通过 LDAP 目录将设备配置为对用户进行认证

可以选择使用“轻量级目录访问协议”(LDAP) 目录向 IBM® WebSphere® DataPower® XC10 Appliance 对用户进行认证。

开始之前

要执行这些步骤,必须已给您分配了设备管理许可权。

关于此任务

使用 LDAP 服务器来认证用户是可选的。如果您选择使用外部 LDAP 服务器,那么必须使所有 IBM WebSphere DataPower XC10 Appliance 用户与所指定 LDAP 目录中的用户相匹配。用户名属性用来对具有 LDAP 目录的 IBM WebSphere DataPower XC10 Appliance 用户进行认证。无法认证不在 LDAP 目录中的用户。

可以设置 LDAP 以使用安全端口。必须由公众信任的认证中心 (CA) 发放 LDAP 服务器的安全套接字层 (SSL) 证书,此证书已存在于 <JAVA_HOME>/jre/lib/security/cacerts 文件中。WebSphere DataPower XC10 Appliance 不支持使用自签名证书。

过程

  1. 浏览至设置面板。 请使用下列其中一种方法:
    • WebSphere DataPower XC10 Appliance 用户界面顶部的菜单栏中,浏览至设备 > 设置
    • 欢迎页面中,单击步骤 1:设置设备部分中的定制设置链接。
  2. 展开安全性
  3. 通过 LDAP 目录将设备配置为对用户进行认证。
    1. 要启用 LDAP 认证,请选中启用 LDAP 认证旁边的复选框。 缺省情况下,未选中启用 LDAP 认证复选框。选中此复选框时,将允许 WebSphere DataPower XC10 Appliance 使用指定的 LDAP 服务器在用户登录时对用户进行认证。
    2. 输入 JNDI 提供程序 URL。 非 SSL LDAP 的示例:
      ldap://mycompany.com:389/ 
      ldap://mycompany.com/ 
      如果未显式指定端口,那么缺省端口号是 389。 SSL LDAP 的示例:
      ldaps://mycompany.com:636/ 
      ldaps://mycompany.com/ 
      如果未显式指定端口,那么缺省端口号是 636。
    3. 输入 JNDI 基本 DN(用户)。 示例:
      CN=users,DC=mycompany,DC=com
    4. 输入 JNDI 基本 DN(组)。 示例:
      DC=mycompany,DC=com
    5. 输入搜索过滤器(用户)。 示例:
      (&(sAMAccountName={0})(objectcategory=user)) or uid={0}
      注: 用户标识嵌入在占位符“{0}”中。“{0}”将替换为您在登录屏幕中输入的登录用户标识。
    6. 输入 JNDI 安全认证。 除非 LDAP 服务器不允许执行匿名 LDAP 查询,否则此字段是可选字段。示例:
      CN=Administrator,CN=users,DC=mycompany,DC=com
    7. 输入密码。 此字段是 JNDI 安全凭证,除非 LDAP 服务器不允许执行匿名 LDAP 查询,否则此字段是可选字段。
  4. 测试您已配置的 LDAP 认证设置。 可以测试您用来对 LDAP 服务器配置认证的设置。本节允许您执行 LDAP 查询以查找所指定的用户和组。
    1. 单击测试 LDAP 认证设置以展开此节。
    2. 要测试用户名,请在 LDAP 用户名字段中输入用户名,然后单击相关联的测试 LDAP 查询按钮。 示例:
      test_user@us.ibm.com

      如果查询成功,那么会显示如下所示的一条消息:找到 LDAP 用户 DN:<用户信息>。如果查询不成功,那么将显示一条错误消息。

    3. 要测试组名,请在 LDAP 组名字段中输入组名,然后单击相关联的测试 LDAP 查询按钮。 示例:
      测试组

      如果查询成功,那么会显示如下所示的一条消息:找到 LDAP 组 DN:<用户信息>。如果查询不成功,那么将显示一条错误消息。

结果

您已经指定了在访问用户界面时用于外部认证的 LDAP 目录。

下一步做什么

了解如何控制用户对环境不同区域的访问是安全性解决方案的重要部分。有关如何管理用户和组及其许可权的更多信息,请参阅管理用户和组