Gateway

配置 LDAP 身份验证

February 1, 2024

投稿者:

您可以将 Citrix Gateway 配置为对一个或多个 LDAP 服务器的用户访问进行身份验证。

LDAP 授权要求在 Active Directory、LDAP 服务器和 Citrix Gateway 上使用相同的组名称。字符和大小写也必须匹配。

默认情况下，使用安全套接字层 (SSL) 或传输层安全性 (TLS) 进行 LDAP 身份验证是安全的。有两种类型的安全 LDAP 连接。对于一种类型，LDAP 服务器在与 LDAP 服务器用于接受清除 LDAP 连接的端口分开的端口上接受 SSL 或 TLS 连接。用户建立 SSL 或 TLS 连接后，可以通过该连接发送 LDAP 流量。

LDAP 连接的端口号为：

389 用于不安全的 LDAP 连接
636 用于安全的 LDAP 连接
3268 用于 Microsoft 不安全的 LDAP 连接
3269 用于 Microsoft 安全 LDAP 连接

第二种类型的安全 LDAP 连接使用 StartTLS 命令并使用端口号 389。如果在 Citrix Gateway 上配置端口号 389 或 3268，则服务器将尝试使用 StartTLS 进行连接。如果使用任何其他端口号，服务器将尝试使用 SSL 或 TLS 进行连接。如果服务器无法使用 StartTLS、SSL 或 TLS，则连接将失败。

如果指定 LDAP 服务器的根目录，Citrix Gateway 将搜索所有子目录以查找用户属性。在大型目录中，这种方法可能会影响性能。因此，Citrix 建议您使用特定组织单位 (OU)。

下表包含 LDAP 服务器的用户属性字段示例：

LDAP 服务器	用户属性	区分大小写
Microsoft Active Directory 服务器	sAMAccountName	否
Novell eDirectory	ou	是
IBM 目录服务器	uid	是
Lotus Domino	CN	是
Sun ONE 目录（以前称为 iPlanet）	uid 或 cn	是

下表包含基本 DN 的示例：

LDAP 服务器	基本 DN
Microsoft Active Directory 服务器	DC=`citrix`,DC=local
Novell eDirectory	ou=users,ou=dev
IBM 目录服务器	cn=users
Lotus Domino	OU=City,O=`Citrix`, C=US
Sun ONE 目录（以前称为 iPlanet）	ou=People,dc=`citrix`,dc=com

下表包含绑定 DN 的示例：

LDAP 服务器	Bind DN（绑定 DN）
Microsoft Active Directory 服务器	CN=Administrator, CN=Users, DC=`citrix`, DC=local
Novell eDirectory	cn=admin, o=`citrix`
IBM 目录服务器	LDAP_dn
Lotus Domino	CN=Notes Administrator, O=`Citrix`, C=US
Sun ONE 目录（以前称为 iPlanet）	uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

注意：有关 LDAP 服务器设置的详细信息，请参阅确定 LDAP 目录中的属性。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

配置 LDAP 身份验证

February 1, 2024

投稿者:

February 1, 2024

投稿者:

配置 LDAP 身份验证

在本文中