收藏
下载资源

ldap组件配置案例

上传人:wt****50 文档编号:32727753 上传时间:2018-02-12 格式:DOC 页数:24 大小:939KB
返回 下载 相关 举报
ldap组件配置案例_第1页
第1页 / 共24页
ldap组件配置案例_第2页
第2页 / 共24页
ldap组件配置案例_第3页
第3页 / 共24页
ldap组件配置案例_第4页
第4页 / 共24页
ldap组件配置案例_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《ldap组件配置案例》由会员分享,可在线阅读,更多相关《ldap组件配置案例(24页珍藏版)》请在金锄头文库上搜索。

1、1 概述在 CAMS 系统的某些应用场景中,用户需要 CAMS 系统和已有的某些应用系统(比如邮件系统、Windows 域)共享帐号和密码信息,从而方便终端用户的使用。假如用户的应用系统使用 LDAP 服务器治理终端用户的帐号信息,则可以通过使用 CAMS 系统的 LDAP 组件,将终端用户的上网认证重新定向至用户的 LDAP 服务器,实现上网帐号和应用系统帐号的统一。 1.1 功能描述使用 LDAP 组件,用户可使用存储在 LDAP 服务器中的帐号信息,进行网络的物理层接入认证。LDAP 组件实现 LDAP 服务器中的用户帐号信息与 CAMS 系统的用户帐号信息同步,并将用户的接入认证请求重

2、定向至 LDAP 服务器处理。 1.2 使用限制LDAP 组件的使用,同具体的设备无关,该组件使用 LDAP 协议同 LDAP 服务器通讯,可支持当前市场上所有主流 LDAP 服务器,CAMS 系统与 LDAP 服务器的通讯,目前不支持SSL 连接。 2 典型组网及配置2.1 组网图在 LDAP 组件的应用场景中,其应用的示意组网图通常如下如下: LDAP 组件应用示意图 1 以终端用户 A 为例,用户的认证过程包括以下四个步骤:终端用户向CAMS 发起认证请求 CAMS 检查该用户是否为 LDAP 服务器认证用户,假如用户帐号、密码信息存在于 LDAP 服务器,则 CAMS 向 LDAP 服

3、务器发起认证请求 LDAP 服务器返回认证结果给 CAMS 服务器 CAMS 服务器将认证结果返回终端用户 2.2 配置过程及步骤LDAP 组件的配置过程比较简单,其配置过程分为两步: LDAP 服务器信息配置 LDAP用户信息同步配置过程中,需要认真检查以下配置项:检查项检查项说明 LDAP 服务器版本目前主流的 LDAP 服务器支持 V2 和 V3 版本的 LDAP 协议,根据该 LDAP 服务器的实际情况,选择其支持的 LDAP 协议版本 LDAP 服务器 IP 地址 CAMS 与 LDAP 服务器通讯需要的 IP 地址信息 LDAP 服务器 IP 端口 CAMS 与 LDAP 服务器通

4、讯需要的端口信息,LDAP 服务器的通讯端口,缺省值为 389,假如使用 SSL 通讯,则缺省端口为 636。目前CAMS 不支持 SSL 连接。LDAP 服务器治理员可更改 LDAP 服务器的通讯端口,请根据实际情况设置此值治理员 DN(Distinguished Name)拥有用户帐号数据查询权限的治理员DN,CAMS 利用该用户与 LDAP 服务器建立连接治理员密码该密码为 LDAP 服务器治理员密码用户 BASE DN(Distinguished Name)用户数据保存的基准节点,所有用户帐号信息均作为该节点的子节点保存,输入值必须与 LDAP 服务器中存放用户数据的基准节点DN 相同

