下图：

『组映射』针对没有导入到本地的 LDAP 服务器的用户，用于设置将 LDAP 服务器中的 OU 和 SSL VPN 网关本地的用户组绑定起来，那么该 OU 中的用户登录 SSL VPN 之后就会拥有本地被绑定用户组的权限。配置页面如下图：

点击添加，出现组映射配置页面如下。

『外部 OU』填写需要映射的 OU 在域中的 DN。

『所属组』选择该 OU 所要映射的本地用户组。

[包含子 OU]用于设置是否包含所选 OU 的子 OU。若勾选[包含子 OU]，则该 OU 下的所有子 OU 的用户账号都包含进来；若不勾选[包含子 OU]，则只包含该 OU 下的本级用户账号。

[如果未设置映射，将其自动映射到目标]用于设置当某个 OU 没有映射到本地用户组的时候，这个 OU 里边的用户认证通过之后自动匹配为那个用户组的用户。

点击删除，可以删除所选的组映射规则。

点击自动生成组映射关系，出现配置页面如下：

[为每个选择的独立的 OU 生成组映射]用于设置将我们所勾选的所有 OU 都在本地生成一个用户组并自动映射到该组。并且导入之后组织结构不会变化。

[仅对选择的最顶层的 OU 生成组映射]用于设置只将我们勾选的最上级 OU 在本地生成一个用户组，该 OU 及其下级 OU 都映射到该组。

『选择自动映射到本地的起始位置』用于设置最上级 OU 映射到的本地用户组。

点击下一步，出现预览映射关系页面如下图：

点击完成，则在『用户管理』中生成用户组并一一映射，如下图所示：

『角色映射』用于将 LDAP 服务器中的安全组映射到 SSL VPN 网关本地的角色，那么当域中隶属于该安全组的用户通过 SSL VPN 认证之后自动匹配到该角色，获得该角色中绑定资源的访问权限。配置页面如下图：

『是否启用角色映射』用于启用和禁用角色映射功能。

点击添加，可以添加角色映射规则，配置页面如下图：

『外部安全组』用于设置需要映射的安全组。

『映射角色』用于设置安全组需要映射到本地的哪个角色。

点击删除，可以删除所选的角色映射规则。

点击编辑，可以编辑所选的角色映射规则。

点击自动生成角色映射关系，出现配置页面如下：

勾选外部安全组，点击确定，则在本地『角色授权』中自动新建同名的角色并映射，如下图所示：

『LDAP 扩展属性』配置页面如下：

[关联资源的属性列表]用于设置当 LDAP 上用户认证成功后，根据关联资源的属性列表配置的信息，给用户分配相关的资源。

点击 ，弹出【添加关联资源属性】，设置需要关联的属性名。配置页面如下：

点击确定，将属性名添加至属性列表中。

点击 ，用于删除选中的属性名。

点击 ，用于编辑选中的属性名。

[继承所有上级资源]用于设置当该 LDAP 服务器上用户登录后，除了所绑定的属性的值作为资源下发到资源列表，该用户所属 OU 以及上级的所有 OU 的该属性的值也会作为资源发到资源列表。

勾选[虚拟 IP 属性名]，在右边方框内填写 LDAP 服务器上作为用户账号 IP 地址的属性名字，该 LDAP 服务器上用户登录后，LDAP 服务器返回该属性值到 SSL VPN 设备， 用于该 LDAP 账号使用 L3VPN 时下发的虚拟 IP。

注意：以上『关联资源的属性列表』只对用户列表上不存信息的 LDAP 账号生效，若用户列表存在相应的用户账号，该功能无效。

『用户名密码加密方式』用于将用户的密码将通过加密处理，再转发到 LDAP 服务器上进行认证。配置页面如下图：

[启用加密]：开启用户密码加密功能。

[LDAP 加密方式]：可选择 MD5 和 SHA1 这两种加密方式。

[加密字长]：可选择 32 位或者 16 位。

[加密字母大小写]：可选择将密码转换成小写或者大写。