一、名詞解釋
輕型目錄訪問協(xié)議(英文:Lightweight Directory Access Protocol,
縮寫:LDAP是一個開放的,中立的,工業(yè)標(biāo)準(zhǔn)的應(yīng)用協(xié)議,通過IP協(xié)議提供訪問控制和維護(hù)分布式信息的目錄信息。
?
?
二、如何使用
?
案例一:
本教程以愛快客戶提供的群輝LDAP套件為例,先設(shè)置好LDAP套件服務(wù)器:
群輝中國區(qū)官網(wǎng)地址:https://www.synology.cn/zh-cn
客戶如需使用群輝LDAP套件,請聯(lián)系群輝官方購買。
?
第一步:搭建LDAP服務(wù)器(此處以在群輝中搭建LDAP為例),在服務(wù)器中設(shè)置LDAP用戶名、密碼以供認(rèn)證使用。
?
?
第二步:在愛快云網(wǎng)絡(luò)巡檢--網(wǎng)絡(luò)管理,開啟認(rèn)證,認(rèn)證服務(wù)器選擇愛快云,認(rèn)證方式選擇用戶認(rèn)證,鼠標(biāo)移到用戶認(rèn)證點(diǎn)擊設(shè)置,默認(rèn)認(rèn)證方式為本地賬號認(rèn)證,將此處認(rèn)證方式切換為LDAP。
?
【服務(wù)器地址】:填寫服務(wù)域名。
【用戶組】:可以把此處的用戶組比喻成一個路徑,格式如下:
uid={u},cn=users,dc=ikuai9,dc=com。Uid代表用戶名(其中{u}為本功能自定義的用戶名通配符,執(zhí)行時會統(tǒng)一替換成網(wǎng)頁輸入的用戶名),cn代表用戶群組,dc代表記錄所屬區(qū)域。
【服務(wù)端口】:服務(wù)端口默認(rèn)為389,無特殊需求可不用更改。
?
第三步:設(shè)置完成保存認(rèn)證配置。手機(jī)連接認(rèn)證無線會自動跳轉(zhuǎn)到認(rèn)證頁面。
填寫在LDAP服務(wù)器上設(shè)置的用戶名、密碼。
認(rèn)證成功后,會在路由認(rèn)證計費(fèi)--賬號在線用戶頁面顯示出LDAP認(rèn)證用戶相關(guān)信息。
注意事項(xiàng):路由器需要是官方硬件,且版本號要高于3.6.4企業(yè)版及以上,才能開啟此功能。
?
?
?
?案例二:
Windows Server 2008 R2對接愛快云LDAP認(rèn)證(路由系統(tǒng)3.7.6企業(yè)版本及以上支持使用)
?
1.為windows server添加角色
?
添加角色:
?
勾選AD域服務(wù),其他默認(rèn)即可
?
?
2.配置安裝AD域服務(wù)
?
運(yùn)行里輸入dcpromo.exe:
?
根據(jù)需求選擇林是否新建
?
輸入目錄根級域的FQDN,這里實(shí)際填寫的ikuai9.com
?
默認(rèn)勾選DNS服務(wù)器
?
點(diǎn)擊繼續(xù)
?
配置域的管理密碼,其他下一步即可
?
?
3.本地環(huán)境配置
?
為服務(wù)器配置靜態(tài)IP
?
配置時建議關(guān)閉防火墻
?
新建自定義用戶
?
愛快現(xiàn)已支持cn與sAMAccountName認(rèn)證,cn為姓名,sAMAccountName為用戶登錄名
?
根據(jù)需要勾選密碼設(shè)置
?
?
4.AD域LDAP服務(wù)驗(yàn)證
?
域服務(wù)菜單打開Ldp.exe
?
連接輸入配置的FQDN
?
驗(yàn)證LDAP服務(wù)器正常
?
?
5.LDAP Admin調(diào)試
?
點(diǎn)擊Start->Connect
?
點(diǎn)擊New connection
?
輸入LDAP服務(wù)器地址、域管理員用戶名和密碼,選擇GSS-API,再點(diǎn)擊Fetch DNs就會自動識別出Base
?
cn:用戶姓名,distinguishedName: 用戶所在dc域,sAMAccountName: 登錄用戶名
?
?
6.愛快云認(rèn)證配置
?
進(jìn)入對應(yīng)路由器的認(rèn)證配置
?
選擇用戶認(rèn)證
一般使用用戶名認(rèn)證+多用戶組認(rèn)證方式
?
管理員全路徑復(fù)制LDAP Adminstrator的distinguishedName值
?
?
7.體驗(yàn)認(rèn)證
??
?
?
?
注意事項(xiàng):
當(dāng)AD域上用戶超過1000,我們會發(fā)現(xiàn)有些用戶怎么都同步不下來,經(jīng)過查詢發(fā)現(xiàn)微軟有個默認(rèn)限制,一次性只能讀1000用戶。
這是微軟官方的默認(rèn)值說明:
https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/identity/view-set-ldap-policy-using-ntdsutil
?
下面是解決方法:修改AD域查詢賬號默認(rèn)MaxPageSize=1000的限制:
Windows Server本身出于性能負(fù)荷的考慮,將LDAP查詢的數(shù)量限制為1000個。
當(dāng)某個ldap查詢條件返回數(shù)據(jù)大于1000條數(shù)據(jù)的時候,就會報SizeLimitExceededException 的異常!
這里可以參考微軟官網(wǎng)的說法:
實(shí)際應(yīng)用中AD中數(shù)據(jù)超過1000太正常不過了!如果服務(wù)器性能允許而且網(wǎng)絡(luò)帶寬不錯的話,這樣的限制就很不合理。那么如何修改呢?
1.在“開始”——>“運(yùn)行”——>輸入“ ntdsutil”——>回車;
2.輸入:“l(fā)dap policies”,回車;
3.輸入:“connections”,回車;
4.輸入:“connect to domain yourDomainName”,例如(connect to domain baidu.com)
5.連接提示出現(xiàn)后,輸入:“quit”,回車;
6.輸入:“show values”,確認(rèn)當(dāng)前的最大返回數(shù);(默認(rèn)是1000)
7.輸入:“set MaxPageSize to 10000”,將最大返回數(shù)改為10000。(最大返回數(shù)可以根據(jù)實(shí)際情況自行定義)。
8.再度輸入:“show values”,確認(rèn)當(dāng)前的最大返回數(shù)(顯示為:1000(10000))。
9.輸入“commit changes”以確認(rèn)修改。
10. 再次輸入:“show values”,確認(rèn)當(dāng)前的最大返回數(shù)為10000。
11. 輸入“quit”,退出設(shè)置狀態(tài);
12. 輸入“quit”,退出當(dāng)前命令。
13. 打開運(yùn)行輸入“gpupdate /force”,刷新組策略使之生效。
最后我們再返回云平臺的認(rèn)證頁面點(diǎn)擊一下保存,通知路由器重新同步即可。
?
?
?
