ldap认证_ldap统一用户认证_windows ldap认证(4)

基本认证(简单密码) 当LDAP客户进程和服务进程之间建立连接时，会协商安全机制，这是在LDAP应用程序接口(API)中指定的方法。除了根本不使用认证之外，最简单的LDAP安全机制是基本认证。

当使用LDAP的基本安全认证时，客户进程通过网络向服务进程发送一个分辨名(DN)和口令来标识自己。服务进程检查客户进程发送的分辨名(DN)和密码是否与目录中存储的分辨名(DN)和密码相匹配，如果匹配则认为通过了认证。

SSL/TLS 安全套接层协议的意图是提供认证和数据的安全性，它封装了TCP/IP，以便于每个TCP/IP应用都能够使用它保证通讯的安全。

下面介绍一个H3C对LDAP的典型应用，其中涉及客户端、接入设备、业务软件服务器以及Windows 2003域控制器。

2.1 组网图

2.2 配置介绍2.2.1 PC（802.1x Client）

PC作为接入客户端，只要有802.1x客户端即可，一般在网络连接上都自带802.1x客户端；在我司的EAD解决方案中，使用iNode客户端来进行802.1x的接入，推荐使用iNode客户端；也可以使用自己安装的其他802.1x客户端。ldap认证

2.2.2 接入交换机（Access Switch）

该交换机只需要支持802.1x接入功能即可，交换机管理口地址需要和iMC Server能够ping通；在PC接入的接口下开启802.1x认证功能，然后设置domain和radius scheme，具体配置如下：

radius scheme配置，验证及计费服务器的IP地址根据实际使用地址填写：

radius scheme ld_20090811

server-type huawei

primary authentication 162.105.255.30 1812

primary accounting 162.105.255.30 1813

key authentication test

key accounting test

user-name-format with-domain

domain配置，radius-scheme和之前的radius scheme名称要一致：

domain zhjdtest

radius-scheme ld_20090811

access-limit enable 1024

state active

vlan-assignment-mode integer

idle-cut disable

self-service-url disable

messenger time disable

接口配置，vlan可根据实际需要划分：

intece Ethernet0/24

port access vlan 24

dot1x

2.2.3 Windows 2003域控制器

Windows 2003域控制器主要使用的是微软的活动目录，将其作为LDAP服务器，让iMC从中提取账户信息。

关于Windows 2003安装成域控制器的方法在这里就不介绍了，可以通过查看相关文档进行安装，简单说需要先安装DNS服务，再安装Active Directory；这里介绍一下账户的添加方法：

首先，在域控制器下新建一个组织单位：如下，名为：imcuser-test-ld

其次，在刚才创建的组织单位下创建用户，该操作可重复多次，创建多个用户：如下用户名为：cc

2.2.4 iMC Server

首先，iMC Server上要将接入交换机作为接入设备加入；

其次，需要添加一个和接入交换机上的domain相对应的服务，即服务后缀等于域名；

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-24623-4.html