5、。用户名属性名称 LDAP 服务器中用户标识属性名称,利用该属性指定的值,可唯一确定一用户用户密码属性名称 LDAP 服务器中,保存用户密码的属性名称自动连接间隔时长 CAMS 系统在与 LDAP 服务器建立连接时,假如连接失败,会在该设定时间后重试建立连接。间隔时长范围为3,1440分钟导出用户过滤条件根据该条件,可重 LDAP 服务器中导出用户信息 目前应用较为广泛的 LDAP 服务器包括 Sun ONE5.2,Netscape 6.0,Microsoft Active Directory 5.0,Novell eDirectory 8.5.1 等。不同的 LDAP 服务器,其用户 Bas

6、e DN(用户信息基准节点)、用户属性信息标识、治理员 DN 也有一些区别,下面就选取 Sun ONE5.2,Netscape 6.0 和 Microsoft Active Directory 5.0 分别进行说明。 2.3 CAMS 系统与 Microsoft Active Directory5.0配合配置在 Windows 系统中,Window2000、window2003 等服务器通常使用 Active Directory 治理用户信息。CAMS 系统配置 Active Directory 的过程如下 2.3.1 步骤一:配置 LDAP 服务器信息进入 CAMS 主界面左边的组件治理,选

7、择 LDAP 组件里面的 LDAP 服务器治理,如下图:图表 1LDAP 服务器治理主页面 点击查看大图点击主界面上“增加” 按钮,进入 LDAP 服务器增加页面,配置 LDAP 服务器信息。图表 2 LDAP 服务器配置页面 注重: Base DN 的配置在配置 Base DN 时,应注重用户基准节点为 “cn=users,”+ “服务器所在的域”。在服务器上“ 我的电脑”-“系统信息”-“计算机名”或“ou=组织名,”+ “服务器所在的域”(依用户处于治理员自定义的组织 organizational unit 中还是系统缺省的容器 container中而定)。在服务器上“我的电脑”-“系统

8、信息”-“计算机名”中可查看服务器所在的域。假设服务器的域为“”,那么应配置 Base DN 为:cn=users,dc=cams,dc=com。 2、治理员 DN 的配置对于 Active Directory,治理员可配置为任何具有用户查询权限的帐号。在配置治理员 DN 时,需要输入完全治理员的 DN,比如治理员是 Administrator,由于Administrator 也属于 Users 用户组,则治理员 DN 为:cn=Administrator,cn=users,dc=cams,dc=com。用户名属性标识在 Active Directory 中,用户名属性标识通常为:saMAcc

9、ountName 用户名密码属性标识在 Active Directory 中,用户名密码属性标识通常为:userPassWord 进入讨论组讨论。 2.3.2 步骤二:测试 LDAP 服务器是否配置是否正确在配置完成后,可点击配置项目后的“同步”按钮,假如出现以下界面,表示配置成功。图表 3 LDAP 服务器设置成功后同步结果信息 点击查看大图2.3.3 步骤三:LDAP 服务器用户数据导出用户的帐号信息要通过 CAMS 到 LDAP 服务器进行认证,CAMS 服务器中的帐号信息必须要包含 LDAP 服务器中的用户帐号信息。CAMS 系统提供 LDAP 用户导出功能,将 LDAP 服务器中的用

10、户信息导出到文件中,再利用 CAMS 系统的批量帐号导入功能,将导出文件中的用户信息加入到 CAMS 服务器中。点击 CAMS 系统中 LDAP 组件下的“LDAP 用户导出”菜单,可进入 LDAP 用户导出界面:图表 4 LDAP 用户属性查询界面 点击查看大图从 LDAP 服务器下拉框中选择需要导出用户的 LDAP 服务器,在过滤条件中输入用户选择的过滤条件。注重:输入过滤条件时,对于Active Directory,不可使用缺省条件“(&(objectclass=*)(cn=*)(userPassword=*)”,因为 Active Directory 中,用户密码不可使用LDAP 协议

