LDAP-Authentifizierung konfigurieren
Sie können das NetScaler Gateway so konfigurieren, dass der Benutzerzugriff mit einem oder mehreren LDAP-Servern authentifiziert wird.
Für die LDAP-Autorisierung sind identische Gruppennamen im Active Directory, auf dem LDAP-Server und auf dem NetScaler Gateway erforderlich. Die Zeichen und der Fall müssen ebenfalls übereinstimmen.
Standardmäßig ist die LDAP-Authentifizierung mithilfe von Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) sicher. Es gibt zwei Arten von sicheren LDAP-Verbindungen. Bei einem Typ akzeptiert der LDAP-Server die SSL- oder TLS-Verbindungen an einem Port getrennt von dem Port, den der LDAP-Server verwendet, um klare LDAP-Verbindungen zu akzeptieren. Nachdem Benutzer die SSL- oder TLS-Verbindungen hergestellt haben, kann LDAP-Verkehr über die Verbindung gesendet werden.
Die Portnummern für LDAP-Verbindungen lauten:
- 389 für ungesicherte LDAP-Verbindungen
- 636 für sichere LDAP-Verbindungen
- 3268 für Microsoft unsichere LDAP-Verbindungen
- 3269 für sichere LDAP-Verbindungen von Microsoft
Die zweite Art von sicheren LDAP-Verbindungen verwendet den Befehl StartTLS und verwendet die Portnummer 389. Wenn Sie die Portnummern 389 oder 3268 auf NetScaler Gateway konfigurieren, versucht der Server, StartTLS zum Herstellen der Verbindung zu verwenden. Wenn Sie eine andere Portnummer verwenden, versucht der Server, mithilfe von SSL oder TLS Verbindungen herzustellen. Wenn der Server StartTLS, SSL oder TLS nicht verwenden kann, schlägt die Verbindung fehl.
Wenn Sie das Stammverzeichnis des LDAP-Servers angeben, durchsucht NetScaler Gateway alle Unterverzeichnisse, um das Benutzerattribut zu finden. In großen Verzeichnissen kann dieser Ansatz die Leistung beeinträchtigen. Aus diesem Grund empfiehlt Citrix, eine bestimmte Organisationseinheit (OU) zu verwenden.
Die folgende Tabelle enthält Beispiele für Benutzerattributfelder für LDAP-Server:
| LDAP-Server | Benutzer-Attribut | Case sensitiv |
|---|---|---|
| Microsoft Active Directory-Server | sAMAccountName | Nein |
| Novell eDirectory | ou | Ja |
| IBM Verzeichnisserver | uid | Ja |
| Lotus-Domino | CN | Ja |
| Sun ONE Verzeichnis (ehemals iPlanet) | uid oder cn | Ja |
Diese Tabelle enthält Beispiele für den Basis-DN:
| LDAP-Server | Basis-DN |
|---|---|
| Microsoft Active Directory-Server | DC =citrix, DC = lokal |
| Novell eDirectory | ou=Benutzer, ou=dev |
| IBM Verzeichnisserver | cn=users |
| Lotus-Domino | OU=Stadt, O=Citrix, C=US |
| Sun ONE Verzeichnis (ehemals iPlanet) | ou = Menschen, dc =citrix, dc = com |
Die folgende Tabelle enthält Beispiele für Bind-DN:
| LDAP-Server | Bind DN |
|---|---|
| Microsoft Active Directory-Server | CN=Administrator, CN=Benutzer, DC=citrix, DC = lokal |
| Novell eDirectory | cn=admin, o=citrix
|
| IBM Verzeichnisserver | LDAP_dn |
| Lotus-Domino | CN=Notes Administrator, O=Citrix, C=US |
| Sun ONE Verzeichnis (ehemals iPlanet) | uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot |
Hinweis: Weitere Informationen zu den LDAP-Servereinstellungen finden Sie unter Bestimmen von Attributen in Ihrem LDAP-Verzeichnis.