-
-
-
将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP
在 NetScaler 设备中,AAAD 进程用于执行基本身份验证,例如用于管理访问或身份验证授权和网关访问的 LDAP、RADIUS、TACACS。由于 AAAD 在管理 CPU 上运行,可能会出现间歇性身份验证失败的问题。为避免这些故障,可以使用负载平衡虚拟服务器从 AAAD 卸载 SSL 功能。
将 SSL 卸载到负载平衡虚拟服务器的优势
- 增强的 AAAD 性能。在 AAAD 中,对于每个 SSL 类型的 LDAP 服务器的身份验证请求,都会建立新的 SSL 会话。由于 AAAD 进程在管理 CPU 上运行,建立 SSL 会话会影响向 AAAD 发出高请求时的性能。将 SSL 功能卸载到负载平衡虚拟服务器可提高 AAAD 流程的性能。
- 将客户端证书呈现给服务器。AAAD 中的客户端 LDAP 库仅执行服务器证书验证,不支持向服务器呈现客户端证书。由于 SSL 双向身份验证需要呈现客户端证书才能建立 SSL 连接,因此,将 SSL 功能卸载到负载平衡虚拟服务器可以将客户端证书呈现给服务器。
将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP
注意: 为 LDAP 创建负载平衡虚拟服务器 IP 地址并将 LDAP 请求服务器指向虚拟服务器 IP 地址后,流量将来自 SNIP。
必备条件
- 确保在 NetScaler 设备用于身份验证的域控制器上启用安全 LDAP。默认情况下,使用企业 CA,所有域控制器都使用域控制器证书模板注册证书。
- 使用 ldp.exe 并通过端口 636 和 SSL 连接到域控制器,确保安全 LDAP 正常运行。
使用 GUI 将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP
-
创建将协议设置为 SSL_TCP 的负载平衡服务。
- 导航到“流量管理”>“负载平衡”>“服务”,然后单击“添加”。
- 指定域控制器的 IP 地址并将端口号设置为 636。
- 单击确定。
-
为 LDAPS 负载平衡服务创建负载平衡虚拟服务器。
- 导航到 流量管理 > 负载平衡 > 虚拟服务器。
- 将协议设置为 TCP,输入 IP 地址,将端口设置为 636,然后单击“确定”。
-
将 LDAPS 服务绑定到负载平衡虚拟服务器。
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 选择 LDAP 虚拟服务器。将出现“负载平衡虚拟服务器”页面。
- 在“服务和服务组”部分中,单击“无负载平衡虚拟服务器服务绑定”。将出现“服务绑定”页面。
- 选择负载平衡服务。更新其他必填字段,然后单击“绑定”。
- 单击 Done(完成)。
-
现在,将 LDAP 身份验证策略服务器更改为指向安全 LDAP 的负载平衡虚拟服务器。安全类型必须是纯文本。
- 导航到 NetScaler Gateway > 策略 > 身份验证 > LDAP。
- 选择 LDAP 服务器,然后单击“编辑”。
- 将 IP 地址更改为之前创建的 NetScaler 设备上托管的 LDAPS VIP。
- 将安全类型更改为 PLAINTEXT,将端口更改为 636,必要时选中“允许更改密码”复选框(SLDAP 允许更改密码)。
- 单击“测试网络连接”以验证连通性。
- 单击确定。
您可以检查身份验证仪表板以确认 LDAP 服务器的状态为 UP。此外,请检查身份验证日志,确认身份验证按预期运行。
使用 CLI 将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP
-
为 AAAD 进程配置 LDAP 服务器。以下示例配置在没有 SSL 双向身份验证的情况下与负载平衡虚拟服务器建立 SSL 连接。
add authentication ldapAction ldap_act -serverIP 1.1.12.12 -serverPort 636 -secTYPE PLAINTEXT -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword <password> -ldapLoginName samAccountName <!--NeedCopy-->
-
为 LDAP 虚拟服务器配置负载平衡虚拟服务器。负载平衡虚拟服务器的类型为 TCP。
add lb vserver ldaps TCP 1.1.1.12 636 -persistenceType NONE -cltTimeout 9000 <!--NeedCopy-->
-
为负载平衡虚拟服务器配置服务。服务类型为 SSL-TCP。
add service ldaps 1.1.10.1 SSL_TCP 636 <!--NeedCopy-->
-
为服务配置 CA 证书,然后为服务器证书验证设置“serverAuth”参数。
bind ssl service ldaps -certkeyName ca-cert -CA set ssl service ldaps -serverAuth enabled <!--NeedCopy-->
-
将证书附加到提供给 LDAP 服务器的服务。
bind ssl service ldaps -certkeyName usr_cert [client-certificate for client-authentication] <!--NeedCopy-->
-
将服务绑定到负载平衡虚拟服务器。
bind lb vserver ldaps ldaps <!--NeedCopy-->
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.