11LDAP典型配置新华三集团

632 623

LDAP是轻量目录访问协议(LightweightDirectoryAccessProtocol)的缩写,其实是一种目录服务,类似于我们所使用诸如NIS(NetworkInformationService)、DNS(DomainNameService)等网络目录。

LDAP目录以树状的层次结构来存储数据(这很类同于DNS),最顶层即根部称作“基准DN”,形如"dc=ldap,dc=com"或者"o=ldap.com",前一种方式更为灵活也是WindowsAD中使用的方式。在根目录的下面有很多的文件和目录,为了把这些大量的数据从逻辑上分开,LDAP像其它的目录服务协议一样使用OU(OrganizationUnit),可以用来表示公司内部机构,如部门等,也可以用来表示设备、人员等。同时OU还可以有子OU,用来表示更为细致的分类。

LDAP中每一条记录都有一个唯一的区别于其它记录的名字DN(DistinguishedName),其处在“叶子”位置的部分称作RDN;如dn:cn=user,ou=test,dc=ldap,dc=com中user即为RDN,RDN在一个OU中必须是唯一的。

LDAP支持TCP/IP协议,基于C/S模式客户端通过TCP连接到Server服务器,通过此连接发送请求和接收响应。

图1LDAP目录

图2LDAP服务器页面

表1LDAP服务器页面的详细说明

项目

说明

服务器名称

LDAP服务器名称

服务器IP

LDAP服务器地址

端口

LDAP服务器端口,默认389明文,暂不支持636加密同步

通用名显示

1、cn全称commonname:配置cn时,同步、认证都使用标识名

BaseDN

用于获取同步信息的服务器域名路径

管理员

拥有管理权限的域服务器管理员

管理员密码

管理员对应密码

开启加密

开启后LDAP同步交互采用TLS加密

分页搜索

勾选分页搜索,如果AD域服务器支持分页搜索时,可以勾选此选项。支持Windowsserver2008及以上服务器。

设置分页读取AD域组织结构,可以保证设备能获取完整的AD域组织结构。

页面大小

默认空为无限制,配置范围为100-800,指一次同步的用户组的个数。

图3LDAP同步配置界面

表2LDAP同步界面的详细说明

参数

名称

LDAP同步条目名称。

描述

LDAP同步描述信息

LDAP服务器

选择引用的LDAP服务器

同步类型

1、OU同步AD域下ou用户

2、安全组同步Ad域下组用户

自动同步

启用或禁用自动同步功能

自动录入

启用或禁用自动录入功能

用户组

LDAP同步用户录入本地的用户组

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解LDAP服务器特性。

·LDAP同步下来的用户如果在AD域上被删除,则在设备上进行删除用户;如果该用户有引用策略且为用户自己的引用策略同时删除用户并解引用;否则,只删除该用户在用户组中引用的该用户。

·同步过程中如果由于网络异常(例如断网)导致同步的用户(组)不完整,则认为该次同步失败,将不完整数据丢弃。

·同步下来的用户如果无法识别,则将该用户丢弃,不在设备上进行任何操作。WindowsAD服务器上用户名超长(大于127字符);用户名包含不支持的字符(`\/”’和空格)时,用下划线_代替。.

·最多可以配置128条LDAP服务器策略,最多可以配置100条LDAP组策略,每个LDAP组下最多可以引用5条LDAP服务器。

·LDAP仅支持简单模式的联动认证,不支持匿名和通用模式的联动认证。

·LDAP服务器用户名长度大于127字符后无法录入。

·LDAP服务器同步支持389明文传输,也支持密文传输。

·只支持WindowsAD域用户同步,不支持匿名同步用户。不支持OpenLdap服务器(openldap同步的用户没有dn属性无法参与认证)。

·AD服务器上用户名超长(大于127字符),含有异常字符(汉字数字字母以及@._-()[]|以外的特殊字符)可以同步,不能录入到本地用户结构,同步过程中会依次在本地用户结构添加用户、用户组,本地满规格时无法录入,同步规格和本地用户规格相同。

·LDAPBaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。

·IPSec和sslvpn使用LDAP认证时,需保证本地存在该用户。

·多个用户同步条目存在时,同步任务为串行,上面同步条目同步完成后在进行下面同步条目的同步。

·AD域用户更新密码后,使用同步的ldap认证时,新旧密码都可以认证。在server2008级别的AD下,旧密码生存期为5分钟,在server2003级别的AD下,旧密码生存期为60分钟。

测试2003的服务器,旧密码有效期为60分钟,自测60分钟后密码失效,此为AD域服务器的保护机制,不修改。

·手动创建用户组、用户创建为本地用户,和ldap服务器上组、用户名称一样,点ldap同步,这个用户没法用ldap认证,ldap同步当存在重名用户时,只移动用户,不覆盖。

·ldap组里第一个ldap服务器密码不对,用户在第二个服务器,此时用户认证浏览器无响应,目前处理不了跨域的ldap组认证,需要保障ldap组下地址可达,服务器密码正确。

·分页搜索功能支持WindowsServer2008及以上服务器。

图4LDAP用户认证方式有两种类型分别为CN和sAMAccountName

图5通用名标识配置为CN时服务器用户配置

图6通用名标识配置为sAMAccountName时服务器用户配置

图7LDAP组网图

按照组网图组网。

(1)新建LDAP服务器,通用名标识为cn;

(2)新建LDAP同步,并同步用户;

(3)全局配置启用第三方认证选择ldap服务器;

(4)新建用户认证策略。

本举例是在R6616版本上进行配置和验证的。

(1)新建LDAP服务器,通用名标识为cn。

图8标识为为CN的LDAP服务器配置

(2)新建LDAP同步。

图9LDAP同步配置

(3)全局配置启用第三方认证选择ldap服务器

图10全局模式启用第三方Ldap配置效果图

(4)新建用户认证策略

图11用户认证策略配置效果图

图12PC访问网页弹出本地认证页面,后使用同步下来的LDAP用户进行认证。

图13认证成功效果图

图14LDAP组网图

(1)新建LDAP服务器,通用名标识为sAMAccountName;

(1)新建LDAP服务器,通用名称标识为sAMAccountName,并同步。

图15标识名为sAMAccountName的LDAP服务器配置

(2)新建LDAP同步

图16LDAP同步

(3)全局模式启用第三方ldap配置

图17启用第三方ldap配置界面

图18用户认证策略配置效果图

图19PC访问网页弹出本地认证页面,后使用同步下来的LDAP用户进行认证。

图20认证成功效果图

图21LDAP组网图

(1)新建LDAP服务器,通用名标识为sAMAccountName,并同步。

(2)新建LDAP同步,并同步用户。

(3)全局配置启用第三方认证选择ldap服务器。

(5)启用ldap认证用户不区分大小写。

(1)新建LDAP服务器,通用名标识为sAMAccountName

图22显示名为sAMAccountName的LDAP服务器配置

图23LDAP同步

图24启用第三方ldap配置界面

图25用户认证策略配置效果图

图26LDAP认证用户名不区分大小写配置图

默认情况下设备认证过程中用户名称不区分大小写,而LDAP服务器在检验用户名时不区分大小写,如在LDAP服务器上配置用户名为aaa,用户在认证时输入AAA,也可以认证通过,但在设备侧上线时记录的用户名是AAA,由于设备从LDAP服务器同步下来的用户名是aaa,其它策略在调用aaa做控制后,由于上线时的用户为AAA,导致策略无法匹配上,为了解决这一问题,设备侧开启认证用户名称区分大小写,即使用户输入了AAA,上线时也会显示为aaa,与本地存的用户名一模一样,保证了后续用户对象正常匹配。

PC访问网页弹出本地认证页面,后使用同步下来的LDAP用户进行认证。(原同步下来的用户为upntest1,启用ldap认证用户名区分大小写后,认证用户名输入UPNtest1进行认证)

