ADC

将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP

在 NetScaler 设备中,AAAD 进程用于执行基本身份验证,例如用于管理访问或身份验证授权和网关访问的 LDAP、RADIUS、TACACS。由于 AAAD 在管理 CPU 上运行,可能会出现间歇性身份验证失败的问题。为避免这些故障,可以使用负载平衡虚拟服务器从 AAAD 卸载 SSL 功能。

将 SSL 卸载到负载平衡虚拟服务器的优势

  • 增强的 AAAD 性能。在 AAAD 中,对于每个 SSL 类型的 LDAP 服务器的身份验证请求,都会建立新的 SSL 会话。由于 AAAD 进程在管理 CPU 上运行,建立 SSL 会话会影响向 AAAD 发出高请求时的性能。将 SSL 功能卸载到负载平衡虚拟服务器可提高 AAAD 流程的性能。
  • 将客户端证书呈现给服务器。AAAD 中的客户端 LDAP 库仅执行服务器证书验证,不支持向服务器呈现客户端证书。由于 SSL 双向身份验证需要呈现客户端证书才能建立 SSL 连接,因此,将 SSL 功能卸载到负载平衡虚拟服务器可以将客户端证书呈现给服务器。

将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP

注意: 为 LDAP 创建负载平衡虚拟服务器 IP 地址并将 LDAP 请求服务器指向虚拟服务器 IP 地址后,流量将来自 SNIP。

必备条件

  • 确保在 NetScaler 设备用于身份验证的域控制器上启用安全 LDAP。默认情况下,使用企业 CA,所有域控制器都使用域控制器证书模板注册证书。
  • 使用 ldp.exe 并通过端口 636 和 SSL 连接到域控制器,确保安全 LDAP 正常运行。

使用 GUI 将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP

  1. 创建将协议设置为 SSL_TCP 的负载平衡服务。

    • 导航到“流量管理”>“负载平衡”>“服务”,然后单击“添加”。
    • 指定域控制器的 IP 地址并将端口号设置为 636。
    • 单击确定

    创建服务

  2. 为 LDAPS 负载平衡服务创建负载平衡虚拟服务器。

    1. 导航到 流量管理 > 负载平衡 > 虚拟服务器
    2. 将协议设置为 TCP,输入 IP 地址,将端口设置为 636,然后单击“确定”。

    创建负载平衡虚拟服务器

  3. 将 LDAPS 服务绑定到负载平衡虚拟服务器。

    • 导航到流量管理 > 负载平衡 > 虚拟服务器
    • 选择 LDAP 虚拟服务器。将出现“负载平衡虚拟服务器”页面。
    • 在“服务和服务组”部分中,单击“无负载平衡虚拟服务器服务绑定”。将出现“服务绑定”页面。
    • 选择负载平衡服务。更新其他必填字段,然后单击“绑定”。
    • 单击 Done(完成)。
  4. 现在,将 LDAP 身份验证策略服务器更改为指向安全 LDAP 的负载平衡虚拟服务器。安全类型必须是纯文本。

    1. 导航到 NetScaler Gateway > 策略 > 身份验证 > LDAP
    2. 选择 LDAP 服务器,然后单击“编辑”
    3. 将 IP 地址更改为之前创建的 NetScaler 设备上托管的 LDAPS VIP。
    4. 将安全类型更改为 PLAINTEXT,将端口更改为 636,必要时选中“允许更改密码”复选框(SLDAP 允许更改密码)。
    5. 单击“测试网络连接”以验证连通性。
    6. 单击确定

    将纯文本更改为 SSL 您可以检查身份验证仪表板以确认 LDAP 服务器的状态为 UP。此外,请检查身份验证日志,确认身份验证按预期运行。

使用 CLI 将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP

  1. 为 AAAD 进程配置 LDAP 服务器。以下示例配置在没有 SSL 双向身份验证的情况下与负载平衡虚拟服务器建立 SSL 连接。

    add authentication ldapAction ldap_act -serverIP 1.1.12.12 -serverPort 636 -secTYPE PLAINTEXT -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword <password> -ldapLoginName samAccountName
    <!--NeedCopy-->
    
  2. 为 LDAP 虚拟服务器配置负载平衡虚拟服务器。负载平衡虚拟服务器的类型为 TCP。

    add lb vserver ldaps TCP 1.1.1.12 636 -persistenceType NONE -cltTimeout 9000
    <!--NeedCopy-->
    
  3. 为负载平衡虚拟服务器配置服务。服务类型为 SSL-TCP。

    add service ldaps 1.1.10.1 SSL_TCP 636
    <!--NeedCopy-->
    
  4. 为服务配置 CA 证书,然后为服务器证书验证设置“serverAuth”参数。

    bind ssl service ldaps -certkeyName ca-cert -CA
    set ssl service ldaps -serverAuth enabled
    <!--NeedCopy-->
    
  5. 将证书附加到提供给 LDAP 服务器的服务。

    bind ssl service ldaps -certkeyName usr_cert [client-certificate for client-authentication]
    <!--NeedCopy-->
    
  6. 将服务绑定到负载平衡虚拟服务器。

    bind lb vserver ldaps ldaps
    <!--NeedCopy-->
    
将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP