认证 > 配置 LDAP 认证

配置 LDAP 认证

可以使用 LDAP(轻型目录访问协议)认证服务器对使用 XTM 设备的用户进行认证。 LDAP 是一种用于在线目录服务的开放式标准协议,它通过 Internet 传输协议(如 TCP)进行操作。 配置 XTM 设备进行 LDAP 认证之前,请确保核对 LDAP 供应商提供的文档,以查看安装是否支持 memberOf(或其他同类)属性。 配置主 LDAP 服务器和备份 LDAP 服务器设置时,可以选择是否指定 LDAP 服务器的 IP 地址或者 DNS 名称。

如果您的用户用 LDAP 认证方法进行认证,他们的可辨名称 (DN) 和密码不加密。 要使用 LDAP 认证并加密用户认证信息,您可以选择 LDAPS (LDAP over SSL) 选项。 使用 LDAPS 时,SSL 隧道可以保证 XTM 设备上的 LDAP 客户端与 LDAP 服务器之间的流量的安全性。 启用该选项时,您也可以选择是否启用 LDAPS 客户端来验证 LDAP 服务器证书,这样可以防止中间人攻击。 如果选择使用 LDAPS 并指定了服务器的 DNS 名称,请确保指定的搜索库包括服务器的 DNS 名称。 标准 LDAPS 端口为 636。 如需 Active Directory 全局编录查询,SSL 端口为 3269。

配置 LDAP 认证方法时,要设置一个搜索库以指定 XTM 设备可以在认证服务器目录中搜索认证匹配的位置。 例如,如果用户帐户在称为 accounts 的 OU(组织单位)中,且域名为 example.com,则搜索库为:ou=accounts,dc=example,dc=com

如果启用 LDAPS,可以选择通过导入的证书颁发机构 (CA) 证书来验证 LDAP 服务器证书。 如果选择验证 LDAP 服务器证书,则必须导入来自签发 LDAP 服务器证书的 CA 的根 CA 证书,以便您的 XTM 设备可以使用 CA 证书来验证 LDAP 服务器证书。 导入 CA 证书时,请确保选择 IPSec、Web 服务器、其他选项。 有关如何导入证书的详细信息,请参阅管理 XTM 设备证书

在 Fireware XTM Web UI 中:

  1. 选择身份验证 > 服务器
    将显示认证服务器页面。
  2. 选择 LDAP 选项卡。
  3. 选中启用 LDAP服务器复选框
    。将启用 LDAP 服务器设置。
  1. IP 地址/DNS 名称下拉列表中,选择是否使用 IP 地址或 DNS 名称以联系主 LDAP 服务器。
  2. IP 地址/DNS 名称文本框中,键入 XTM 设备的主 LDAP 服务器的 IP 地址或 DNS 名称,以联系认证请求。
    LDAP 服务器可位于任何 XTM 设备接口上。 您还可以配置设备以通过 VPN 隧道在远程网络上使用 LDAP 服务器。
  3. 端口文本框中,选择 XTM 设备用于连接到 LDAP 服务器的 TCP 端口号。 默认端口号为 389。
    如果您启用 LDAPS,必须选择端口号 636。
  4. 搜索库文本框中,以标准格式输入搜索库设置:ou=组织单位,dc=可分辨服务器名称的第一部分,dc=显示在圆点后的可分辨服务器名称的任何部分。
    例如:ou=accounts,dc=example,dc=com
  5. 组字符串文本框中,输入组字符串的属性。

这个属性字符串用于在 LDAP 服务器上保留用户组信息。 在很多 LDAP 服务器上,默认组字符串为 uniqueMember;在其他服务器上为 member

  1. 搜索用户的 DN 文本框中,为搜索操作输入可分辨名称 (DN)。

您可以添加具有搜索 LDAP/Active Directory 权限的任意用户 DN,例如管理员。 某些管理员可以创建仅具有搜索权限的新用户。
例如,cn=Administrator,cn=Users,dc=example,dc=com

  1. 搜索用户的密码文本框中,输入与用于搜索操作。
  2. 登录属性文本框中,从下拉列表选择用于身份验证的 LDAP 登录属性

登录属性是用于绑定到 LDAP 数据库的名称。 默认登录属性为 uid。 如果使用 uid,则搜索用户的 DN搜索用户的密码 文本框可以为空。

  1. 非活动时间文本框中,输入或选择非活动服务器再次被标记为活动之前的时间。 从旁边的下拉列表选择分钟小时,以设置持续时间。

认证服务器在一段时间内没有响应后,系统会将其标记为非活动。 在将该服务器重新标记为活动之前,后续的认证尝试不会尝试连接此服务器。

  1. 要对 LDAP 服务器启用安全 SSL 连接,请选择启用 LDAPS 复选框。
  2. 如果启用 LDAPS 但没有为 LDAPS 的默认端口设置端口值,将会显示端口消息对话框。 要使用默认端口,请单击。 要使用指定的端口,请单击
  3. 要通过导入的 CA 证书验证 LDAP 服务器的证书,请选中验证服务器证书复选框。
  4. 要为主 LDAP 服务器指定可选属性,可单击可选设置
    有关如何配置可选设置的详细信息,请参阅后续部分。
  5. 要添加备份 LDAP 服务器,请选择次服务器设置选项卡,然后选中启用次 LDAP 服务器复选框。
  6. 重复步骤 3–14 以配置备份服务器。 请确保主 LDAP 服务器和备份 LDAP 服务器上的共享密码相同。
    有关详细信息,请参阅使用备份认证服务器
  7. 单击保存

关于 LDAP 可选设置

当 Fireware XTM 读取服务器搜索响应中的属性列表时,可以从目录服务器(LDAP 或 Active Directory)中获取其他信息。 这样,您可以使用目录服务器为已通过认证的用户会话分配其他参数,例如超时值和 Mobile VPN with IPSec 地址分配。 因为数据来自与各个用户对象相关联的 LDAP 属性,不会受限于 Fireware XTM Web UI 中的全局设置。 您可以为每个单独用户设置这些参数。

有关详细信息,请参阅使用 Active Directory 或 LDAP 可选设置

测试服务器的连接

要确保 XTM 设备可以连接到 LDAP 服务器并成功认证用户,则可以测试认证服务器的连接。 还可以使用此功能确定某个特定用户是否已通过认证,以及获取该用户的认证组信息。

可以在服务器的认证服务器页面中测试认证服务器的连接,也可以直接导航到 Fireware XTM Web UI 中的服务器连接页面执行此操作。

要从认证服务器页面导航到服务器连接页面:

  1. 单击测试连接
    将显示服务器连接页面。
  2. 请按照服务器连接主题中的说明测试服务器的连接。

有关如何直接导航到 Fireware XTM Web UI 中的服务器连接页面的说明,请参阅服务器连接

请参阅

关于 第三方认证服务器

提供反馈  •   获得支持  •   全部产品文件  •   知识库