(1)关闭LDAP认证用户区分大小写

图28在线用户页面

(2)开启LDAP认证用户区分大小写

图30在线用户页面

图31LDAP组网图

(1)新建LDAP服务器;

(2)新建LDAP同步,同步类型为按安全组同步,并同步用户;

(3)全局配置启用第三方认证选择LDAP服务器;

(1)新建LDAP服务器,通用名称标识为cn。

图32标识名为cn的LDAP服务器配置

(2)新建LDAP同步,同步类型为按安全组同步。

图33LDAP同步

图34全局模式配置效果图

图35用户认证策略配置效果图

(1)查看LDAP同步用户

在导航栏中选择“用户管理>用户组织结构”,查看LDAP同步用户,如下图所示。左侧显示同步用户的导航栏,并且同一用户可以同步到多个安全组中。

图36LDAP同步的用户

(2)使用安全组用户进行认证

图37PC访问网页弹出本地认证页面,后使用同步下来的LDAP安全组用户进行认证。

图38认证成功效果图

如下图所示,在公司内网搭建有LDAP服务器,LDAP服务器上maxpagesize默认为1000,每次同步只能同步1000个用户组,要求内网用户使用AD-ldap服务器同步超过1000个用户组。

图39LDAP组网图

(1)按照组网图组网。

(2)新建LDAP服务器,开启分页搜索,分页大小为无限制。

(3)新建LDAP同步,并同步用户。

(4)查看域用户。

(1)新建LDAP服务器,开启分页搜索,分页大小为无限制。

在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器。

图40标识为为CN的LDAP服务器配置

在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,配置LDAP同步。

图41LDAP同步配置

(1)用户同步完成后,查看域用户组织结构,同步过来的用户组超过1000个,同步了最大数量的组织结构。

图42域用户组织结构

(2)修改LDAP服务器,不开启分页搜索。

图43配置LDAP服务器-不开启分页搜索

(3)在导航栏中选择“用户管理>域用户结构”,查看LDAP同步,域用户只能同步1000个用户组。

图44域用户

不同款型规格的资料略有差异,详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

THE END

LDAP协议对接及配置说明

openldapLDAP服务器的概念和原理简单介绍Sean'sNotes

OpenLDAP首页文档和下载LDAP服务器OSCHINA

LDAP服务器有什么用途–PingCode

LDAP

LDAP设置指南

linux搭建ldap服务器的详细步骤系统运维

11LDAP典型配置新华三集团

JumpServer配置LDAP认证

1.运维安全中心(堡垒机)LDAP认证设置操作指南文档中心服务器 IP 地址 输入LDAP 服务器的 IP 地址。 备用服务器 IP 地址 如果您的 LDAP 服务器有多个 IP,可以输入一个备用的 IP 地址。 SSL 设置是否启用 SSL。 服务端口 输入LDAP 服务器的端口。 Base DN 输入LDAP 服务器的 Base DN 信息,格式为:ou=ouname,dc=test,dc=com。 https://cloud.tencent.com/document/product/1025/60314
2.创建用户(LDAP域用户)HPC23.0.0安装指南08dc:表示服务端的域名。 添加如下内容。 ssl no tls_cacertdir /etc/openldap/cacerts nss_initgroups_ignoreusers ALLLOCAL 若目录“/etc/openldap/cacerts”不存在,需执行命令mkdir /etc/openldap/cacerts创建目录,否则nsld服务启动失败。 ALLLOCAL:表示所有的OS本地账号不再到LDAP服务器同步用户组。 取消以下命令行https://support.huawei.com/enterprise/zh/doc/EDOC1100347969/e0d4d6da
3.服务器搭建八——LDAP目录服务器LDAP 是轻量级目录访问协议的简称(Lightweight Directory Access Protocol).用于访问目录服务。它是 X.500 目录访问协议的移植,但是简化了实现方法。看到目录服务器我的第一反应就是想到书的目录和检索功能,再就是图书馆的图书放置,进而想到yahoo的在一开始的网站导航功能。那么到底什么是目录服务,已经LDAP是什么? https://www.jianshu.com/p/50a214f51dd1
