上一個主題: LDAP 支援下一個主題: 使用 GSSAPI 將 LDAP 伺服器連線加密

設定 LDAP 驗證啟用不含驗證機制的 LDAP 驗證

啟用不含驗證機制的 LDAP 驗證

使用單一登入配置工具可指示登錄的資料來源使用相同的 LDAP 計劃來驗證使用者。 單一登入配置工具可讓您提供使 CA 伺服器以安全的方式連線至 LDAP 伺服器的參數。 您也可以使用配置工具,將 LDAP 目錄中的使用者與 CA Performance Center 中預先定義或自訂的使用者帳戶相關聯。

如果您使用 GSSAPI 等驗證機制,則啟用 LDAP 驗證時所需採取的步驟會略微不同。 如果沒有驗證機制,您必須擁有使用服務帳戶以繫結至 LDAP 伺服器。 此帳戶需要有 LDAP 伺服器的讀取和搜尋存取權。 您必須提供連線使用者的完整 DN (辨別名稱),您也必須啟用 [使用者繫結] 參數。

單一登入會使用您在 [連線使用者] 及 [連線密碼] 參數提供的認證來繫結至 LDAP 伺服器。 接著,單一登入將按照您在 [搜尋字串] 參數提供的字串進行目錄搜尋。 搜尋結果包含使用者的 DN。 單一登入將使用此 DN 及密碼第二次繫結至 LDAP 伺服器。

重要! 如果未使用任何驗證機制,強烈建議與 LDAP 伺服器建立 SSL 連線。 否則,密碼將以純文字傳輸至 LDAP 伺服器。

請依循下列步驟:

  1. 登入已安裝 CA Performance Center 或 CA 資料來源產品的伺服器。

    以 root 使用者身分或「sudo」命令登入。

  2. 在下列目錄中執行「./SsoConfig」命令,啟動單一登入配置工具: 
    [安裝目錄]/CA/PerformanceCenter

    系統會提示您選取選項。 可用的選項將對應於本機伺服器上執行的 CA 應用程式。

  3. 選取設定時,視需要使用下列命令:
  4. 輸入 1 來配置 CA Performance Center。

    系統會提示您選取選項。

  5. 輸入代表 LDAP 驗證的 1。

    系統會提示您指定優先順序。

    優先順序參數僅會套用至 CA Performance Center。

  6. 輸入下列其中一個選項:
    1. 遠端值

    指只有管理員才能變更的設定。 這類設定會傳播至已向此 CA Performance Center 執行個體登錄的其他所有 CA 產品。 只有在對應的「本機覆寫」值不存在時,才會使用「遠端值」設定。

    2. 本機覆寫

    指可對所有產品變更的設定。 如果「本機覆寫」值存在,其優先順序高於「遠端值」和預設設定。

    系統會提示您選取要配置的內容。

  7. 輸入下列其中一個或多個內容。 出現提示時,輸入 u 來更新值,然後提供新的值:
    1. 連線使用者

    定義登入伺服器用來連線至 LDAP 伺服器的使用者 ID (在此情況下是服務帳戶的使用者 ID)。 此 LDAP 使用者名稱會用來繫結至伺服器。

    重要! 如果您未使用 GSSAPI 等驗證機制,則此參數需要是具有 LDAP 伺服器之讀取及搜尋存取權的服務帳戶。

    2. 連線密碼

    定義登入伺服器用來連線至 LDAP 伺服器的密碼。

    範例:如果登入伺服器使用固定帳戶,請輸入如下列範例所示的文字:

    SomePassword
    3. 搜尋網域

    指出 LDAP 通訊協定、伺服器及初始搜尋網域。 同時也識別在驗證帳戶認證時的搜尋起點。 如果您未在字串中的伺服器後同時提供連接埠號碼,將使用連接埠 389。

    範例

    • LDAP://localhost:389
    • LDAP://svr/CN=Users,DC=company,DC=local

    如果您設定某個 Active Directory 做為 QASG.local,搜尋網域字串將是:

    LDAP://qasg.local/dc=qas,dc=local

    如果您要與 LDAP 伺服器建立 SSL 連線 (如果您未使用驗證機制,強烈建議採用此類連線),請遵循以下步驟:

    1. 將 LDAP 變更為 LDAPS
    2. 將連線連接埠變更為 636,或變更為 LDAP 伺服器的其他 SSL 連線連接埠: 
      LDAPS://srv:636/CN=Users,DC=company,DC=local
    4. 搜尋字串

    指定用來尋找正確使用者記錄的條件。 搭配 [搜尋範圍] 參數一起使用。 如果只允許一部份的 LDAP 使用者登入,則可以使用搜尋字串來尋找記錄內的多項內容。 此參數的值可包含任何有效的 LDAP 搜尋條件。

    範例

    (saMAccountName={0})
    5. 搜尋範圍

    指定用來尋找正確使用者記錄的條件。 搭配 [搜尋字串] 參數一起使用。 決定 LDAP 伺服器針對使用者帳戶執行的搜尋範圍。 輸入下列其中一個值:

    onelevel

    將目前目錄包含在搜尋中。 比對目前目錄中的物件,並防止意外比對位於目錄中更深層結構的項目。

    subtree

    將所有子目錄包含在搜尋中。 建議大部份安裝使用。

    base

    將搜尋限制於基本物件。

    6. 使用者繫結

    指定是否額外以使用者的辨別名稱 (DN) 與密碼進行一道驗證步驟 (繫結),以驗證所提供的認證。

    重要! 如果已經在步驟 1 和 2 中輸入服務帳戶,此參數必須設定為 [已啟用]。

    預設:已停用。

    7. 加密

    指定第二次繫結至 LDAP 伺服器時要使用的驗證機制。

    預設:簡易。

    接受的值:簡易、GSSAPI、DIGEST-MD5。

    8. 帳戶使用者

    指定要將缺乏群組成員資格的已驗證 LDAP 使用者對應到的 CA Performance Center 預設帳戶。 搭配 [帳戶密碼] 參數一起使用。 如果某個有效使用者不符合任何群組定義,此使用者會以此欄位中指定的預設使用者 ID 進行登入。

    若要允許所有使用者以自己的使用者名稱登入,請輸入:

    • {saMAccountName}
    • {saMAccountName} 或 {CN}

    附註:[帳戶使用者] 參數會對應於此使用者之目錄項目中的某個欄位。 一般而言,該值將符合您的搜尋篩選器。

    9. 帳戶使用者預設複製

    指定當經過驗證的 LDAP 使用者屬於 [群組] 參數所未指定群組的成員時,要複製的使用者帳戶。

    範例:如果要這類使用者具有最低權限,請輸入「user」。

    附註:需要現有使用者帳戶。

    10. 群組

    可讓您為選取的使用者帳戶或帳戶群組決定預設的帳戶處理方式。

    範例:若要讓某個群組所有的成員使用管理員帳戶登入,請輸入:

    <LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
  8. 輸入 q 結束。

    配置工具隨即關閉。

範例配置

  1. 連線使用者:CN=********,OU=Role-Based,OU=North America,DC=ca,DC=com [伺服器帳戶的完整 DN]
  2. 連線密碼:******* [伺服器帳戶的密碼]
  3. 搜尋網域:LDAP://******.ca.com/DC=ca,DC=com
  4. 搜尋字串:(sAMAccountName={0})
  5. 搜尋範圍:Subtree
  6. 使用者繫結:已啟用
  7. 加密:false
  8. 帳戶使用者:{sAMAccountName}
  9. 帳戶使用者預設複製:user
  10. 群組:「所有員工」
  11. Krb5ConfigFile:krb5.conf