可以使用 LDAP(轻型目录访问协议)认证服务器对使用 XTM 设备的用户进行认证。 LDAP 是一种用于在线目录服务的开放式标准协议,它通过 Internet 传输协议(如 TCP)进行操作。 配置 XTM 设备进行 LDAP 认证之前,请确保核对 LDAP 供应商提供的文档,以查看安装是否支持 memberOf(或其他同类)属性。 配置主 LDAP 服务器和备份 LDAP 服务器设置时,可以选择是否指定 LDAP 服务器的 IP 地址或者 DNS 名称。
如果您的用户用 LDAP 认证方法进行认证,他们的可辨名称 (DN) 和密码不加密。 要使用 LDAP 认证并加密用户认证信息,您可以选择 LDAPS (LDAP over SSL) 选项。 使用 LDAPS 时,SSL 隧道可以保证 XTM 设备上的 LDAP 客户端与 LDAP 服务器之间的流量的安全性。 启用该选项时,您也可以选择是否启用 LDAPS 客户端来验证 LDAP 服务器证书,这样可以防止中间人攻击。 如果选择使用 LDAPS 并指定了服务器的 DNS 名称,请确保指定的搜索库包括服务器的 DNS 名称。 标准 LDAPS 端口为 636。 如需 Active Directory 全局编录查询,SSL 端口为 3269。
配置 LDAP 认证方法时,要设置一个搜索库以指定 XTM 设备可以在认证服务器目录中搜索认证匹配的位置。 例如,如果用户帐户在称为 accounts 的 OU(组织单位)中,且域名为 example.com,则搜索库为:ou=accounts,dc=example,dc=com。
如果启用 LDAPS,可以选择通过导入的证书颁发机构 (CA) 证书来验证 LDAP 服务器证书。 如果选择验证 LDAP 服务器证书,则必须导入来自签发 LDAP 服务器证书的 CA 的根 CA 证书,以便您的 XTM 设备可以使用 CA 证书来验证 LDAP 服务器证书。 导入 CA 证书时,请确保选择 IPSec、Web 服务器、其他选项。 有关如何导入证书的详细信息,请参阅管理 XTM 设备证书。
在 Fireware XTM Web UI 中:
这个属性字符串用于在 LDAP 服务器上保留用户组信息。 在很多 LDAP 服务器上,默认组字符串为 uniqueMember;在其他服务器上为 member。
您可以添加具有搜索 LDAP/Active Directory 权限的任意用户 DN,例如管理员。 某些管理员可以创建仅具有搜索权限的新用户。
例如,cn=Administrator,cn=Users,dc=example,dc=com。
登录属性是用于绑定到 LDAP 数据库的名称。 默认登录属性为 uid。 如果使用 uid,则搜索用户的 DN 和搜索用户的密码 文本框可以为空。
认证服务器在一段时间内没有响应后,系统会将其标记为非活动。 在将该服务器重新标记为活动之前,后续的认证尝试不会尝试连接此服务器。
当 Fireware XTM 读取服务器搜索响应中的属性列表时,可以从目录服务器(LDAP 或 Active Directory)中获取其他信息。 这样,您可以使用目录服务器为已通过认证的用户会话分配其他参数,例如超时值和 Mobile VPN with IPSec 地址分配。 因为数据来自与各个用户对象相关联的 LDAP 属性,不会受限于
有关详细信息,请参阅使用 Active Directory 或 LDAP 可选设置。
要确保 XTM 设备可以连接到 LDAP 服务器并成功认证用户,则可以测试认证服务器的连接。 还可以使用此功能确定某个特定用户是否已通过认证,以及获取该用户的认证组信息。
可以在服务器的认证服务器页面中测试认证服务器的连接,也可以直接导航到 Fireware XTM Web UI 中的服务器连接页面执行此操作。
要从认证服务器页面导航到服务器连接页面:
有关如何直接导航到 Fireware XTM Web UI 中的服务器连接页面的说明,请参阅服务器连接。