添加 LDAP 身份验证服务器

将 LDAP 协议与 RADIUS 和 TACAS 身份验证服务器集成时，您可以使用 NetScaler 控制台从分布式目录中搜索和验证用户凭据。

1. 导航到 设置 > 身份验证。

2. 选择 LDAP 选项卡，然后单击 添加。

3. 在 创建 LDAP 服务器 页面上，指定以下参数：

   1. 名称 – 指定 LDAP 服务器名称

   2. 服务器名称/IP 地址 – 指定 LDAP IP 地址或服务器名称

   3. 安全类型 – 系统和 LDAP 服务器之间所需的通信类型。 从列表中选择。 如果纯文本通信不够充分，您可以选择传输层安全性 (TLS) 或 SSL 来选择加密通信

   4. 端口 – 默认情况下，端口 389 用于纯文本。 您还可以为 SSL/TLS 指定端口 636

   5. 服务器类型 – 选择 Active Directory (AD) 或 Novell Directory Service (NDS) 作为 LDAP 服务器类型

   6. 超时（秒） – NetScaler 控制台系统等待 LDAP 服务器响应的时间（秒）

   7. LDAP 主机名 – 选中验证 LDAP 证书复选框并指定要在证书上输入的主机名

      清除 身份验证 选项并指定 SSH 公钥。 通过基于密钥的身份验证，您现在可以通过 SSH 获取存储在 LDAP 服务器中的用户对象上的公钥列表。

      

      在连接设置下，指定以下参数：

      1. 基本 DN – LDAP 服务器开始搜索的基本节点

      2. 管理员绑定 DN – 用户名绑定到 LDAP 服务器。 例如，admin@aaa.local。

      3. 绑定 DN 密码 – 选择此选项可提供用于身份验证的密码

      4. 启用更改密码 – 选择此选项可启用密码更改

         

      在 其他设置下，指定以下参数

      1. 服务器登录名称属性 – 系统用于查询外部 LDAP 服务器或 Active Directory 的名称属性。 从列表中选择 samAccountname 。

      2. 搜索过滤器 – 根据 LDAP 服务器中配置的搜索过滤器为外部用户配置双因素身份验证。 例如，vpnallowed=true，ldaploginame samaccount ，用户提供的用户名 bob 将产生以下 LDAP 搜索字符串： &(vpnallowed=true)(samaccount=bob)。

         笔记

         默认情况下，搜索过滤器中的值括在括号中。

      3. 组属性 – 从列表中选择成员。

      4. 子属性名称 – 从 LDAP 服务器提取的组子属性名称。

      5. 默认身份验证组 – 除了提取的组之外，当身份验证成功时选择的默认组。

         

4. 单击 创建。

   LDAP 服务器现已配置。

   注意：

   如果用户是 Active Directory 组成员，则 NetScaler 控制台上的组和用户的名称必须与 Active Directory 组成员的名称相同。

5. 启用外部身份验证服务器。

   有关启用外部身份验证服务器的更多信息，请参阅 启用外部身份验证服务器和后备选项。