配置 LDAP 身份验证
您可以将 Citrix Gateway 配置为对一个或多个 LDAP 服务器的用户访问进行身份验证。
LDAP 授权要求 Active Directory、LDAP 服务器和 Citrix Gateway 中的组名称相同。字符和大小写也必须匹配。
默认情况下,通过使用安全套接字层 (SSL) 或传输层安全性 (TLS),LDAP 身份验证是安全的。有两种类型的安全 LDAP 连接。对于一种类型,LDAP 服务器接受与 LDAP 服务器用于接受清除 LDAP 连接的端口分开的 SSL 或 TLS 连接。用户建立 SSL 或 TLS 连接后,可以通过连接发送 LDAP 流量。
LDAP 连接的端口号为:
- 389 用于不安全的 LDAP 连接
- 636 用于安全的 LDAP 连接
- 3268 用于 Microsoft 不安全的 LDAP 连接
- 3269 用于 Microsoft 安全的 LDAP 连接
第二种类型的安全 LDAP 连接使用 StartTLS 命令并使用端口号 389。如果在 Citrix Gateway 上配置端口号 389 或 3268,服务器将尝试使用 StartTLS 建立连接。如果您使用任何其他端口号,服务器将尝试使用 SSL 或 TLS 建立连接。如果服务器无法使用 StartTLS、SSL 或 TLS,则连接将失败。
如果指定 LDAP 服务器的根目录,Citrix Gateway 会搜索所有子目录以查找用户属性。在大型目录中,此方法可能会影响性能。因此,Citrix 建议您使用特定组织单位 (OU)。
下表包含 LDAP 服务器的用户属性字段示例:
| LDAP 服务器 | 用户属性 | 区分大小写 |
|---|---|---|
| Microsoft Active Directory 服务器 | sAMAccountName | 否 |
| Novell eDirectory | ou | 是 |
| IBM Directory Server | uid | 是 |
| Lotus Domino | CN | 是 |
| Sun ONE 目录(前身为 iPlanet) | uid 或 cn | 是 |
此表包含基本 DN 的示例:
| LDAP 服务器 | 基本 DN |
|---|---|
| Microsoft Active Directory 服务器 | DC=citrix,DC=local |
| Novell eDirectory | ou=users,ou=dev |
| IBM Directory Server | cn=users |
| Lotus Domino | OU=City,O=Citrix, C=US |
| Sun ONE 目录(前身为 iPlanet) | ou=People,dc=citrix,dc=com |
下表包含绑定 DN 的示例:
| LDAP 服务器 | 绑定 DN |
|---|---|
| Microsoft Active Directory 服务器 | CN=Administrator, CN=Users, DC=citrix, DC=local |
| Novell eDirectory | cn=admin, o=citrix |
| IBM Directory Server | LDAP_dn |
| Lotus Domino | CN=Notes Administrator, O=Citrix, C=US |
| Sun ONE 目录(前身为 iPlanet) | uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot |
注意:有关 LDAP 服务器设置的更多信息,请参阅 确定 LDAP 目录中的属性。
配置 LDAP 身份验证
已复制!
失败!