上一個主題: 使用 GSSAPI 將 LDAP 伺服器連線加密下一個主題: 啟用 LDAPS 驗證


啟用含加密機制的 LDAP 驗證

使用單一登入配置工具可指示登錄的資料來源使用相同的 LDAP 計劃來驗證使用者。 單一登入配置工具可讓您提供使 CA 伺服器以安全的方式連線至 LDAP 伺服器的參數。 使用 Digest-MD5 或 GSSAPI 將與 LDAP 伺服器的連線加密時,將以您指定的使用者身分進行單一繫結作業。

您也可以使用配置工具,將 LDAP 目錄中的使用者與 CA Performance Center 中預先定義或自訂的使用者帳戶相關聯。

請依循下列步驟:

  1. 登入已安裝 CA Performance Center 或 CA 資料來源產品的伺服器。

    以 root 使用者身分或「sudo」命令登入。

  2. 在下列目錄中執行「./SsoConfig」命令,啟動單一登入配置工具:
    InstallationDirectory/CA/PerformanceCenter
    

    系統會提示您選取選項。 可用的選項將對應於本機伺服器上執行的 CA 應用程式。

  3. 選取設定時,視需要使用下列命令:
  4. 輸入 1 來配置 CA Performance Center。

    系統會提示您選取選項。

  5. 輸入代表 LDAP 驗證的 1。

    系統會提示您指定優先順序。

    優先順序參數僅會套用至 CA Performance Center。

  6. 輸入下列其中一個選項:
    1. 遠端值

    指只有管理員才能變更的設定。 這類設定會傳播至已向此 CA Performance Center 執行個體登錄的其他所有 CA 產品。 只有在對應的「本機覆寫」值不存在時,才會使用「遠端值」設定。

    2. 本機覆寫

    指可對所有產品變更的設定。 如果「本機覆寫」值存在,其優先順序高於「遠端值」和預設設定。

    系統會提示您選取要配置的內容。

  7. 輸入下列其中一個或多個內容。 出現提示時,輸入 u 來更新值,然後提供新的值:
    1. 連線使用者

    定義登入伺服器用來連線至 LDAP 伺服器的使用者 ID。 此 LDAP 使用者名稱會用來繫結至伺服器。 使用 GSSAPI 等驗證機制的連線一般不需要服務帳戶。

    範例:如果登入伺服器使用固定帳戶,請輸入使用下列語法的文字:

    CN=The User,cn=Users,dc=domain,dc=com
    

    另外,因為連線使用驗證機制,您也可以輸入下列的值:

    {0}
    

    複雜的配置需要使用者主體名稱,才能識別使用者。 請提供「{0}」,並使用其電子郵件地址做為網域名稱。 例如:

    {0}@domain.com
    

    LDAP 伺服器通常不需要有完整 DN 來進行加密連線。

    附註:基於安全考量,請勿將連線使用者設定為靜態帳戶。 LDAP 驗證在繫結至伺服器時,只會檢查密碼。 如果您使用靜態帳戶,LDAP 樹狀結構中存在的任何使用者都能夠使用任何密碼登入。

    2. 連線密碼

    定義登入伺服器用來連線至 LDAP 伺服器的密碼。

    範例:如果登入伺服器使用固定帳戶,請輸入如下列範例所示的文字:

    SomePassword
    

    另外,因為連線使用驗證機制,您也可以輸入下列的值:

    {1}
    
    3. 搜尋網域

    識別 CA 單一登入所連線到的 LDAP 伺服器和連接埠。 此外,還可識別搜尋作業在驗證使用者帳戶憑證時,於目錄樹狀結構中尋找使用者的位置。 如果您未在字串中的伺服器後同時提供連接埠號碼,將使用連接埠 389。

    將下列格式使用於搜尋網域:

