指定身份认证和参数

ENTERPRISE

为 LDAP 目录指定身份认证方法和参数

在此部分中,您将为 LDAP 目录设置身份认证方法和参数。您可以使用两种绑定类型和两种身份认证方法。

绑定类型

绑定操作用于对目录服务器进行客户端身份认证,建立用于该连接上后续操作的授权身份,并指定客户端要使用的 LDAP 协议版本。

您可以使用两种绑定类型:

  • 匿名绑定 - 使用简单绑定或搜索绑定。任何人都可以连接到 LDAP 服务器。此绑定类型不需要 查找 DN查找密码
  • LDAP 凭据 - 需要 查找 DN查找密码。必须先确立 LDAP 凭据。

身份认证方法

您可以使用两种身份认证方法。

  • 简单绑定。通过简单绑定的身份认证是验证 LDAP 客户端的最常见方式,但您也可以选择搜索绑定身份认证方法。您可以匿名绑定,也可以提供 LDAP 凭据,例如“查找 DN”和“查找密码”。在任一情况下,您都必须提供用户 DN 模板。如果您的 LDAP 用户名是 [可分辨名称 (DN)] 的一部分,请选择简单绑定。(https://www.ldap.com/ldap-dns-and-rdns).

  • 搜索绑定。虽然简单的绑定连接只需一步即可完成,但搜索/绑定操作需要两个步骤。首先,在目录中搜索用户名属性。如果找到,则进行绑定操作以检查用户对外部目录的凭据。您必须指定用户搜索库和用户搜索筛选模板。在某些方法中,您还必须指定“查找 DN”和“查找密码”。如果您的 LDAP 用户名不是 [可分辨名称 (DN) 的一部分],请选择搜索绑定。(https://www.ldap.com/ldap-dns-and-rdns).

使用简单绑定的匿名绑定

当您选择“使用简单绑定的匿名绑定”时,您必须提供 用户 DN 模板

  1. 添加目录 窗口中,单击 身份认证

  2. 绑定类型下,单击 匿名绑定

  3. 身份认证方法下,单击 简单绑定

  4. 键入外部 LDAP 目录可用于在 用户 DN 模板 字段中查找用户账户的 DN 模板。此字符串必须包含 %(username)s,DC/OS 会将其替换为用户在登录时提供的用户名。示例如下:

    cn=%(username)s,dc=los-pollos,dc=io
    uid=%(username)s,cn=users,cn=accounts,dc=demo1,dc=freeipa,dc=org
    uid=%(username)s,ou=users,dc=example,dc=com
    
  5. 完成输入后,对话框应如下所示。

    简单绑定参数

    图 1. “使用简单绑定的匿名绑定”参数

  6. 单击 Add Directory

  7. 验证您的连接.

使用搜索绑定的匿名绑定

当您选择“使用搜索绑定的匿名绑定”时,您必须提供 用户搜索库用户搜素筛选模板

  1. 添加目录 窗口中,单击 身份认证

  2. 绑定类型下,单击 匿名绑定

  3. 身份认证方法下,单击 搜索绑定

  4. User Search Base(用户搜索库)字段中,指定目录中要开始搜索 LDAP 用户名的位置。这应为[搜索库对象]的 DN。(https://technet.microsoft.com/en-us/library/cc978021.aspx). 例如:

    cn=Users,dc=example,dc=com 
    
  5. User Search Filter Template 字段中指定将 LDAP 用户名转换为有效 LDAP 搜索筛选器的模板。该条目必须包含以下占位符:%(username)s。例如:

    (sAMAccountName=%(username)s)
    (uid=%(username)s)
    
  6. 完成输入后,对话框应如下所示:

    使用搜索绑定的匿名绑定

    图 2. “使用搜索绑定的匿名绑定”参数

  7. 单击 Add Directory

  8. 验证您的连接.

使用简单绑定的 LDAP 凭据

选择 LDAP 凭据 作为绑定类型并选择 简单绑定 作为身份认证类型时,您必须提供 查找 DN查找密码用户 DN 模板

  1. 添加目录 窗口中,单击 身份认证

  2. 绑定类型 下,单击 LDAP 凭据

  3. 身份认证方法下,单击 简单绑定

  4. 提供用于连接到 LDAP 服务器的用户帐户的完整 DN,以在 Lookup DN 字段中导入用户、组以及检查用户凭据。一些示例如下:

        cn=read-only-user,dc=los-pollos,dc=io
        uid=read-only-user,cn=users,cn=accounts,dc=demo1,dc=freeipa,dc=org
        uid=read-only-user,ou=users,dc=example,dc=com
    

    注意:我们建议使用只读用户账户。

  5. Lookup Password 字段中提供帐户的密码。

  6. 键入外部 LDAP 目录可用于在 用户 DN 模板 字段中查找用户账户的 DN 模板。此字符串必须包含 %(username)s,DC/OS 会将其替换为用户在登录时提供的用户名。示例如下:

    cn=%(username)s,dc=los-pollos,dc=io
    uid=%(username)s,cn=users,cn=accounts,dc=demo1,dc=freeipa,dc=org
    uid=%(username)s,ou=users,dc=example,dc=com
    
  7. 完成输入后,对话框应如下所示。

    简单绑定参数

    图 3. “使用简单绑定的 LDAP 凭据”参数

  8. 单击 Add Directory

  9. 验证您的连接.

使用搜索绑定的 LDAP 凭据

选择 LDAP 凭据 作为绑定类型并选择 搜索绑定 作为身份认证类型时,您必须提供 查找 DN查找密码用户搜索库用户搜索筛选模板

  1. 添加目录 窗口中,单击 身份认证

  2. 绑定类型 下,单击 LDAP 凭据

  3. 提供用于连接到 LDAP 服务器的用户帐户的完整 DN,以在 Lookup DN 字段中导入用户、组以及检查用户凭据。一些示例如下:

        cn=read-only-user,dc=los-pollos,dc=io
        uid=read-only-user,cn=users,cn=accounts,dc=demo1,dc=freeipa,dc=org
        uid=read-only-user,ou=users,dc=example,dc=com
    

    注意:我们建议使用只读用户账户。

  4. Lookup Password 字段中提供帐户的密码。

  5. 身份认证方法下,单击 搜索绑定

  6. User Search Base(用户搜索库)字段中,指定目录中要开始搜索 LDAP 用户名的位置。这应当是 [搜索库对象] 的 DN。例如:

    cn=Users,dc=example,dc=com 
    
  7. User Search Filter Template 字段中指定将 LDAP 用户名转换为有效 LDAP 搜索筛选器的模板。该条目必须包含以下占位符:%(username)s。例如:

    (sAMAccountName=%(username)s)
    (uid=%(username)s)
    
  8. 完成输入后,对话框应如下所示:

    使用搜索绑定的 LDAP 凭据

    图 4. “使用搜索绑定的 LDAP 凭据”参数

  9. 单击 Add Directory

  10. 验证您的连接.