一、LSAP高级认证技术及配置
识别LDAP服务器:
- LDAP是轻量级目录访问协议,以树状的层次结构来存储数据。
- LDAP认证即用户的账号密码信息保存在第三方LDAP服务器上,AC将用户提交的用户名密码信息转给LDAP服务器校验,通过服务器返回的认证成功与否信息,决定用户是否通过AC/SG的认证。
AC支持的常见LDAP服务器有:
- MS(微软) Active Directory、Open LDAP、
- SUN LDAP、IBM LDAP、
- Lotus LDAP、Novell LDAP、
- OTHER LDAP等
LDAP中的基本概念:
- Entry:条目,也叫记录项,是LDAP中最基本的颗粒
- Ou(OrganizationalUnitName):组织单元
- Cn(commonName):名称
- Dn(distinguished Name):每一个条目都有一个唯一的标识名,通过DN可以方便地表示出条目在LDAP目录中的位置,通常用于检索。
- Base DN:LDAP目录树的最顶部就是根,也就是所谓的“Base DN”
- Attribute:每个条目(entry)都可以有很多属性(Attribute),每个属性都有名称及对应的值,属性值可以有单个、多个
配置设备LDAP服务器认证--具体配置步骤:
工具:LDAP Browser
- 免费工具下载:http://www.ldapbrowserwindows.com/
- 下载好后安装到电脑上
- 打开软件,填写好域服务器信息后点击Fetch Base DNs自动搜索Base DN
- 填写认证信息,User DN可以使administrator账号,也可以是其他具有管理员权限的账号,输入需要该账号的DN,密码为该管理员密码。
可以发现,同步到AC上的组织架构比我们用LDAP Browser看到的组织架构要少。
——>原因是:AC的同步配置上有设置组织单位过滤。
过滤条件:(|(objectClass = organizationalUnit)(objectClass = organiztion)(objectClass = domain)(objectClass = domainDNS)(objectClass = container
上述正则表达式-语法结构:每一个括号内为一个条件,每个条件之间的关系为“或”,用“|”表示,放到最前面。也就是objectClass=organization或者objectClass=container等。那么objectClass可以理解为一个OU的属性。
也就是AC只会把域属性是organizationalUnit、organization、domain、domainDNS、container当成是OU同步过来。
同理,用户过滤就是把objectClass为user或person的人同步过来。
同步过来后用户名为sAMAccountName的值,显示名使用属性为displayName的值,描述属性使用description
安全组:可以理解为具有同一类权限的一组用户。可以把用户加入到安全组中,那么这个用户就具有对应安全组的权限。