4.LDAP服务器搭建server2012搭建ladp服务器本文详细介绍了如何在Linux环境下搭建并配置LDAP服务器,包括安装所需软件、更改配置文件、导入用户账号、客户端测试及使用Phpldapadmin进行管理。同时,通过实验证明了从服务器端开启NFS共享用户目录,实现客户端自动挂载NFS目录的过程。 摘要由CSDN通过智能技术生成 https://blog.csdn.net/myproudcodelife/article/details/29586671
5.将LDAP服务器用于系统信息库用户管理(在JavaCAPS中使用LDAP)然后,配置系统信息库,使其可以找到 LDAP 服务器,并查找相应的信息(例如目录中包含用户的部分)。请参见配置系统信息库。如果要对系统信息库和 LDAP 服务器之间的通信进行加密,请参见SSL 支持。《管理Java CAPS 用户》提供了有关系统信息库用户管理的基本信息。https://docs.oracle.com/cd/E19509-01/820-5624/admn_ldap-rep_t/index.html
6.LDAP服务器关于本手册 本手册介绍如何配置 S系列 IPPBX 的 LDAP 服务器,并提供 Yealink、 Fanvil、 Snom、 Htek、 Cisco、 Grandstream 等主流 IP 话机及 Zoiper 软电话等客户端的配置示例。 适用对象 本手册适用于负责配置 LDAP 服务器并具备 LDAP 基本知识的管理员。https://help.yeastar.com/zh-cn/s-series/topic/ldap_server.html
7.LDAP服务器LDAP 服务器提供用于共享组件信息(例如,服务器名称和连接属性)的全局目录服务。 LDAP 目录服务允许组件在基于网络的系统中查找目录信息。任何类型的 LDAP 服务或网关都是 LDAP 服务器。LDAP 驱动程序通过调用 LDAP 客户端库建立到 LDAP 服务器的连接。LDAP 驱动程序和客户端库定义了通信协议和客户端与服务器之间交换http://help.sap.com/doc/saphelp_repserver1571300/15.7.1.300/zh-CN/fe/e98955bd1c1014a401d557581594f3/content.htm
8.什么是ldap服务器?Worktile社区LDAP API提供了一组函数和接口,用于连接LDAP服务器、执行查询、添加、修改和删除操作等。 总之,LDAP服务器是一种存储和检索目录数据的网络协议,可用于用户身份验证、组织结构管理等。通过安装和配置LDAP服务器,并使用LDAP客户端工具或编程接口进行操作和管理,可以轻松管理和访问目录数据。https://worktile.com/kb/ask/1363589.html
9.添加LDAP服务器LDAP(轻型目录访问协议)服务器配置和功能仅用于身份防火墙。LDAP 提供了一个集中的位置以进行身份验证,这意味着在配置到 LDAP 服务器的连接时,用户记录将存储在外部 LDAP 服务器中。 前提条件 域帐户必须具有域树中所有对象的 AD 读取权限。 当存在 NSX Manager 集群时,所有节点都需要能够访问 LDAP 服务器。 https://docs.vmware.com/cn/VMware-NSX/4.1/administration/GUID-D2379FF1-34B7-4CF5-9180-8FDC90FF8CAE.html
10.添加到LDAP服务器的连接“活动目录”,表示希望将连接添加到 Microsoft Active Directory 服务器。 在“LDAP 服务器设置”部分的“服务器地址”区域中,以 IPv4 格式键入 IP 地址或键入想要连接的 LDAP 服务器的 FQDN 名称。 在“LDAP 服务器设置”部分的“连接端口号”列表中,指定用于连接到 LDAP 服务器的端口。 https://support.kaspersky.com/help/KSMG/1.1.2/zh-Hans/94959.htm
11.LDAP服务器搭建指南在进行ldap服务器搭建时,企业往往需要快速响应业务需求并进行灵活配置。飞书低代码平台为用户提供了一个直观易用的界面,使得非技术人员也能轻松参与到ldap服务器的搭建和配置中。通过低代码开发,用户可以快速创建与ldap服务器交互的应用,定制化功能模块,提升工作效率。 https://www.feishu.cn/content/ldap-server-setup-guide
