Gateway

配置 LDAP 身份验证

您可以将 NetScaler Gateway 配置为对一个或多个 LDAP 服务器的用户访问进行身份验证。

LDAP 授权要求在 Active Directory、LDAP 服务器和 NetScaler Gateway 上使用相同的组名称。字符和大小写也必须匹配。

默认情况下,使用安全套接字层 (SSL) 或传输层安全性 (TLS) 进行 LDAP 身份验证是安全的。有两种类型的安全 LDAP 连接。对于一种类型,LDAP 服务器在与 LDAP 服务器用于接受清除 LDAP 连接的端口分开的端口上接受 SSL 或 TLS 连接。用户建立 SSL 或 TLS 连接后,可以通过该连接发送 LDAP 流量。

LDAP 连接的端口号为:

  • 389 用于不安全的 LDAP 连接
  • 636 用于安全的 LDAP 连接
  • 3268 用于 Microsoft 不安全的 LDAP 连接
  • 3269 用于 Microsoft 安全 LDAP 连接

第二种类型的安全 LDAP 连接使用 StartTLS 命令并使用端口号 389。如果在 NetScaler Gateway 上配置端口号 389 或 3268,则服务器将尝试使用 StartTLS 进行连接。如果使用任何其他端口号,服务器将尝试使用 SSL 或 TLS 进行连接。如果服务器无法使用 StartTLS、SSL 或 TLS,则连接将失败。

如果指定 LDAP 服务器的根目录,NetScaler Gateway 将搜索所有子目录以查找用户属性。在大型目录中,这种方法可能会影响性能。因此,Citrix 建议您使用特定组织单位 (OU)。

下表包含 LDAP 服务器的用户属性字段示例:

LDAP 服务器 用户属性 区分大小写
Microsoft Active Directory 服务器 sAMAccountName
Novell eDirectory ou
IBM 目录服务器 uid
Lotus Domino CN
Sun ONE 目录(以前称为 iPlanet) uid 或 cn

下表包含基本 DN 的示例:

LDAP 服务器 Base DN(基础 DN)
Microsoft Active Directory 服务器 DC=citrix,DC=local
Novell eDirectory ou=users,ou=dev
IBM 目录服务器 cn=users
Lotus Domino OU=City,O=Citrix, C=US
Sun ONE 目录(以前称为 iPlanet) ou=People,dc=citrix,dc=com

下表包含绑定 DN 的示例:

LDAP 服务器 Bind DN(绑定 DN)
Microsoft Active Directory 服务器 CN=Administrator, CN=Users, DC=citrix, DC=local
Novell eDirectory cn=admin, o=citrix
IBM 目录服务器 LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE 目录(以前称为 iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

注意:有关 LDAP 服务器设置的详细信息,请参阅 确定 LDAP 目录中的属性

配置 LDAP 身份验证