11、查询,假如选择“userPassword” 属性为过滤条件,则无法导出任何数据。此外使用“cn=*”作为过滤条件时,由于 Active Directory 的用户 Base DN 下还包含了许多 Windows 系统内部用户的信息,这些用户并非 Windows 域认证用户,导出结果会有很多无用信息。“userPrincipalName=*”表示过滤出 Base DN 下所有包含域登录名的帐号信息,此过滤条件导出的结果才是用户需要的帐号信息。假如想过滤掉系统缺省的用户,仅导出需要治理的用户,还可以用下面条件来过滤: (&(distinguishedName=*)(userPrincipalNam

12、e=*))点击“查询”按钮,进入导出文件设置页面图表 5 导出文件设置界面 点击查看大图在该页面中选择导出属性为“saMAcccountName”和“userPrincipalName”,输入文件名,点击“导出 ”按钮,导出文件并保存。注重:在使用 LDAP 用户导出文件将用户批量导入 CAMS 系统时,批量导入的帐号名属性应该对应文件中的“saMAcccountName”属性字段。 进入讨论组讨论。 2.3.4 步骤四:批量导入 LDAP 用户信息在 LDAP 服务器中成功导出用户信息后,需要将用户信息批量导入导CAMS 系统中。使用 CAMS 系统的批量导入功能,可完成此操作。在CAMS

13、系统用户治理主界面中,点击“批量导入”按钮,进入批量导入用户界面,按向导操作即可完成。图表 6 用户帐号治理界面 点击查看大图批量导入界面如下:图表 7 帐号批量导入界面 点击查看大图注重:在批量导入帐号时,帐号名属性对应的列必须与导出文件中用户名属性对应的列相同。 2.3.5 步骤五:LDAP 用户信息治理在 LDAP 服务器增加成功后,需要进行 LDAP 认证用户的信息治理。在 LDAP 服务器列表中点击相关 LDAP 服务器的“LDAP 用户治理”连接,进入 LDAP 用户治理页面如下:图表 8 LDAP 服务器用户治理界面 点击查看大图从该页面可以看出,用户 lhs 和 test 已经

14、是 LDAP 服务器认证用户。假如要添加新的 LDAP 认证用户,则需要点击该页面中的“增加”按钮,进入 LDAP 用户增加页面,如下图:图表 9 LDAP 服务器用户增加界面 点击查看大图在复选框中选中需要使用 LDAP 服务器认证的用户,点击页面菜单条中的“增加”按钮,即可将用户设定为相应的 LDAP 服务器认证用户。 2.3.6 步骤六:LDAP 认证简单测试在完成 LDAP 服务器增加、LDAP 用户治理步骤后,可简单测试用户是否可在 Active Directory 进行认证。进入用户自助界面,输入已加入LDAP 服务器治理的用户名及其在 Active Directory 中的密码,

15、点击登录,假如用户登录成功,表明上述配置均正确无误。 进入讨论组讨论。 2.4 CAMS 系统与 NetScape Directory Server 6.0配合配置NetScape Directory Server 6.0 通常作为 Sun 公司 iPlanet 应用服务器产品中的用户数据治理服务器。同 Active Directory 相比,其配置比较简单。配置过程基本与 Active Directory 相同,需要非凡注重的是其治理员 DN 的设置和用户导出的过滤条件设置。 2.4.1 步骤一:添加 LDAP 服务器点击主界面上“增加”按钮,进入 LDAP 服务器增加页面 点击查看大图注重

16、: 1、 Base DN 的配置在配置 Base DN 时,应注重用户基准节点为“ou=people,”+ “用户根节点 suffix”。假设在安装 NetScape Server时,用户根节点 suffix 设为“”,那么应配置 Base DN 为:ou=people,o= 2、治理员 DN 的配置 NetScape Directory Server 的治理员在服务器安装时指定,治理员所在目录通常与用户所在目录不同,假如服务器安装时,缺省的 LDAP 数据库将治理员 DN为:cn=Directory Manager。治理员 DN 应设为:cn=Directory Manager,同 Active D

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑机械

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号