12.部署LDAP服务器的必备步骤新闻中心部署LDAP服务器的必备步骤包括:1. 安装LDAP软件包;2. 配置基础目录结构;3. 设置访问控制;4. 添加用户和组织单元;5. 测试连接和认证。 部署LDAP(轻量级目录访问协议)服务器涉及多个步骤,包括安装、配置和管理,以下是详细步骤的概述: 1. 系统准备 1.1 选择合适的操作系统 https://m.henghost.com/news/article/65522/
13.LDAP禅道使用手册本篇目录 一、LDAP 服务器配置 二、活动目录配置 三、导入用户 LDAP 功能是依赖于 PHP 的 LDAP 扩展,所以要加载 LDAP 扩展。具体可以参考 安装PHP的LDAP扩展。 通过配置 LDAP,实现 LADP 服务器的用户自动登录。也可以从 LDAP 导入用户,解决了禅道在Windows域下(Windows AD)用户导入和单点登录的问题。 一https://www.zentao.net/book/zentaopms/994.mhtml?fullScreen=JNUdeiQt
14.LDAPDSM如果您的 Synology NAS 所加入的目录服务是由 Synology LDAP 服务器(也就是已安装并运行LDAP Server套件的另一部 Synology NAS)提供的,或 LDAP 服务器支持 Samba schema 且所有 LDAP 用户皆有正确的 sambaNTPassword 属性,则 LDAP 用户可以通过 CIFS 访问 Synology NAS 文件而无需勾选启用 CIFS 纯文本密码验证或https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/file_directory_service_ldap
15.SSL用户登陆提示LDAP连接服务器失败SSLVPN4.经排查,是防火墙变更导致该真实服务器的LAN口IP被限制访问LDAP服务器,沟通后放通恢复正常。 真实服务器与LDAP认证服务器联通异常,导致被调度到真实服务器的用户登陆失败。SSLVPN集群部署时,分发器和真实服务器访问资源、访问LDAP服务器均以LAN口IP地址去访问,因此防火墙放通策略时需注意。 防火墙放通真实服务器IP地https://support.sangfor.com.cn/cases/read?product_id=20&category_id=4503
16.[LDAP]LDAP服务搭建及应用hukeyldap server : 192.168.118.14 1. 安装LDAP服务器 [root@node1 ~]# yum install openldap-servers -y # 安装ldap服务器端软件 [root@node1 openldap]# cp-a /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf # 主配置文件 https://www.cnblogs.com/hukey/p/5779069.html
17.LDAP目录服务器:完美管理你的用户信息LDAP目录服务器:完美管理你的用户信息前言:LDAP(Lightweight Directory Access Protocol)是一种开放性的标准协议,主要用于访问、维护和管理分布式网络中的目录服务信息。LDAP目录服务器是LDAP协议的实现,可以用于存储和访问身份,资源和其它网络信息。本文将对LDAP目录服务器进行详细介绍。1. LDAP目录服务器的基本概念LDAP目https://yun.a5.cn/news/cffe.html
18.配置外部LDAP服务器以进行平台认证设备管理员可以在设备上使用 NodeOS 实用程序来配置外部 LDAP 服务器,以用于平台用户认证。 开始之前 在设备中配置外部 LDAP 之前,请收集以下信息: LDAP 服务器主机和端口 例如:myserver.com和389 要点:请确保可以从所有 IIAS 节点 ping 通 LDAP 服务器主机。 https://www.ibm.com/docs/zh/ias?topic=servers-configuring-ldap-platform-authentication
19.LDAP身份验证和Azure多重身份验证服务器如果 LDAP 目录验证主要凭据有效,Azure 多重身份验证将执行双重身份验证,并将响应发送回 LDAP 客户端。 仅当 LDAP 服务器身份验证和双重验证都成功时,整个身份验证才成功。 重要 2022 年 9 月,Microsoft 宣布弃用 Azure 多重身份验证服务器。 从 2024 年 9 月 30 日开始,Azure 多重身份验证服务器部署将不再https://docs.microsoft.com/zh-cn/azure/active-directory/authentication/howto-mfaserver-dir-ldap
