LDAP 属性
有关适合您的环境的设置,请咨询 LDAP 服务器管理员。
本节的表介绍了 LDAP 模式属性、安全属性以及服务器属性。
表 75 LDAP 模式属性
|
|
|
|
Base search DN(基本搜索 DN)
|
base_dn
|
基本对象的标识名,它是目录搜索的起点。
默认子树规范将自动附加到此基本搜索 DN 前面: ou=people 用于用户搜索, ou=group 用于组搜索, ou=netgroup 用于网络组搜索。要覆盖此默认行为,请使用下面列出的以及 LDAP 定制映射中所述的搜索描述符属性。 |
|
Search scope(搜索范围)
|
search_scope
|
在 LDAP 目录中搜索的对象,相对于基本对象。
对于非递归或 one,搜索结果仅限于位于基本搜索对象正下方的对象。这是默认值。
对于递归或 sub,搜索结果可以包括位于基本搜索对象下方的任何对象。
|
|
用户、组和网络组的模式定义
|
-
user_search、group_search、netgroup_search
-
user_mapattr、group_mapattr、netgroup_mapattr
-
user_mapobjclass、group_mapobjclass、netgroup_mapobjclass
|
设备使用的模式。使用这些属性覆盖用户、组和网络组的默认搜索描述符(基本 DN 加上默认子树规范)、属性映射和对象类映射。有关更多信息,请参见 LDAP 定制映射。 |
|
相关主题
表 76 LDAP 安全属性
|
|
|
|
Authenticate as(验证身份)
|
cred_level
|
|
|
Enable SSL/TLS(启用 SSL/TLS)
|
use_tls
|
切换 TLS(Transport Layer Security,传输层安全,SSL 的后代协议)以建立到 LDAP 服务器的安全连接。如果采用自我验证,则此选项不可用,因为自我验证采用 Kerberos 加密。
如果添加 LDAP 服务器时指定端口 636,系统将配置 LDAP 和原始 TLS。如果添加 LDAP 服务器时指定任何其他端口(通常为 389),系统将配置 LDAP 和 StartTLS。使用原始 TLS 时,某个单独的专用端口将用于安全 TLS 连接。使用 StartTLS,LDAP 服务器不需要专用端口来建立加密的 LDAP 连接;LDAP 服务器使用相同的 389 端口进行 TLS 连接。
|
|
Authentication Method(验证方法)
|
auth_method
-
simple
-
sasl/DIGEST-MD5
-
sasl/GSSAPI
-
none
|
用于向 LDAP 服务器验证设备的方法。
如果采用代理验证,则选择 "Simple"(简单)或 "SASL/DIGEST-MD5" 验证方法并设置 DN 和密码。
在 CLI 中,如果采用 self 验证,则将 auth_method 设置为 sasl/GSSAPI。如果采用 anonymous 验证,则将 auth_method 设置为 none。
|
|
DN
|
proxy_dn
|
将用于代理验证的账户的标识名。
|
|
Password(密码)
|
proxy_password
|
代理 DN 账户的密码。
|
|
相关主题
表 77 LDAP 服务器属性
|
|
|
|
|
use_server_order
|
有关服务器顺序设置对服务器列表的影响的解释,请参见服务器属性的说明。
|
|
Server(服务器)
|
servers
|
要使用的 LDAP 服务器列表。
-
如果仅指定一个服务器,则设备只使用该服务器。如果该服务器发生故障,则 LDAP 服务不可用。
-
如果指定多个服务器并且在 BUI 中选择 "Ignore server order"(忽略服务器顺序)或 use_server_order 为 false,则可以随时使用列表上任何正常运行的服务器而无任何偏爱。如果任何服务器发生故障,则会使用列表中的其他服务器。LDAP 服务将持续可用,除非指定的所有服务器都发生故障。
-
如果指定多个服务器并且在 BUI 中选择 "Use server order"(使用服务器顺序)或 use_server_order 为 true,则 LDAP 服务将使用列表上的第一个可用服务器。将选择列表上的第一个服务器;如果该服务器发生故障,则选择列表上的下一个服务器。LDAP 服务将持续可用,除非指定的所有服务器都发生故障。
|
|
相关主题