上一個主題: 使用 GSSAPI 將 LDAP 伺服器連線加密下一個主題: 驗證 LDAP 設定

設定 LDAP 驗證啟用含加密機制的 LDAP 驗證

啟用含加密機制的 LDAP 驗證

使用單一登入配置工具可指示登錄的資料來源使用相同的 LDAP 計劃來驗證使用者。 單一登入配置工具可讓您提供使 CA 伺服器以安全的方式連線至 LDAP 伺服器的參數。 使用 Digest-MD5 或 GSSAPI 將與 LDAP 伺服器的連線加密時,將以您指定的使用者身分進行單一繫結作業。

您也可以使用配置工具,將 LDAP 目錄中的使用者與 CA Performance Center 中預先定義或自訂的使用者帳戶相關聯。

請依循下列步驟:

  1. 登入已安裝 CA Performance Center 或 CA 資料來源產品的伺服器。

    以 root 使用者身分或「sudo」命令登入。

  2. 在下列目錄中執行「./SsoConfig」命令,啟動單一登入配置工具: 
    [安裝目錄]/CA/PerformanceCenter

    系統會提示您選取選項。 可用的選項將對應於本機伺服器上執行的 CA 應用程式。

  3. 選取設定時,視需要使用下列命令:
  4. 輸入 1 來配置 CA Performance Center。

    系統會提示您選取選項。

  5. 輸入代表 LDAP 驗證的 1。

    系統會提示您指定優先順序。

    優先順序參數僅會套用至 CA Performance Center。

  6. 輸入下列其中一個選項:
    1. 遠端值

    指只有管理員才能變更的設定。 這類設定會傳播至已向此 CA Performance Center 執行個體登錄的其他所有 CA 產品。 只有在對應的「本機覆寫」值不存在時,才會使用「遠端值」設定。

    2. 本機覆寫

    指可對所有產品變更的設定。 如果「本機覆寫」值存在,其優先順序高於「遠端值」和預設設定。

    系統會提示您選取要配置的內容。

  7. 輸入下列其中一個或多個內容。 出現提示時,輸入 u 來更新值,然後提供新的值:
    1. 連線使用者

    定義登入伺服器用來連線至 LDAP 伺服器的使用者 ID。 此 LDAP 使用者名稱會用來繫結至伺服器。 使用 GSSAPI 等驗證機制的連線一般不需要服務帳戶。

    範例:如果登入伺服器使用固定帳戶,請輸入使用下列語法的文字:

    CN=The User,cn=Users,dc=domain,dc=com

    另外,因為連線使用驗證機制,您也可以輸入下列的值:

    {0}

    複雜的配置需要使用者主體名稱,才能識別使用者。 請提供「{0}」,並使用其電子郵件地址做為網域名稱。 例如:

    {0}@domain.com

    LDAP 伺服器通常不需要有完整 DN 來進行加密連線。

    附註:基於安全考量,請勿將連線使用者設定為靜態帳戶。 LDAP 驗證在繫結至伺服器時,只會檢查密碼。 如果您使用靜態帳戶,LDAP 樹狀結構中存在的任何使用者都能夠使用任何密碼登入。

    2. 連線密碼

    定義登入伺服器用來連線至 LDAP 伺服器的密碼。

    範例:如果登入伺服器使用固定帳戶,請輸入如下列範例所示的文字:

    SomePassword

    另外,因為連線使用驗證機制,您也可以輸入下列的值:

    {1}
    3. 搜尋網域

    指出 LDAP 通訊協定、伺服器、連接埠及初始搜尋網域。 同時也識別在驗證帳戶認證時的搜尋起點。

    SSL 的使用與驗證機制 (例如 Simple、GSSAPI 或 DIGEST-MD5) 無關。 不過,如果您要使用 Simple 驗證 (SASL),則就如同要使用服務帳戶時一樣,強烈建議啟用 SSL。 相形之下,對於 GSSAPI 或 DIGEST-MD5 之類的驗證機制,SSL 並非特別重要。

