本节介绍如何配置LDAP域,以便LDAP用户可以访问帐户共享资源。
背景信息
从数据结构上阐述LDAP(Lightweight Directory Access Protocol),它是一个树型结构,能有效明确的描述一个组织结构特性的相关信息。在这个树型结构上的每个节点,我们称之为条目 (Entry),每个条目有自己的唯一可区别的名称(Distinguished Name ,简称DN)。条目的DN是由条目所在树型结构中的父节点位置(Base DN)和该条目的某个可用来区别身份的属性(Relative Distinguished Name,简称RDN)组合而成。
区别名称可以由以下三个部分组成:
操作步骤
- 选择“资源 > 访问 > 帐户”。
- 单击帐户名,进入帐户“域配置”页面。
- 在“LDAP”区域,单击“配置”。
系统右侧弹出“配置LDAP域”页面。
单击“恢复初始配置”,已配置的基本参数和高级参数将恢复到初始状态。
- 配置LDAP域基本参数,相关说明如表1所示。
表1 LDAP域基本参数 参数名称
参数说明
主服务器地址
主用LDAP服务器的IP地址或域名。
说明:- 输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。
- 单击“测试”,可以检验输入的IP地址或域名是否连通。
备服务器地址1
备用LDAP服务器1的IP地址或域名。
说明:- 输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。
- 单击“测试”,可以检验输入的IP地址或域名是否连通。
备服务器地址2
备用LDAP服务器2的IP地址或域名。
说明:- 输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。
- 单击“测试”,可以检验输入的IP地址或域名是否连通。
协议
系统与LDAP服务器通信使用的协议。
端口号
系统与LDAP服务器通信所使用的端口号。
- 使用LDAP协议时,默认端口号为“389”。
- 使用LDAPS协议时,默认端口号为“636”。
基准DN
域服务器的根目录,即从哪个DN下开始搜索。配置后,该基准DN下的所有用户便可添加至该帐户中。
每一个存储于LDAP域目录数据库中的条目,都有唯一的识别数据,识别数据可唯一标识对象以及其在目录树的位置。数据库中每个条目的识别数据称为标识名称(Distinguished Name,DN)。目录树的最顶部就是根,即基准DN。
DN有三个属性,分别是cn、ou、dc,如使用以下示例标识LDAP域内的一个用户:cn=user,ou=开发部,dc=example,dc=com,其中“dc=example,dc=com”即基准DN。
[示例]
dc=example,dc=com
绑定类型
指定绑定DN的身份验证类型。
- Simple:身份验证类型为Simple认证。
- SASL:身份验证类型为简单认证与安全层(Simple Authentication and Security Layer)。
绑定DN
客户端发起连接请求与LDAP服务器建立会话,这一过程被称为绑定。当LDAP服务器不允许匿名访问时,需要指定绑定DN,该绑定DN用于查询目录服务器,必须具备管理员权限。
[示例]
cn=Manager,ou=people,dc=example,dc=com
绑定密码
绑定DN的密码。
说明:使用简单的密码存在安全隐患,建议使用复杂度较高的密码,例如同时包含特殊字符、大写字母、小写字母及数字。
确认绑定密码
再次输入绑定DN的密码,保证两次输入一致。
- 单击“高级”,设置高级参数。参数说明如表2所示。
表2 LDAP服务高级参数 参数名称
参数说明
是否使用AD域帐号绑定
是否启用AD域帐号绑定功能。
当系统已加入AD域,若启用该参数,AD域帐户将作为LDAP的绑定DN使用。
用户所在目录
LDAP服务器配置的一个用户DN。
用户查找范围
通过该参数指定用户查找范围。
- BASE:只搜索所命名的DN条目。
- ONELEVEL:直接从DN的子节点搜索。
- SUBTREE:从所命名的DN条目和其子节点搜索。
用户组所在目录
LDAP服务器配置的一个用户组DN。
用户组查找范围
通过该参数指定用户组查找范围。
- BASE:只搜索所命名的DN条目。
- ONELEVEL:直接从DN的子节点搜索。
- SUBTREE:从所命名的DN条目和其子节点搜索。
网络组所在目录
通过该参数指定网络组所在目录。
网络组查找范围
通过该参数指定网络组查找范围。
