NetScaler的部署實驗之六更新NetScaler配置LDAP使用者身份驗證

關于LDAP的内容之是以要寫在NetScaler Gateway的配置過程之前，是因為NetScaler Gateway需要LDAP來對使用者進行身份驗證。如果沒有配置這些資訊，使用者是無法在NetScaler Gateway上面進行身份驗證的，後續的擷取應用與桌面也就無從談起了。

而且，NetScaler在10.5的版本曆史中還出現過無法通過LDAP驗證登入GUI界面的BUG（Shell和SSH都沒問題）。這個BUG出現在Build 50.10，之後在Build 52.11中被修複。

在LDAP的身份驗證配置過程中仍然使用SSL來對資料進行加密，因為沒有企業會使用明文傳遞使用者名和密碼。是以，在實驗中讨論明文的話就毫無實踐意義了。

首先，對域控制器或者說是LDAP伺服器的證書作配置。注意域控的證書應該是在域控角色過安裝過程中自動生成的。但是，還是要檢查一下，如果沒有證書，那就重新申請一張證書。

作為對LDAP通信資料進行加密的域控伺服器證書需要具備2個條件：證書要有與之比對的私鑰作綁定，證書的作用是用來作伺服器認證。

1.jpg (362.71 KB)

2015-1-24 00:15

在确認域控制器的證書沒有問題之後，可以從另一台伺服器使用LDP.EXE程式來檢驗該證書對于域控制器的LDAP驗證過程是否生效。

目前微軟的活動目錄身份驗證明文通信端口為389，SSL暗文通信端口為636。使用LDP.exe程式如果能擷取域控制器的RootDSE資訊就說明整個加密的身份驗證過程沒有問題。

2.jpg (348.38 KB)

3.jpg (350.77 KB)

4.jpg (537.95 KB)

域控制器驗證完畢後，開始配置NetScaler的LDAP身份驗證。

首先建立連接配接域控制器的基本資訊，

5.jpg (344.3 KB)

6.jpg (350.87 KB)

填入連接配接域控制器的使用者憑據（這個使用者最好是域管理者，并且這個使用者的密碼不能更改，否則這裡也要作相應改動）。使用者的資訊為标準LDAP格式，10.1之前的版本能用UPN格式，10.5的這個版本我試了幾下沒成功。不知道是配置上有變化還是我的設定有問題，總之沒成功，隻能用标準的LDAP格式。注：

Base DN為所配置查找使用者的起始LDAP位置，如果實在不知道應該填什麼，光填個LDAP格式的域名也麼問題，或者填LDAP格式的域控制器名都可以。

Administrator Bind DN為LDAP格式的域使用者，是NetScaler用來向背景域控制器查詢之前建立連接配接所使用的。是以這個使用者的密碼不能更改。

7.jpg (327.01 KB)

2015-1-24 00:50

8.jpg (457.38 KB)

填完使用者資訊後，如圖完成“Other Settings”的設定，點選最下方的“Create”，建立域控制器的連接配接資訊。

9.jpg (330.95 KB)

10.jpg (157.21 KB)

在"System" -> "Authentication" -> "LDAP" -> "Policy"頁面，點選 “Add”，建立一個政策。在該政策中編輯正規表達式“ns_true"。

11.jpg (345.67 KB)

12.jpg (337.86 KB)

13.jpg (348.69 KB)

在"System" -> "User Administration" -> "Group"頁面，點選”Add”，建立使用者組。這個使用者組的名稱需要嚴格對應活動目錄内的使用者組名稱（比如Domain Admins），然後在“Command Policies”選項為該域使用者組賦予NetScaler的本地權限。

14.jpg (340.58 KB)

15.jpg (321.91 KB)

16.jpg (297.78 KB)

17.jpg (322.84 KB)

然後回到"System" -> "Authentication" -> "LDAP" -> "Policy"頁面，點選“Globle Bindings”，對剛才建立的LDAP政策進行全局綁定，

18.jpg (333.07 KB)

19.jpg (327.26 KB)

20.jpg (313.84 KB)

21.jpg (328.65 KB)

22.jpg (317.41 KB)

23.jpg (345.23 KB)

綁定完成之後，Logout目前使用者，使用域使用者登入NetScaler。（注：使用域使用者登入NetScaler的時候不要加域名，隻需要使用者名就可以）。

24.jpg (382.67 KB)