本主题说明如何将 LDAP 配置为身份验证方法。
注意:可以使用位于 <企业管理器主目录>/examples/authentication 目录中的示例 realms.ldap.xml 配置文件以获取帮助。
在配置 realms.xml 时,请遵循以下规则:
重要信息! 必须满足以下所有规则才能启动企业管理器。
<realm descriptor="LDAP Realm" id="LDAP" active="true">
请执行以下步骤:
使用 LDAP 身份验证时,只要用户 ID 正确,Introscope 用户便可以使用空密码登录 Workstation。 LDAP 身份验证不检查是否缺少密码或存在空密码字段,从而允许用户成功登录。 无论是登录到 Workstation 客户端还是 WebView,都会发生此 LDAP 身份验证行为。 要确保实施该安全设置,请设置 disallowEmptyPassword 属性。
注意:每个站点上的 LDAP 服务器配置都是独一无二的。 先从 LDAP 管理员处获得 LDAP 配置信息,然后才能尝试配置 LDAP 属性。
远程 LDAP 服务器的 URL。
非 SSL 连接的默认端口是 389,SSL 连接的默认端口是 636。
如果使用的是 SSL,请确保 SSL LDAP 端口包括在服务器 URL 中。
例如,ldap://host:port。
是否使用 SSL 连接到远程 LDAP 服务器。
选项是:true、false。
用于绑定到 LDAP 计算机的名称。 如果为空白,则使用匿名绑定。
例如,IntroscopeLDAPUser。
用于绑定到 LDAP 计算机的密码。
此属性是可选的。
如果 bindName 字段空白(使用匿名绑定),则将忽略 bindPassword 属性。
指示 bindPassword 是纯文本还是经过加密。 此属性是可选的。
如果缺少该属性或该属性设置为 True,则企业管理器假定 bindPassword 属性是纯文本。
默认情况下,该值设置为 True,即假定密码是纯文本。
企业管理器读取 realms.xml 文件并发现该值设置为 True 时,企业管理器会执行以下操作:
如果该值设置为 False,则密码是经过加密的。
重要信息! 要启动企业管理器,则此属性必须包含在 realms.xml 文件中。
在绑定时使用的身份验证类型。
选项是:none、simple 和 DIGEST-MD5。
所有用户对象查询的基本可分辨名称 (DN)。
选项是:cn=Users、dc=dev 和 dc=com。
查询用户对象时的搜索深度。
将与 Introscope 用户名匹配的 LDAP 属性的名称。
例如,userPrincipalName。
用于查询用户对象的 LDAP 搜索筛选。 在执行查询之前,令牌“%u”使用 Introscope 用户名进行填充。
例如 (&(userPrincipalName=%u)(objectclass=user))。
证书文件的名称。 支持的证书类型是 X.509 和 base64 编码类型。
如果未指定,将使用 JVM 提供的默认证书管理机构(请参阅 http://java.sun.com/j2se/1.5/docs/index.html)。
将与 Introscope 用户名匹配的组属性的名称。
例如,cn。
用于查询组对象的 LDAP 搜索筛选。 在执行查询之前,令牌“%u”使用 Introscope 组名称进行填充。
例如,(&(objectClass=group)(cn={0}))
用于查询组成员的 LDAP 搜索筛选。 在执行查询之前,令牌“%u”使用 Introscope 组成员进行填充。
例如,(&(objectClass=group)(member={0}))。
要求用户不得以空密码登录。
在 LDAP 身份验证期间,禁用针对该用户所属组中的嵌套组的 LDAP 递归搜索。 设置为 true 可以改进 LDAP 身份验证的性能。
此属性是可选的。
选项是:true、false。 默认值为 false。
注意:在以下情况下升级任务后,请以手工方式更新绝对路径:
为了避免发生这种情况,请使用相对路径来引用 Introscope 根目录内的任何文件。
|
版权所有 © 2013 CA。
保留所有权利。
|
|