20.LDAP配置—单点登录文档EnOS Cloud允许与轻量级目录访问协议(LDAP)联合创建用户。你可在EnOS中管理LDAP连接,以下事实和规则适用于EnOS中的LDAP连接:一个组织可以连接到一个或多个LDAP服务器。每个LDAP连接都可以配置多个base DN帐号。 多个组织可以连接到同一个LDAP服务器。主要概念 LDAP连接:LDAP服务器和EnOS Cloud之间的连接,LDAP连接中包含https://support.envisioniot.com/docs/sso/zh_CN/preview/howto/ldap_config.html
21.什么是LDAP认证(企业LDAP认证有什么用)–IDC资讯什么是LDAP认证(企业LDAP认证有什么用) 导读:说到lDAP服务器,有很多企业都会需要LDAP服务器,因为LDAP服务器可以提供给企业强大的目录检索及LDAP认证功能。那么,到底什么是LDAP认证?企业使用LDAP认证有什么用呢?下面首页互联服务器租用为大家简单介绍一下,以下是内容详情:https://www.k23.cn/idcnews/8413.html
22.LDAP身份验证身份验证授权和审核应用程序流量要使用服务器的 FQDN 而不是其 IP 地址来配置身份验证,请遵循正常的配置过程(创建身份验证操作时除外)。创建操作时,您可以使用serverName参数而非serverIP参数,然后用服务器的 FQDN 代替其 IP 地址。 在决定是否将 ADC 配置为使用 LDAP 服务器的 IP 或 FQDN 对用户进行身份验证之前,请考虑将身份https://docs.citrix.com/zh-cn/citrix-adc/current-release/aaa-tm/authentication-methods/citrix-adc-aaa-ldap-authentication-policies.html
23.为安全LDAP(LDAPS)配置CUCM注意:默认情况下,在LDAP服务器信息中配置的10.5(2)SU2和9.1(2)SU3 FQDN版本根据证书的公用名进行检查后,如果使用的是IP地址而不是FQDN,则会发出utils ldap config ipaddr命令以停止将FQDN实施到CN验证。 第二步:要完成LDAPS的配置更改,请单击Perform Full Sync Now,如图所示: https://www.cisco.com/c/zh_cn/support/docs/unified-communications/unified-communications-manager-callmanager/215437-configure-cucm-for-secure-ldap-directory.html
24.配置Linux使用LDAP用户认证的方法Linux我为这个LDAP用户认证写了一个脚本,方便添加用户。我这里还是要强调一下,CentOS虽然有提供 migrationtools 工具用于将用户存放至LDAP数据库,但是如果你把本地用户全都提到 LDAP 数据库,不保留本地用户,那么你就会发现,电脑就会无法重启了,所以推荐不要把UID小于1000的用户存放到 LDAP 服务器。 注:该脚本必须在搭建好https://www.jb51.net/article/171280.htm
25.在Mac上的“目录实用工具”中手动配置LDAP目录访问了解如何在 Mac 上的“目录实用工具”中手动创建用于指定 macOS 如何访问 LDAPv3 或 LDAPv2 目录的配置。https://support.apple.com/zh-cn/guide/directory-utility/diru234d4bb6/6.4/mac/14.0
26.LDAPXSwitch文档中心版本号: LDAP 服务器协议的版本,默认即可; 名字属性: 设置要获取的名字属性,cn cidName; 号码属性: 设置要获取的号码属性,cn cidName; 显示名称: 设置 LDAP 服务器搜索结果的显示名称。显示名称格式必须以“%”开头,如:%cn; LDAP 查号: 当有“来电”或“拨打电话时”,是否在 LDAP 电话簿中搜索号码; LDAPhttps://docs.xswitch.cn/xswitch-user/advanced/ldap/