关于LDAP的内容之所以要写在NetScaler Gateway的配置过程之前,是因为NetScaler Gateway需要LDAP来对用户进行身份验证。如果没有配置这些信息,用户是无法在NetScaler Gateway上面进行身份验证的,后续的获取应用与桌面也就无从谈起了。
而且,NetScaler在10.5的版本历史中还出现过无法通过LDAP验证登录GUI界面的BUG(Shell和SSH都没问题)。这个BUG出现在Build 50.10,之后在Build 52.11中被修复。
在LDAP的身份验证配置过程中仍然使用SSL来对数据进行加密,因为没有企业会使用明文传递用户名和密码。所以,在实验中讨论明文的话就毫无实践意义了。
首先,对域控制器或者说是LDAP服务器的证书作配置。注意域控的证书应该是在域控角色过安装过程中自动生成的。但是,还是要检查一下,如果没有证书,那就重新申请一张证书。
作为对LDAP通信数据进行加密的域控服务器证书需要具备2个条件:证书要有与之匹配的私钥作绑定,证书的作用是用来作服务器认证。
1.jpg (362.71 KB)
2015-1-24 00:15
在确认域控制器的证书没有问题之后,可以从另一台服务器使用LDP.EXE程序来检验该证书对于域控制器的LDAP验证过程是否生效。
目前微软的活动目录身份验证明文通信端口为389,SSL暗文通信端口为636。使用LDP.exe程序如果能获取域控制器的RootDSE信息就说明整个加密的身份验证过程没有问题。
2.jpg (348.38 KB)
2015-1-24 00:15
3.jpg (350.77 KB)
2015-1-24 00:15
4.jpg (537.95 KB)
2015-1-24 00:15
域控制器验证完毕后,开始配置NetScaler的LDAP身份验证。
首先建立连接域控制器的基本信息,
5.jpg (344.3 KB)
2015-1-24 00:15
6.jpg (350.87 KB)
2015-1-24 00:15
填入连接域控制器的用户凭据(这个用户最好是域管理员,并且这个用户的密码不能更改,否则这里也要作相应改动)。用户的信息为标准LDAP格式,10.1之前的版本能用UPN格式,10.5的这个版本我试了几下没成功。不知道是配置上有变化还是我的设置有问题,总之没成功,只能用标准的LDAP格式。注:
Base DN为所配置查找用户的起始LDAP位置,如果实在不知道应该填什么,光填个LDAP格式的域名也么问题,或者填LDAP格式的域控制器名都可以。
Administrator Bind DN为LDAP格式的域用户,是NetScaler用来向后台域控制器查询之前建立连接所使用的。所以这个用户的密码不能更改。
7.jpg (327.01 KB)
2015-1-24 00:50
8.jpg (457.38 KB)
2015-1-24 00:50
填完用户信息后,如图完成“Other Settings”的设置,点击最下方的“Create”,创建域控制器的连接信息。
9.jpg (330.95 KB)
2015-1-24 00:50
10.jpg (157.21 KB)
2015-1-24 00:50
在"System" -> "Authentication" -> "LDAP" -> "Policy"页面,点击 “Add”,新建一个策略。在该策略中编辑正则表达式“ns_true"。
11.jpg (345.67 KB)
2015-1-24 00:50
12.jpg (337.86 KB)
2015-1-24 00:50
13.jpg (348.69 KB)
2015-1-24 00:50
在"System" -> "User Administration" -> "Group"页面,点击”Add”,新建用户组。这个用户组的名称需要严格对应活动目录内的用户组名称(比如Domain Admins),然后在“Command Policies”选项为该域用户组赋予NetScaler的本地权限。
14.jpg (340.58 KB)
2015-1-24 00:50
15.jpg (321.91 KB)
2015-1-24 00:50
16.jpg (297.78 KB)
2015-1-24 00:50
17.jpg (322.84 KB)
2015-1-24 00:50
然后回到"System" -> "Authentication" -> "LDAP" -> "Policy"页面,点击“Globle Bindings”,对刚才建立的LDAP策略进行全局绑定,
18.jpg (333.07 KB)
2015-1-24 00:50
19.jpg (327.26 KB)
2015-1-24 00:50
20.jpg (313.84 KB)
2015-1-24 00:50
21.jpg (328.65 KB)
2015-1-24 00:50
22.jpg (317.41 KB)
2015-1-24 00:50
23.jpg (345.23 KB)
2015-1-24 00:50
绑定完成之后,Logout当前用户,使用域用户登录NetScaler。(注:使用域用户登录NetScaler的时候不要加域名,只需要用户名就可以)。
24.jpg (382.67 KB)
2015-1-24 00:50
今天就更新到这里,睡觉了。又突然想到一点,如果生产环境十分庞大拥有几十甚至上百台域控制器的话,最好建立LDAP的负载均衡器来简化NetScaler的LDAP身份验证过程。否则每个预控走一遍流程,完了还要对每个域控设置一个权重,是非常痛苦的一件事。而且如果活动目录的场景设有多个站点的情况下还需要NetScaler GSLB的参与来规范数据流本地访问相对于异地访问的优先级。
不说了,我自己都感觉越说越复杂了。GSLB功能可能需要另外开贴再聊了。
本文转自sandshell博客51CTO博客,原文链接http://blog.51cto.com/sandshell/1967613如需转载请自行联系原作者
sandshell