關于LDAP的内容之是以要寫在NetScaler Gateway的配置過程之前,是因為NetScaler Gateway需要LDAP來對使用者進行身份驗證。如果沒有配置這些資訊,使用者是無法在NetScaler Gateway上面進行身份驗證的,後續的擷取應用與桌面也就無從談起了。
而且,NetScaler在10.5的版本曆史中還出現過無法通過LDAP驗證登入GUI界面的BUG(Shell和SSH都沒問題)。這個BUG出現在Build 50.10,之後在Build 52.11中被修複。
在LDAP的身份驗證配置過程中仍然使用SSL來對資料進行加密,因為沒有企業會使用明文傳遞使用者名和密碼。是以,在實驗中讨論明文的話就毫無實踐意義了。
首先,對域控制器或者說是LDAP伺服器的證書作配置。注意域控的證書應該是在域控角色過安裝過程中自動生成的。但是,還是要檢查一下,如果沒有證書,那就重新申請一張證書。
作為對LDAP通信資料進行加密的域控伺服器證書需要具備2個條件:證書要有與之比對的私鑰作綁定,證書的作用是用來作伺服器認證。
1.jpg (362.71 KB)
2015-1-24 00:15
在确認域控制器的證書沒有問題之後,可以從另一台伺服器使用LDP.EXE程式來檢驗該證書對于域控制器的LDAP驗證過程是否生效。
目前微軟的活動目錄身份驗證明文通信端口為389,SSL暗文通信端口為636。使用LDP.exe程式如果能擷取域控制器的RootDSE資訊就說明整個加密的身份驗證過程沒有問題。
2.jpg (348.38 KB)
3.jpg (350.77 KB)
4.jpg (537.95 KB)
域控制器驗證完畢後,開始配置NetScaler的LDAP身份驗證。
首先建立連接配接域控制器的基本資訊,
5.jpg (344.3 KB)
6.jpg (350.87 KB)
填入連接配接域控制器的使用者憑據(這個使用者最好是域管理者,并且這個使用者的密碼不能更改,否則這裡也要作相應改動)。使用者的資訊為标準LDAP格式,10.1之前的版本能用UPN格式,10.5的這個版本我試了幾下沒成功。不知道是配置上有變化還是我的設定有問題,總之沒成功,隻能用标準的LDAP格式。注:
Base DN為所配置查找使用者的起始LDAP位置,如果實在不知道應該填什麼,光填個LDAP格式的域名也麼問題,或者填LDAP格式的域控制器名都可以。
Administrator Bind DN為LDAP格式的域使用者,是NetScaler用來向背景域控制器查詢之前建立連接配接所使用的。是以這個使用者的密碼不能更改。
7.jpg (327.01 KB)
2015-1-24 00:50
8.jpg (457.38 KB)
填完使用者資訊後,如圖完成“Other Settings”的設定,點選最下方的“Create”,建立域控制器的連接配接資訊。
9.jpg (330.95 KB)
10.jpg (157.21 KB)
在"System" -> "Authentication" -> "LDAP" -> "Policy"頁面,點選 “Add”,建立一個政策。在該政策中編輯正規表達式“ns_true"。
11.jpg (345.67 KB)
12.jpg (337.86 KB)
13.jpg (348.69 KB)
在"System" -> "User Administration" -> "Group"頁面,點選”Add”,建立使用者組。這個使用者組的名稱需要嚴格對應活動目錄内的使用者組名稱(比如Domain Admins),然後在“Command Policies”選項為該域使用者組賦予NetScaler的本地權限。
14.jpg (340.58 KB)
15.jpg (321.91 KB)
16.jpg (297.78 KB)
17.jpg (322.84 KB)
然後回到"System" -> "Authentication" -> "LDAP" -> "Policy"頁面,點選“Globle Bindings”,對剛才建立的LDAP政策進行全局綁定,
18.jpg (333.07 KB)
19.jpg (327.26 KB)
20.jpg (313.84 KB)
21.jpg (328.65 KB)
22.jpg (317.41 KB)
23.jpg (345.23 KB)
綁定完成之後,Logout目前使用者,使用域使用者登入NetScaler。(注:使用域使用者登入NetScaler的時候不要加域名,隻需要使用者名就可以)。
24.jpg (382.67 KB)