上一主题: LDAP 支持下一主题: 使用 GSSAPI 加密与 LDAP 服务器的连接

设置 LDAP 身份验证启用不含身份验证机制的 LDAP 身份验证

启用不含身份验证机制的 LDAP 身份验证

使用单点登录配置工具可以指导注册的数据源使用相同的 LDAP 方案验证用户的身份。 单点登录配置工具允许您提供使 CA 服务器能够安全连接到 LDAP 服务器的参数。 使用配置工具,也可以将 LDAP 目录中的用户与 CA Performance Center 中的预定义或自定义用户帐户相关联。

如果您使用了身份验证机制(如 GSSAPI),则启用 LDAP 身份验证的步骤会略有不同。 如果没有身份验证机制,则必须使用服务帐户绑定到 LDAP 服务器。 此帐户需具有读取和搜索 LDAP 服务器的权限。 必须提供连接用户的完整 DN(可识别名称),同时启用“用户绑定”参数。

单点登录使用您为“连接用户”和“连接密码”参数提供的凭据,绑定到 LDAP 服务器。 然后,根据您为“搜索字符串”参数提供的字符串执行目录搜索。 搜索结果包括用户的 DN。 单点登录使用此 DN 和密码再次绑定到 LDAP 服务器。

重要说明! 如果没有使用身份验证机制,我们强烈建议您建立与 LDAP 服务器的 SSL 连接。 否则,密码将以明文方式发送至 LDAP 服务器。

遵循这些步骤:

  1. 登录到安装了 CA Performance Center 或 CA 数据源产品的服务器。

    以 root 用户身份登录或使用“sudo”命令。

  2. 在以下目录中运行“./SsoConfig”命令,以启动单点登录配置工具: 
    [安装目录]/CA/PerformanceCenter

    系统会提示您选择一个选项。 可用选项与在本地服务器上运行的 CA 应用程序相对应。

  3. 选择设置时,根据需要使用以下命令:
  4. 输入 1 以配置 CA Performance Center。

    系统会提示您选择一个选项。

  5. 对于 LDAP 身份验证输入 1。

    系统将提示您指定优先级。

    “优先级”参数仅适用于 CA Performance Center。

  6. 输入以下选项之一:
    1. 远程值

    指的是只有管理员可以更改的设置。 此类设置将传播到注册到此 CA Performance Center 实例的所有其他 CA 产品。 仅当相应的“本地覆盖”值不存在时,才能使用“远程值”设置。

    2. 本地覆盖

    指的是可以针对所有产品更改的设置。 如果“本地覆盖”值存在,其优先级将高于“远程值”和默认设置。

    系统将提示您选择要配置的属性。

  7. 输入一个或多个以下属性。 当出现提示时,输入 u 以更新值并提供新值:
    1. 连接用户

    定义登录服务器用于连接 LDAP 服务器的用户 ID(在本示例中为服务帐户的用户 ID)。 此 LDAP 用户名用于绑定到服务器。

    重要说明! 如果没有使用验证机制(如 GSSAPI),此参数需使用具有 LDAP 服务器读取与搜索权限的服务帐户。

    2. 连接密码

    定义登录服务器用来连接 LDAP 服务器的密码。

    示例:如果登录服务器使用固定帐户,请按下例那样输入文本:

    SomePassword
    3. 搜索域

    表明 LDAP 协议、服务器和初始搜索域。 此外,还标识搜索验证用户帐户凭据时开始搜索的位置。 如果您在字符串中的服务器后面也不提供端口号,则使用端口 389。

    示例

    • LDAP://localhost:389
    • LDAP://svr/CN=Users,DC=company,DC=local

    如果您将 Active Directory 设置为 QASG.local,您的搜索域字符串将为:

    LDAP://qasg.local/dc=qas,dc=local

    要建立与 LDAP 服务器的 SSL 连接(强烈建议在没有使用身份验证机制时采用此方式),请执行以下步骤:

    1. 将 LDAP 版本更改为 LDAPS
    2. 将 LDAP 服务器的连接端口更改为 636 或其他 SSL 连接端口: 
      LDAPS://srv:636/CN=Users,DC=company,DC=local
    4. 搜索字符串

    指定用于查找用户正确记录所使用的条件。 与“搜索范围”参数一起使用。 如果仅允许某些 LDAP 用户登录,则可以使用该搜索字符串查找该记录中的多个属性。 该参数的值可以包括任何有效的 LDAP 搜索条件。

    示例

    (saMAccountName={0})
    5. 搜索范围

    指定用于查找用户正确记录所使用的条件。 与搜索字符串参数一起使用。 确定 LDAP 服务器对用户帐户执行的搜索范围。 键入以下值之一:

    onelevel

    在搜索中包括当前目录。 匹配当前目录中的对象,并阻止目录中更深层次的非预期匹配项。

    subtree

    在搜索中包括所有子目录。 建议在用于多数安装中使用该值。

    base

    将搜索限制到基对象。

    6. 用户绑定

    指定是否使用用户的可识别名称 (DN) 和密码进行附加身份验证步骤(绑定)以验证提供的凭据。

    重要说明! 如果您在步骤 1 和步骤 2 中输入了服务帐户,则必须将此参数设为“已启用”。

    默认值:已禁用。

    7. 加密

    指定再次绑定到 LDAP 服务器时使用的身份验证机制。

    默认:Simple。

    接受值:Simple、GSSAPI、DIGEST-MD5。

    8. 帐户用户

    指定将缺少组成员身份的已验证 LDAP 用户映射到的 CA Performance Center 默认帐户。 与帐户密码参数一起使用。 如果某个有效用户与所有组定义均不匹配,该用户将使用为该参数指定的默认用户 ID 登录。

    要允许所有用户使用他们自己的用户名登录,请输入:

    • {saMAccountName}
    • {saMAccountName} 或 {CN}

    注意:帐户用户参数对应于该用户的目录条目中的字段。 该值通常与您的搜索筛选匹配。

    9. 帐户用户默认克隆

    在已验证的 LDAP 用户不是为组参数指定的组的成员的情况下,指定一个要克隆的用户帐户。

    示例:如果您希望此类用户拥有最小权限,请输入“user”。

    注意:现有的用户帐户是必要的。

    10. Group

    用于为选定的用户帐户或帐户组确定默认帐户处理。

    示例:要使组内的所有成员都能够使用管理员帐户登录,请输入:

    <LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
  8. 输入 q 以退出。

    配置工具将关闭。

配置示例

  1. 连接用户:CN=********, OU=Role-Based, OU=North America, DC=ca, DC=com [服务帐户的完整 DN]
  2. 连接密码:******* [服务帐户的密码]
  3. 搜索域:LDAP://******.ca.com/DC=ca,DC=com
  4. 搜索字符串:(sAMAccountName={0})
  5. 搜索范围:Subtree
  6. 用户绑定:已启用
  7. 加密:false
  8. 帐户用户:{sAMAccountName}
  9. 帐户用户默认克隆:user
  10. 组:“All Employees”
  11. Krb5ConfigFile: krb5.conf