Gateway

LDAP-Authentifizierung konfigurieren

Sie können das NetScaler Gateway so konfigurieren, dass der Benutzerzugriff mit einem oder mehreren LDAP-Servern authentifiziert wird.

Für die LDAP-Autorisierung sind identische Gruppennamen im Active Directory, auf dem LDAP-Server und auf dem NetScaler Gateway erforderlich. Die Zeichen und der Fall müssen ebenfalls übereinstimmen.

Standardmäßig ist die LDAP-Authentifizierung mithilfe von Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) sicher. Es gibt zwei Arten von sicheren LDAP-Verbindungen. Bei einem Typ akzeptiert der LDAP-Server die SSL- oder TLS-Verbindungen an einem Port getrennt von dem Port, den der LDAP-Server verwendet, um klare LDAP-Verbindungen zu akzeptieren. Nachdem Benutzer die SSL- oder TLS-Verbindungen hergestellt haben, kann LDAP-Verkehr über die Verbindung gesendet werden.

Die Portnummern für LDAP-Verbindungen lauten:

  • 389 für ungesicherte LDAP-Verbindungen
  • 636 für sichere LDAP-Verbindungen
  • 3268 für Microsoft unsichere LDAP-Verbindungen
  • 3269 für sichere LDAP-Verbindungen von Microsoft

Die zweite Art von sicheren LDAP-Verbindungen verwendet den Befehl StartTLS und verwendet die Portnummer 389. Wenn Sie die Portnummern 389 oder 3268 auf NetScaler Gateway konfigurieren, versucht der Server, StartTLS zum Herstellen der Verbindung zu verwenden. Wenn Sie eine andere Portnummer verwenden, versucht der Server, mithilfe von SSL oder TLS Verbindungen herzustellen. Wenn der Server StartTLS, SSL oder TLS nicht verwenden kann, schlägt die Verbindung fehl.

Wenn Sie das Stammverzeichnis des LDAP-Servers angeben, durchsucht NetScaler Gateway alle Unterverzeichnisse, um das Benutzerattribut zu finden. In großen Verzeichnissen kann dieser Ansatz die Leistung beeinträchtigen. Aus diesem Grund empfiehlt Citrix, eine bestimmte Organisationseinheit (OU) zu verwenden.

Die folgende Tabelle enthält Beispiele für Benutzerattributfelder für LDAP-Server:

LDAP-Server Benutzer-Attribut Case sensitiv
Microsoft Active Directory-Server sAMAccountName Nein
Novell eDirectory ou Ja
IBM Verzeichnisserver uid Ja
Lotus-Domino CN Ja
Sun ONE Verzeichnis (ehemals iPlanet) uid oder cn Ja

Diese Tabelle enthält Beispiele für den Basis-DN:

LDAP-Server Basis-DN
Microsoft Active Directory-Server DC =citrix, DC = lokal
Novell eDirectory ou=Benutzer, ou=dev
IBM Verzeichnisserver cn=users
Lotus-Domino OU=Stadt, O=Citrix, C=US
Sun ONE Verzeichnis (ehemals iPlanet) ou = Menschen, dc =citrix, dc = com

Die folgende Tabelle enthält Beispiele für Bind-DN:

LDAP-Server Bind DN
Microsoft Active Directory-Server CN=Administrator, CN=Benutzer, DC=citrix, DC = lokal
Novell eDirectory cn=admin, o=citrix
IBM Verzeichnisserver LDAP_dn
Lotus-Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE Verzeichnis (ehemals iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

Hinweis: Weitere Informationen zu den LDAP-Servereinstellungen finden Sie unter Bestimmen von Attributen in Ihrem LDAP-Verzeichnis.

LDAP-Authentifizierung konfigurieren

In diesem Artikel