更新时间:2022-01-18
在客户内网已经部署了LDAP服务器的情况下再部署AC,管理员希望内网用户能够使用现有的LDAP账号密码通过AC的身份认证策略,无须为内网用户在AC上再创建一套账号,从而避免用户在原有LDAP账号的基础上再记忆一套新账号和密码。
配置步骤
本次以Microsoft Active Directory作为外部LDAP服务器示例。
-
在AC上配置外部认证服务器。在[接入管理/接入认证/portal认证/认证服务器]界面配置外部认证服务器,点击<新增>按钮选择[LDAP服务器]。
2.配置LDAP服务器相关参数。在[服务器名称]栏定义外部认证服务器的名称,在服务器类型:选择MS Active Directory(视实际情况选择对应的类型)。
-
IP地址:填写LDAP服务器的IP地址。
-
认证端口:LDAP服务器连接的端口。例如AD域在未启用SSL/TLS加密时默认端口为389。
-
超时:设定认证请求的超时时间。当AC把认证请求转发到LDAP服务器后,如果超过这个时间无回应,则视为认证失败,如果AC到LDAP服务器间的网络比较慢,可尝试把超时时间延长(例如10秒)。
-
匿名搜索:如果LDAP服务器支持匿名搜索时,则可以使用此选项。
-
管理员账号:AC将使用该账号到LDAP服务器去查询以及同步的内网的用户账号。
以MS Active Directory为例:账号为administrator域名为:damian.com,那么填写administrator@damian.com 。该账号拥有查询及同步AD域账号的权限(Domain Admin),并非一定要administrator账号。
-
管理员密码:管理员账号对应的密码。
-
开启加密:当LDAP服务器启用SSL/TLS加密后AC对接时也需要开启加密。且开启加密后认证端口需要更改。AD域使用SSL加密时默认为636。
-
校验证书:校验证书的合法性。如果LDAP服务器需要校验证书,请配置域名且AC能够访问到该域名。(在[系统管理/网络配置/高级设置/Hosts]里填写该域名解析到的IP)
-
BaseDN:指定域搜索路径的起点,该起点决定了该条LDAP规则的生效范围。如果用户在指定的BaseDN以外,则该用户无法做外部服务器认证,所配置的策略对该用户也不会生效。所以可以通过BaseDN来划分不同管理员的所属区域。
3.测试连通性。点击<测试有效性>后可以测试以当前的配置对接LDAP服务器是否成功。
4.测试类型相关信息填写后,点击<测试有效性>即可验证当前配置是否有效。
5.编辑同步配置和高级选项。(如果无特殊需求请保持默认值)
-
用户属性:指定LDAP服务器上,唯一标识用户的属性字段。例如AD域上sAMAccountName属性标识了用户,而在Novell LDAP上uid属性标识了用户。
-
显示名属性:指定LDAP服务器上,唯一标识用户显示名的属性字段。例如AD域上displayName属性标识了用户的显示名。
-
描述属性:指定LDAP服务器上,唯一标识用户描述的属性字段。例如AD域上description属性标识了用户的描述。
-
用户过滤:指定LDAP服务器的用户过滤条件,即通过这条件可以确定某个节点是否为用户。例如AD域上可以通过填写“(|(objectClass=user)(objectClass=person))”来过滤某个节点是否为用户。
-
组织单位过滤:指定LDAP服务器的组织单位过滤条件,即通过这条件可以确定某个节点是否为组织单位。
-
例如AD域上可以通过填写(|( objectClass=organizationalUnit)(objectClass=organization)(objectClass=domain)(objectClass=domainDNS)(objectClass=container))来过滤某个节点是否为组织单位。
-
安全组过滤:指定LDAP服务器的(安全)组过滤条件(注:对于AD域而言,这里是安全组,对于非AD域而言,这里是group),即通过这条件可以确定某个节点是否为(安全)组,例如AD域上可以通过填写“(objectClass=group)”来过滤某个节点是否为安全组。
-
安全组成员属性:指定AD域服务器上哪个属性标识了安全组的成员列表,该属性只有LDAP服务器为AD域的时候生效。该字段如没有特别情况,一般填写member即可。
6.当服务器类型选择“MS Active Directory”时上面这些参数是设置好的,一般采用默认参数即可,如果服务器是其他类型的LDAP,则需要根据实际情况调整,以便设备能读取到LDAP上正确的信息。
-
启用安全组实时更新:勾选该功能后AC将实时请求LDAP服务器,将所需同步的内容同步到本地,会对LDAP服务器性能增加压力。本选项只对AD域生效。
-
设置安全组和用户的关联方式:此处建议使用默认配置。
-
关联方法:可以选择“用户找组(推荐)”或“组找用户”。如果LDAP服务器上,用户存在某个属性保存了其所属组,这时可以选择"用户找组(推荐)",因为这种方式将会提供更好的性能,同时减少LDAP服务器的性能压力。如果LDAP服务器上,用户和组之间没有相互保存的信息,只有组保存了所属用户,这种情况需要勾选“组找用户”。
-
关联属性:如果选择了“用户找组(推荐)”模式,该字段需要填写LDAP服务器上组或者用户保存其父组的属性。例如AD域上memberOf属性标识了某个节点的父组,所以搜索的时候,将使用memberOf属性来搜索其父组。如果选择了“组找用户”,该字段需要填写LDAP服务器上组保存子用户的属性。例如AD域上member属性标识了某个组的子用户,所以搜索的时候,将使用member属性来搜索某个组的子用户。
-
支持安全组嵌套:该复选框决定了配置(安全)组的时候,是对该组下的用户生效,还是对该组下的用户以及子组都递归生效。勾选该字段以后表示对应(安全)组的用户以及子组都递归生效;如果不勾选,则表示仅对配置的(安全)组下直属用户生效,忽略所有子组。
-
嵌套属性:嵌套属性只有在勾选了“支持安全组嵌套”以后才可以填写。该选项表示递归查找的时候需要搜索的组使用哪个属性来标识。如果选择了“用户找组(推荐)”模式,该字段只需要和“关联属性”保持一致即可。如果选择了“组找用户”,该字段需要填写LDAP服务器上组保存子组的属性。例如AD域上member属性标识了某个组的所有子组,所以搜索的时候,将使用member属性来搜索某个组的所有子组。
-
分页搜索:使用扩展API对LDAP服务器进行搜索,建议保留默认配置。
-
页面大小:LDAP分页时返回的大小,0表示无限制,建议保留默认配置。
-
大小限制:同步LDAP时的size limit选项,这里建议保留默认配置。
7.在AC上配置认证策略。在[接入管理/接入认证/portal认证/认证策略]界面,点击<新增>按钮新建一条Portal认证策略。
其他的功能项按需配置即可,最后提交并保存配置。
8.在PC的认证界面使用LDAP服务器存储的用户名密码认证,在AC上查看该用户能否成功入网。