    LDAP://ldap_server:port/path_to_search 
    

    附註一定要有搜尋路徑。

    4. 搜尋字串

    指定用來在目錄中尋找正確使用者的條件。 搭配 [搜尋範圍] 參數一起使用。 如果只允許一部份的 LDAP 使用者登入,則可以使用搜尋字串來尋找記錄內的多項內容。 此參數的值可包含任何有效的 LDAP 搜尋條件。

    範例

    (saMAccountName={0})
    
    5. 搜尋範圍

    指定用來尋找正確使用者記錄的條件。 搭配 [搜尋字串] 參數一起使用。 決定 LDAP 伺服器針對使用者帳戶執行的搜尋範圍。 輸入下列其中一個值:

    onelevel

    將目前目錄包含在搜尋中。 比對目前目錄中的物件,並防止意外比對位於目錄中更深層結構的項目。

    subtree

    將所有子目錄包含在搜尋中。 建議大部份安裝使用。

    base

    將搜尋限制於基本物件。

    6. 使用者繫結

    指定是否額外以使用者的辨別名稱 (DN) 與密碼進行一道驗證步驟 (繫結),以驗證所提供的認證。

    預設:已停用。 使用加密連線時可接受此值。

    7. 加密

    指定再次繫結至 LDAP 伺服器時要使用的驗證機制。

    在此情況 (也就是使用驗證機制) 下,請按照 LDAP 伺服器的機制,輸入「GSSAPI」或「DIGEST-MD5」。

    預設:簡易。

    接受的值:簡易、GSSAPI、DIGEST-MD5。

    8. 帳戶使用者

    指定要將缺乏群組成員資格的已驗證 LDAP 使用者對應到的 CA Performance Center 預設帳戶。 搭配 [帳戶密碼] 參數一起使用。 如果某個有效使用者不符合任何群組定義,此使用者會以此欄位中指定的預設使用者 ID 進行登入。

    若要允許所有使用者以自己的使用者名稱登入,請輸入:

    • {saMAccountName}
    • {saMAccountName} 或 {CN}

    附註:[帳戶使用者] 參數會對應於此使用者之目錄項目中的某個欄位。 一般而言,該值將符合您的搜尋篩選器。

    9. 帳戶使用者預設複製

    指定當經過驗證的 LDAP 使用者屬於 [群組] 參數所未指定群組的成員時,要複製的使用者帳戶。

    範例:如果要這類使用者具有最低權限,請輸入「user」。

    附註:需要現有使用者帳戶。

    10. 群組

    可讓您為選取的使用者帳戶或帳戶群組決定預設的帳戶處理方式。

    範例:若要讓某個群組所有的成員使用管理員帳戶登入,請輸入:

    <LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
    
    11. 逾時

    指定 CA Performance Center 對 LDAP 伺服器進行授權檢查時所等候的時間量。 如果授權檢查逾時,嘗試登入的使用者的存取就會遭拒。 若要檢視錯誤,請開啟 SSOService.log 檔案。 預設逾時為 10000。

  8. 確認 [LDAP 狀態] 設為 [已啟用]。 如果 [LDAP 狀態] 設為 [已停用],則驗證會使用內部 Performance Center 使用者資料庫。
  9. 輸入 q 結束。

    配置工具隨即關閉。

範例配置

  1. SSO 配置/CA Performance Center/LDAP 驗證/遠端值:
  2. 連線使用者:{0}
  3. 連線密碼:{1}
  4. 搜尋網域:LDAP://******.ca.com/DC=ca,DC=com
  5. 搜尋字串:(sAMAccountName={0})
  6. 搜尋範圍:Subtree
  7. 使用者繫結:已停用
  8. 加密:DIGEST-MD5
  9. 帳戶使用者:{sAMAccountName}
  10. 帳戶使用者預設複製:user
  11. 群組:「所有員工」
  12. Krb5ConfigFile:krb5.conf

更多資訊:

使用 GSSAPI 將 LDAP 伺服器連線加密