Users Guide
5. 如果绑定失败,则登录失败。
如果这些步骤成功完成,则用户通过验证。下一阶段是授权。CMC 最多储存 5 个组及其相应的权限。用户可选择添加到目录服务内的多个组。如果用户是多个组的成员,则其获得所有所属
组的权限。
授权步骤为:
1. 在各配置的组中于成员或唯一成员 属性中搜索用户的 DN。管理员可配置此字段。
2. 对于用户作为其成员的每个组累加其权限。
使用 CMC 基于 Web 的界面配置通用 LDAP 目录服务
您可使用通用轻型目录访问协议 (LDAP) 服务配置软件提供到 CMC 的访问。LDAP 允许您添加和控制现有用户的 CMC 用户权限。
有关 LDAP 配置和配置通用 LDAP 的详情,请参阅 "使用 CMC 及通用 LDAP"。
若要查看和配置 LDAP,请执行以下步骤:
1. 登录到 Web 界面。
2. 单击"User Authentication"(用户验证)选项卡,然后单击"Directory Services"(目录服务)子选项卡。随即出现"Directory Services"(目录服务)页。
3. 单击通用 LDAP 的单选按钮。
4. 配置显示的选项并单击"Apply"(应用)。
可用配置选项如下:
表 8-10.常见设置
选择 LDAP 服务器
用通用 LDAP 配置服务器有两种方式。静态服务器允许管理员在字段内加入 FQDN 或 IP 地址。另外,也可通过在 DNS 内查询其 SRV 记录而读取 LDAP 服务器列表。
以下是 LDAP 服务器部分中的属性:
l Use Static LDAP Servers(使用静态 LDAP 服务器) - 选择此选项可让 LDAP 服务使用提供端口号的指定服务器(详情见下)。
l LDAP Server Address(LDAP 服务器地址) - 指定 LDAP 服务器的 FQDN 或 IP 地址。要指定位于相同域的多个冗余 LDAP 服务器,请提供所有服务器的列表(用逗号隔
开)。CMC 会尝试依次连接到每个服务器,直到建立连接为止。
注: 要为 CMC 配置 LDAP 设置,必须具备机箱配置管理员权限。
设置
说明
启用通用 LDAP
在 CMC 上启用通用 LDAP 服务。
用可分辨名称搜索组成
员资格
指定允许其成员访问设备的 LDAP 组的可分辨名称 (DN)。
启用 SSL 证书验证
如果选择,CMC 使用 CA 证书验证 SSL 握手期间的 LDAP 服务器证书
绑定 DN
在搜索登录用户的 DN 时,指定绑定到服务器的用户的可分辨名称。如果未提供,则使用匿名绑定。
密码
与绑定 DN 一起使用的绑定密码。
绑定密码属于敏感数据,应予以正确保护。
用于搜索的基础 DN
目录分支的域名,所有搜索都从此处开始。
用户登录的属性
指定要搜索的属性。如果未配置,默认使用 uid。推荐在选择的基础 DN 内唯一,否则必须配置搜索筛选器以保证登录用户的唯一性。如果用户 DN 不能通过搜
索属性和搜索筛选器组合而唯一识别,则登录失败并报错。
组成员资格属性
指定用于检查组成员资格的 LDAP 属性。必须是一个组类属性。如果未指定,则使用成员和唯一成员属性。
搜索筛选器
指定有效的 LDAP 搜索筛选器。如果用户属性不能在所选基础 DN 中唯一标识登录用户,将使用此功能。如果未指定,默认为 objectClass=*,显示搜索树中
的所有对象。此属性的最大长度为 1024 个字符。
网络超时(秒)
设置空闲的 LDAP 会话在等待多少秒后自动关闭。
搜索超时(秒)
设置搜索在等待多少秒后自动关闭。
注: 必须选择静态或 DNS。