目录
Ⅰ LDAP配置要点
一、LDAP常用术语解释
DN:distinguished name。在LDAP目录中的所有记录项都有一个唯一的DN
其中DN有三个属性,分别是CN(UID),OU,DC
LDAP是一种通讯协议,如同HTTP是一种协议一样的!在LDAP目录中:
uid (User ID)
CN (Common Name)
DC (Domain Component)
OU (Organizational Unit)
SN (surname)
An LDAP 目录类似于文件系统目录。
下列目录:DC=redmond,DC=wa,DC=microsoft,DC=com;如果我们类比文件系统的话,可被看作如下文件路径:Com/Microsoft/Wa/Redmond
例如:CN=test,OU=developer,DC=domainname,DC=com
在上面的代码中cn=test代表一个用户名,ou=developer代表一个active directory中的组织单位,
这句话就描述了一个完整的DN:test这个对象处在domainname.com域的developer组织单元中(说明test这个对象的具体位置)。
二、防火墙LDAP服务器配置要点
1.通常情况下,绑定类型选择【常规】
2.收集LDAP服务器的信息:
1)具有管理员权限账号的DN[管理员账号的具体路径(DN)=管理员账号名(CN或UID)+管理员账号存储路径(DC)],管理员账号密码;该管理员账号对需要认证的普通账号至少有查询的权限;
服务器信息:
防火墙配置:
2 ) 普通账号的存储路径(DC),普通账号的标识(CN或UID),本例中以普通账号Michael为例
服务器信息:
防火墙配置:
3.常规模式下,防火墙与LDAP服务器之间的认证过程:
1 )用配置的管理员DN、密码给LDAP服务器认证(bind为ldap认证报文)
2 )认证成功后,管理员账号查找实际要求认证的用户DN
3 )找到普通用户DN后再一次提交实际用户认证请求给LDAP服务器
4 )认证成功后,返回组中的所有组成员条目
5 )RGFW根据返回结果,如果第3步提交的用户是成员之一,则认证成功
Ⅱ LDAP用户认证
一、需求
上网用户需要通过认证才能上网,用户认证信息需要使用LDAP服务器内的用户来进行互联网访问。
二、拓扑图
三、配置要点
1、添加LDAP服务器
2、添加用户组
3、配置基于用户认证的上网策略
四、配置步骤
1、添加LDAP服务器
进入 设置用户--远程--LDAP
点击 新建,添加LDAP服务器。
名称:名字,自定义即可。
服务器/IP: 192.168.1.102,LDAP服务器的ip地址,。
服务器端口: 默认389.
普通名字:cn ,有的系统使用uid 。
标识名字: DC=fei,DC=com // 根据ldap数据库填写
绑定类型:常规。
用户DN,密码: ldap服务器上的账号。
配置完成后可以点击 Test 按钮,进行测试,会显示是否成功。
验证服务器是否工作正常:
NGFW # diagnose test authserver ldap ldap test fei!@#
authenticate 'test' against 'ldap' succeeded!
Group membership(s) - CN=rj,OU=rj,DC=fei,DC=com
2、添加用户组
进入 系统管理--设置用户--用户组,点击 新建
名称:webuser,任意取
选择远端服务器:LDAP
4、配置基于用户认证的上网策略
进入 防火墙--策略--策略 点击 新建,按如下方式添加上网策略
选择启用基于用户认证的策略,点击“添加”选择用户组 webuser,可用目的、服务等
添加好用户组后,策略如下
五、业务测试
防火墙--策略--策略 用户打开浏览器,会首先弹出认证页面,输入用户的LDAP账号的用户名和密码,即可上网。
查看防火墙认知用户:
菜单: 系统管理--用户--监视器:
排障命令:
RG-WALL #diagnose deb enable
RG-WALL #diagnose debug application fnbamd -1 //说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
测试账号是否有效:
RG-FW # diagnose test authserver ldap ldap test fei!@# //认证类型:ldap, 服务器名称:ldap 用户名: test 密码: fei!@#