上一主题: 使用 GSSAPI 加密与 LDAP 服务器的连接下一主题: 启用 LDAPS 身份验证

设置 LDAP 身份验证启用使用加密机制的 LDAP 身份验证

启用使用加密机制的 LDAP 身份验证

使用 Single Sign-On 配置工具可以指导注册的数据源使用相同的 LDAP 方案验证用户的身份。 在 Single Sign-On 配置工具中,您可以提供使 CA 服务器能够安全连接到 LDAP 服务器的参数。 在您使用 Digest-MD5 或 GSSAPI 加密与 LDAP 服务器的连接时,单个绑定操作 - 以您指定的用户身份 - 便会发生。

使用配置工具,也可以将 LDAP 目录中的用户与 CA Performance Center 中的预定义或自定义用户帐户相关联。

遵循这些步骤:

  1. 登录到安装了 CA Performance Center 或 CA 数据源产品的服务器。

    以 root 用户身份登录或使用“sudo”命令。

  2. 在以下目录中运行“./SsoConfig”命令,以启动 Single Sign-On 配置工具: 
    InstallationDirectory/CA/PerformanceCenter

    系统会提示您选择一个选项。 可用选项与在本地服务器上运行的 CA 应用程序相对应。

  3. 选择设置时,根据需要使用以下命令:
  4. 输入 1 以配置 CA Performance Center。

    系统会提示您选择一个选项。

  5. 对于 LDAP 身份验证输入 1。

    系统将提示您指定优先级。

    “优先级”参数仅适用于 CA Performance Center。

  6. 输入以下选项之一:
    1. 远程值

    指的是只有管理员可以更改的设置。 此类设置将传播到注册到此 CA Performance Center 实例的所有其他 CA 产品。 仅当相应的“本地覆盖”值不存在时,才能使用“远程值”设置。

    2. 本地覆盖

    指的是可以针对所有产品更改的设置。 如果“本地覆盖”值存在,其优先级将高于“远程值”和默认设置。

    系统将提示您选择要配置的属性。

  7. 输入一个或多个以下属性。 当出现提示时,输入 u 以更新值并提供新值:
    1. 连接用户

    定义登录服务器用来连接 LDAP 服务器的用户 ID。 该 LDAP 用户名用于绑定到服务器。 对于使用身份验证机制(如 GSSAPI)的连接,通常不需要服务帐户。

    示例:如果登录服务器使用固定帐户,请按以下语法输入文本:

    CN=The User,cn=Users,dc=domain,dc=com

    或您可以输入以下值,因为连接将使用身份验证机制:

    {0}

    复杂配置需要用户主要名称来识别用户。 提供“{0}”,并使用他们的电子邮件地址作为域名。 例如:

    {0}@domain.com

    对于加密连接,LDAP 服务器通常不需要完全域名。

    注意:出于安全考虑,请不要使连接用户成为静态帐户。 当绑定到服务器时,LDAP 身份验证仅检查密码。 如果使用静态帐户,则 LDAP 树中的任何用户将都可以使用任何密码进行登录。

    2. 连接密码

    定义登录服务器用来连接 LDAP 服务器的密码。

    示例:如果登录服务器使用固定帐户,请按下例那样输入文本:

    SomePassword

    或您可以输入以下值,因为连接将使用身份验证机制:

    {1}
    3. 搜索域

    标识 CA Single Sign-On 连接到的 LDAP 服务器和端口。 还标识在验证用户帐户凭据时搜索在目录树中查找用户的位置。 如果您在字符串中的服务器后面也不提供端口号,则使用端口 389。

    为搜索域使用以下格式: 

    LDAP://ldap 服务器:端口/搜索路径

    注意:搜索路径是必需的

    4. 搜索字符串

    指定用于在该目录中查找正确用户的条件。 与“搜索范围”参数一起使用。 如果仅允许某些 LDAP 用户登录,则可以使用该搜索字符串在一个记录中搜索多个属性。 该参数的值可以包括任何有效的 LDAP 搜索条件。

    示例

    (saMAccountName={0})
    5. 搜索范围

    指定用于查找用户正确记录所使用的条件。 与搜索字符串参数一起使用。 确定 LDAP 服务器对用户帐户执行的搜索范围。 键入以下值之一:

    onelevel

    在搜索中包括当前目录。 匹配当前目录中的对象,并阻止目录中更深层次的非预期匹配项。

    subtree

    在搜索中包括所有子目录。 建议在用于多数安装中使用该值。

    基本

    将搜索限制到基对象。

    6. 用户绑定

    指定是否使用用户的可识别名称 (DN) 和密码进行附加身份验证步骤(绑定)以验证提供的凭据。

    默认值:已禁用。 此值对于加密连接可接受。

    7. 加密

    指定再次绑定到 LDAP 服务器时使用的身份验证机制。

    在这种情况下(也就是说,使用身份验证机制),根据您的 LDAP 服务器的机制,输入“GSSAPI”或“DIGEST-MD5”。

    默认:Simple。

    接受值:Simple、GSSAPI、DIGEST-MD5。

    8. 帐户用户

    指定将缺少组成员身份的已验证 LDAP 用户映射到的 CA Performance Center 默认帐户。 与帐户密码参数一起使用。 如果某个有效用户与所有组定义均不匹配,该用户将使用为该参数指定的默认用户 ID 登录。

    要允许所有用户使用他们自己的用户名登录,请输入:

    • {saMAccountName}
    • {saMAccountName} 或 {CN}

    注意:帐户用户参数对应于该用户的目录条目中的字段。 该值通常与您的搜索筛选匹配。

    9. 帐户用户默认克隆

    指定要克隆的用户帐户,如果已验证 LDAP 用户不是为组参数指定的组的成员。

    示例:如果您希望此类用户拥有最小权限,请输入“user”。

    注意:现有的用户帐户是必要的。

    10. Group

    用于为选定的用户帐户或帐户组确定默认帐户处理。

    示例:要使组内的所有成员都能够使用管理员帐户登录,请输入:

    <LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
    11. 超时

    指定 CA Performance Center 等待的时间量,同时对 LDAP 服务器进行权限检查。 在授权检查超时的时候,拒绝试图登录的用户进行访问。 要查看错误,请打开 SSOService.log 文件。 默认超时值为 10000。

  8. 验证 LDAP 状态是否设为“已启用”。 如果 LDAP 状态设成“禁用”,那么验证使用内部性能中心用户数据库。
  9. 输入 q 以退出。

    配置工具将关闭。

配置示例

  1. SSO 配置/CA Performance Center/LDAP 身份验证/远程值:
  2. 连接用户:{0}
  3. 连接密码:{1}
  4. 搜索域:LDAP://******.ca.com/DC=ca,DC=com
  5. 搜索字符串:(sAMAccountName={0})
  6. 搜索范围:Subtree
  7. 用户绑定:已禁用
  8. 加密:DIGEST-MD5
  9. 帐户用户:{sAMAccountName}
  10. 帐户用户默认克隆:user
  11. 组:“All Employees”
  12. Krb5ConfigFile: krb5.conf

详细信息:

使用 GSSAPI 加密与 LDAP 服务器的连接