    使用「LDAPS」可以使用 SSL 保護連線。 LDAPS 的預設連接埠是 636。

    範例

    • LDAPS://localhost:636
    • LDAPS://svr:636/CN=Users,DC=company,DC=local

    如果您設定某個 Active Directory 做為 QASG.local,搜尋網域字串將如下所示:

    LDAPS://qasg.local:636/dc=qas,dc=local
    4. 搜尋字串

    指定用來在目錄中尋找正確使用者的條件。 搭配 [搜尋範圍] 參數一起使用。 如果只允許一部份的 LDAP 使用者登入,則可以使用搜尋字串來尋找記錄內的多項內容。 此參數的值可包含任何有效的 LDAP 搜尋條件。

    範例

    (saMAccountName={0})
    5. 搜尋範圍

    指定用來尋找正確使用者記錄的條件。 搭配 [搜尋字串] 參數一起使用。 決定 LDAP 伺服器針對使用者帳戶執行的搜尋範圍。 輸入下列其中一個值:

    onelevel

    將目前目錄包含在搜尋中。 比對目前目錄中的物件,並防止意外比對位於目錄中更深層結構的項目。

    subtree

    將所有子目錄包含在搜尋中。 建議大部份安裝使用。

    base

    將搜尋限制於基本物件。

    6. 使用者繫結

    指定是否額外以使用者的辨別名稱 (DN) 與密碼進行一道驗證步驟 (繫結),以驗證所提供的認證。

    預設:已停用。 使用加密連線時可接受此值。

    7. 加密

    指定再次繫結至 LDAP 伺服器時要使用的驗證機制。

    在此情況 (也就是使用驗證機制) 下,請按照 LDAP 伺服器的機制,輸入「GSSAPI」或「DIGEST-MD5」。

    預設:簡易。

    接受的值:簡易、GSSAPI、DIGEST-MD5。

    8. 帳戶使用者

    指定要將缺乏群組成員資格的已驗證 LDAP 使用者對應到的 CA Performance Center 預設帳戶。 搭配 [帳戶密碼] 參數一起使用。 如果某個有效使用者不符合任何群組定義,此使用者會以此欄位中指定的預設使用者 ID 進行登入。

    若要允許所有使用者以自己的使用者名稱登入,請輸入:

    • {saMAccountName}
    • {saMAccountName} 或 {CN}

    附註:[帳戶使用者] 參數會對應於此使用者之目錄項目中的某個欄位。 一般而言,該值將符合您的搜尋篩選器。

    9. 帳戶使用者預設複製

    指定當經過驗證的 LDAP 使用者屬於 [群組] 參數所未指定群組的成員時,要複製的使用者帳戶。

    範例:如果要這類使用者具有最低權限,請輸入「user」。

    附註:需要現有使用者帳戶。

    10. 群組

    可讓您為選取的使用者帳戶或帳戶群組決定預設的帳戶處理方式。

    範例:若要讓某個群組所有的成員使用管理員帳戶登入,請輸入:

    <LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
  8. 輸入 q 結束。

    配置工具隨即關閉。

範例配置

  1. SSO 配置/CA Performance Center/LDAP 驗證/遠端值:
  2. 連線使用者:{0}
  3. 連線密碼:{1}
  4. 搜尋網域:LDAP://******.ca.com/DC=ca,DC=com
  5. 搜尋字串:(sAMAccountName={0})
  6. 搜尋範圍:Subtree
  7. 使用者繫結:已停用
  8. 加密:DIGEST-MD5
  9. 帳戶使用者:{sAMAccountName}
  10. 帳戶使用者預設複製:user
  11. 群組:「所有員工」
  12. Krb5ConfigFile:krb5.conf

更多資訊:

使用 GSSAPI 將 LDAP 伺服器連線加密