配置LDAP域

本节介绍如何配置LDAP域,以便LDAP用户可以访问文件系统共享资源。

背景信息

从数据结构上阐述LDAP(Lightweight Directory Access Protocol),它是一个树型结构,能有效明确的描述一个组织结构特性的相关信息。在这个树型结构上的每个节点,我们称之为条目 (Entry),每个条目有自己的唯一可区别的名称(Distinguished Name ,DN)。条目的DN是由条目所在树型结构中的父节点位置(Base DN)和该条目的某个可用来区别身份的属性(Relative Distinguished Name,RDN)组合而成。

区别名称可以由以下三个部分组成:

操作步骤

  1. 选择“服务 > 大数据服务 > 帐户”。
  2. 单击帐户名进入“常规”页面,选择“LDAP域”页签。
  3. 启用“LDAP域”,单击“配置”。

    系统右侧弹出“配置LDAP”页面。

  4. 设置LDAP域参数,相关说明如表1所示。

    表1 LDAP域属性

    参数名称

    参数说明

    主服务器地址

    主用LDAP服务器的IP地址或域名。

    说明:
    • 输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。
    • 单击“测试”,可以检验输入的IP地址是否连通。

    备服务器地址1

    备用LDAP服务器1的IP地址或域名。

    说明:
    • 输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。
    • 单击“测试”,可以检验输入的IP地址是否连通。

    备服务器地址2

    备用LDAP服务器2的IP地址或域名。

    说明:
    • 输入的IP地址必须保证可以连通,否则会导致用户认证类和网络类的命令超时。
    • 单击“测试”,可以检验输入的IP地址是否连通。

    协议

    系统与LDAP服务器通信使用的协议。

    • LDAP:系统使用标准LDAP协议与LDAP服务器通信。
    • LDAPS:系统使用LDAP over SSL(Secure Sockets Layer)与LDAP服务器通信。如果LDAP服务器支持SSL,则可以选择LDAPS。

    端口号

    系统与LDAP服务器通信所使用的端口号。

    基准DN

    指定LDAP进行搜索的起始DN,即从哪个DN下开始搜索。

    [取值范围]

    DN由RDN组成,RDN之间以“,”分隔,RDN基本格式为健=值,其中值首字符不能为“#”,首尾字符不能为空格。例如:testDn=testDn,xxxDn=xxx

    [示例]

    dc=example,dc=com

    是否使用AD域帐号绑定

    是否启用AD域帐号绑定功能。

    当系统已加入AD域,若启用该参数,AD域帐户将作为LDAP的绑定DN使用。

    绑定类型

    指定LDAP绑定类型。

    • simple:绑定类型为simple认证。
    • SASL:绑定类型为简单认证与安全层(Simple Authentication and Security Layer)。

    绑定DN

    绑定目录的名称。

    [取值范围]

    DN由RDN组成,RDN之间以“,”分隔,RDN基本格式为健=值,其中值首字符不能为“#”,首尾字符不能为空格。例如:testDn=testDn,xxxDn=xxx

    [示例]

    cn=Manager,dc=example,dc=com

    说明:

    用户访问内容必须通过这个目录来进行查找。

    绑定密码

    用户访问绑定DN这个目录需要输入的密码。

    说明:

    使用简单的密码存在安全隐患,建议使用复杂度较高的密码,例如同时包含特殊字符、大写字母、小写字母及数字。

    确认绑定密码

    确认系统登录LDAP服务器的密码。

    用户所在目录

    LDAP服务器配置的一个用户DN。

    用户查找范围

    通过该参数指定用户查找范围。

    • base:只搜索所命名的DN条目。
    • onelevel:直接从DN的子节点搜索。
    • subtree:从所命名的DN条目和其子节点搜索。

    用户组所在目录

    LDAP服务器配置的一个用户组DN。

    用户组查找范围

    通过该参数指定用户组查找范围。

    • base:只搜索所命名的DN条目。
    • onelevel:直接从DN的子节点搜索。
    • subtree:从所命名的DN条目和其子节点搜索。

    网络组所在目录

    通过该参数指定网络组所在目录。

    网络组查找范围

    通过该参数指定网络组查找范围。

    • base:只搜索所命名的DN条目。
    • onelevel:直接从DN的子节点搜索。
    • subtree:从所命名的DN条目和其子节点搜索。

    查询超时时间(秒)

    客户端等待服务器端返回查询结果的超时时间,默认为3秒。

    连接超时时间(秒)

    客户端与单个服务器端建立连接的超时时间,默认为3秒。

    空闲超时时间(秒)

    在设定的时间内,LDAP服务器与客户端无通信,则断开两者的连接。默认为30秒。

  5. 单击“确定”。
  6. 可选:单击“恢复初始配置”,已配置参数将恢复到初始状态。
父主题: 配置和管理帐户