Users Guide
LDAP 用户的验证和授权
有些域服务器要求在特定 LDAP 服务器上进行搜索前完成绑定。验证的步骤为:
1. 可选绑定到目录服务。默认为匿名绑定。
2. 根据用户登录搜索用户。默认属性为 uid。
3. 如果找到一个以上的对象,则返回错误。
4. 解除绑定并以用户的 DN 和密码进行绑定。
5. 如果绑定失败,则登录失败。
如果这些步骤成功完成,则用户通过验证。下一阶段是授权。CMC 最多储存 5 个组及其相应的权限。用户可选择添加到目录服务内的多个组。如果用户是多个组的成员,则其获得所有所属
组的权限。
授权步骤为:
1. 在各配置的组中于成员或唯一成员 属性中搜索用户的 DN。管理员可配置此字段。
2. 对于用户作为其成员的每个组累加其权限。
使用 CMC 基于 Web 的界面配置通用 LDAP 目录服务
您可使用通用轻型目录访问协议 (LDAP) 服务来配置软件,以提供到 CMC 的访问。LDAP 允许您添加和控制现有用户的 CMC 用户权限。
有关 LDAP 配置和配置通用 LDAP 的详情,请参阅结合通用 LDAP 使用 CMC。
若要查看和配置 LDAP,请执行以下步骤:
1. 登录到 Web 界面。
2. 单击“User Authentication”(用户验证)选项卡,然后单击“Directory Services”(目录服务)子选项卡。随即出现“Directory Services”(目录服务)页。
3. 单击通用 LDAP 的单选按钮。
4. 配置显示的选项并单击“Apply”(应用)。
可用配置选项如下:
表 8-10.常见设置
注: 要为 CMC 配置 LDAP 设置,必须具备机箱配置管理员权限。
设置
说明
启用通用 LDAP
在 CMC 上启用通用 LDAP 服务。
用可分辨名称搜索组成
员资格
指定允许其成员访问设备的 LDAP 组的可分辨名称 (DN)。
启用 SSL 证书验证
如果选择,CMC 使用 CA 证书验证 SSL 握手期间的 LDAP 服务器证书。
“Bind DN”(绑定
DN)
在搜索登录用户的 DN 时,指定绑定到服务器的用户的可分辨名称。如果未提供,则使用匿名绑定。
密码
与绑定 DN 一起使用的绑定密码。
注: 绑定密码属于敏感数据,应予以正确保护。
用于搜索的基础 DN
目录分支的域名,所有搜索都从此处开始。
用户登录的属性
指定要搜索的属性。如果未配置,默认使用 uid。推荐在选择的基础 DN 内唯一,否则必须配置搜索筛选器以保证登录用户的唯一性。如果用户 DN 不能通过搜
索属性和搜索筛选器组合而唯一识别,则登录失败并报错。
组成员资格属性
指定用于检查组成员资格的 LDAP 属性。必须是一个组类属性。如果未指定,则使用成员和唯一成员属性。
搜索筛选器
指定有效的 LDAP 搜索筛选器。如果用户属性不能在所选基础 DN 中唯一标识登录用户,将使用此功能。如果未指定,默认为 objectClass=*,显示搜索树中
的所有对象。此属性的最大长度为 1024 个字符。
网络超时(秒)
设置空闲的 LDAP 会话在等待多少秒后自动关闭。
搜索超时(秒)
设置搜索在等待多少秒后自动关闭。