- BASE:只搜索所命名的DN条目。
- ONELEVEL:直接从DN的子节点搜索。
- SUBTREE:从所命名的DN条目和其子节点搜索。
查询超时时间(秒)
客户端等待服务器端返回查询结果的超时时间,默认为3秒。
连接超时时间(秒)
客户端与单个服务器端建立连接的超时时间,默认为3秒。
空闲超时时间(秒)
在设定的时间内,LDAP服务器与客户端无通信,则断开两者的连接。默认为30秒。
LDAP模板类型
在此处可选择LDAP模板类型。
- RFC2307:基于RFC2307的Schema。
- AD_IDMU:UNIX下基于活动目录身份管理(Active Directory Identity Management)的Schema。
说明:- 通过选择模板类型,可自动填写模板对应的参数值。您也可以不选择模板类型,自定义设置相关参数。
- Schema定义了LDAP目录所应遵循的结构和规则,为LDAP服务器提供了LDAP目录中类别、属性等信息的识别方式,使这些信息可以被LDAP服务器识别。
RFC2307用户对象
由Schema定义的RFC2307 posixAccount对象类名称。
[取值范围]
长度范围是0到1024位。
[默认值]
- posixAccount(选择LDAP模板类型为RFC2307时的默认显示)
- User(选择LDAP模板类型为AD_IDMU时的默认显示)
RFC2307用户组对象
由Schema定义的RFC2307 posixGroup对象类名称。
[取值范围]
长度范围是0到1024位。
[默认值]
- posixGroup(选择LDAP模板类型为RFC2307时的默认显示)
- Group(选择LDAP模板类型为AD_IDMU时的默认显示)
RFC2307网络组对象
由Schema定义的RFC2307 nisNetgroup对象类名称。
[取值范围]
长度范围是0到1024位。
[默认值]
nisNetgroup
RFC2307 uid属性
由Schema定义的RFC2307 uid属性名称。
[取值范围]
长度范围是0到1024位。
[默认值]
uid
RFC2307 uidNumber属性
由Schema定义的RFC2307 uidNumber属性名称。
[取值范围]
长度范围是0到1024位。
[默认值]
uidNumber
RFC2307 gidNumber属性
由Schema定义的RFC2307 gidNumber属性名称。
[取值范围]
长度范围是0到1024位。
[默认值]
gidNumber
RFC2307组CN属性
由Schema定义的RFC2307组CN属性名称。
[取值范围]
长度范围是0到1024位。
[默认值]
cn
RFC2307网络组CN属性
由Schema定义的RFC2307网络组CN属性名称。
[取值范围]
长度范围是0到1024位。
[默认值]
- cn(选择LDAP模板类型为RFC2307时的默认显示)
- name(选择LDAP模板类型为AD_IDMU时的默认显示)
RFC2307 memberUid属性
由Schema定义的RFC2307 memberUid属性名称。
[取值范围]
长度范围是0到1024位。
[默认值]
memberUid
RFC2307 memberNisNetgroup属性
由Schema定义的RFC2307 memberNisNetgroup属性名称。
[取值范围]
长度范围是0到1024位。
[默认值]
memberNisNetgroup
RFC2307 nisNetgroupTriple属性
由Schema定义的RFC2307 nisNetgroupTriple属性名称。
[取值范围]
长度范围是0到1024位。
[默认值]
nisNetgroupTriple
是否支持RFC2307bis
选择是否为Schema启用RFC2307bis。
RFC2307bis groupOfUniqueNames对象
由Schema定义的RFC2307bis groupOfUniqueNames对象类名称。该参数仅在“是否支持RFC2307bis”设置为“启用”后有效。
[取值范围]
长度范围是0到1024位。
[默认值]
groupOfUniqueName
RFC2307bis uniqueMember对象
由Schema定义的RFC2307bis uniqueMember属性名称。该参数仅在“是否支持RFC2307bis”设置为“启用”后有效。
[取值范围]
长度范围是0到1024位。
[默认值]
uniqueMember
- 单击“确定”。