一、LSAP高级认证技术及配置
识别LDAP服务器:
-
LDAP是
轻量级目录访问协议
,以
树状
的层次结构来存储数据。 -
LDAP认证即用户的账号密码信息保存在第三方LDAP服务器上
,AC将用户提交的用户名密码信息转给LDAP服务器校验,通过服务器返回的认证成功与否信息,决定用户是否通过AC/SG的认证。
AC支持的常见LDAP服务器有:
- MS(微软) Active Directory、Open LDAP、
- SUN LDAP、IBM LDAP、
- Lotus LDAP、Novell LDAP、
- OTHER LDAP等
LDAP中的基本概念:
-
Entry:条目
,也叫记录项,是LDAP中最基本的颗粒 -
Ou
(OrganizationalUnitName):组织单元 -
Cn
(commonName):名称 -
Dn
(distinguished Name):每一个条目都有一个
唯一的标识名
,通过DN可以方便地表示出条目在LDAP目录中的位置,
通常用于检索
。 -
Base DN
:LDAP目录树的最顶部就是
根
,也就是所谓的“Base DN” -
Attribute
:每个条目(entry)都可以有很多
属性
(Attribute),每个属性都有名称及对应的值,
属性值可以有单个、多个
配置设备LDAP服务器认证–具体配置步骤:
工具:LDAP Browser
- 免费工具下载:http://www.ldapbrowserwindows.com/
- 下载好后安装到电脑上
- 打开软件,填写好域服务器信息后点击Fetch Base DNs自动搜索Base DN
- 填写认证信息,User DN可以使administrator账号,也可以是其他具有管理员权限的账号,输入需要该账号的DN,密码为该管理员密码。
可以发现,同步到AC上的组织架构比我们用LDAP Browser看到的组织架构要少。
——>原因是:
AC的同步配置上有设置组织单位过滤
。
过滤条件:
(|(objectClass = organizationalUnit)(objectClass = organiztion)(objectClass = domain)(objectClass = domainDNS)(objectClass = container
上述正则表达式-语法结构:每一个括号内为一个条件,每个条件之间的关系为“或”,用“|”表示,放到最前面。也就是objectClass=organization或者objectClass=container等。那么objectClass可以理解为一个OU的属性。
也就是AC只会把域属性是organizationalUnit、organization、domain、domainDNS、container当成是OU同步过来。
同理,
用户过滤就是把objectClass为user或person的人同步过来。
同步过来后用户名为sAMAccountName的值,显示名使用属性为displayName的值,描述属性使用description
安全组:
可以理解为
具有同一类权限的一组用户
。可以把用户加入到安全组中,那么这个用户就具有对应安全组的权限。
