本帖最后由 某公司_2062 于 2017-7-1 01:23 编辑
LDAP是我们常遇到的使用最多的外部认证方式,大家在配置测试过程中遇到不少问题我会分享一些可操作的非常使用的思路,希望对大家带来指引和帮助。(帖子也会不定期更新完善)
一、正常配置没有问题,那么点击搜索入口是可以显示LDAP组织结构的,如果在配置的LDAP上点击搜索入口,没有显示组织结构?
现象说明:设备与LDAP服务期连接不成功(常见问题),或者搜索入口不对(少见问题,但排查不能忽略) 排查思路: 1.设备与LDAP网络不通,需要ldap协议使用的协议端口是否正常连通 2.设备配置的连接LDAP服务器的账户密码不正确,包括账户格式是否正确;正确的格式有两种,一种是类似电子邮箱格式:administrator@sangfor.com,另一种格式:cn=administrator,dc=sangfor,dc=com 可以借助第三方工具,在电脑上直接配置测试,如下图提示:就是连接LDAP的账户密码不正确
二、搜索入口点击可以正常显示,其他参数保持默认的,但是测试LDAP上的用户密码认证不成功?
排查思路: 1.用户账户是否包含在搜索入口路径内?【最常见问题,5颗星】 比如:配置的认证搜索入口是:cn=teacher,dc=abcedu,dc=com;测试的用户位于cn=student,dc=abcedu,dc=com,这样配置会导致用户认证失败.
2.用户账户的字段名是否正确,可以使用LDAP Browser工具查看对应的账户用户名属性字段,对比用户名字段与配置的一致,如果不一致要修正配置【最常见问题,4颗星】 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 只允许指定的安全组用户能够登陆SSLVPN 需求:不需要同步用户到设备本地,通过角色映射方式(按照LDAP上的安全组用户来授权资源),希望限定只允许某些安全组用户登录ssl vpn 实现方式: 在LDAP设置高级设置中的用户过滤中添加过滤参数: LDAP上安全组是VpnUsers 域:sangfor.com.cn (memberOf=CN=VpnUsers,DC=sangfor,DC=com,DC=cn)不包含括号,如下图 如果有2个组,可以使用正则表达过滤:“|(条件1)(条件2)” 含括号,注意“|”是在最前面,最多支持过滤两个安全组 如果有多于两个安全组需要过滤,可以通过建立多个LDAP认证服务器,每个添加2个过滤条件来实现 | 
发表于 2017-3-31 11:58
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-4-5 11:17
