一、名词解释
轻型目录访问协议(英文:Lightweight Directory Access Protocol,
缩写:LDAP是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。
二、如何使用
案例一:
本教程以爱快客户提供的群辉LDAP套件为例,先设置好LDAP套件服务器:
群辉中国区官网地址:https://www.synology.cn/zh-cn
客户如需使用群辉LDAP套件,请联系群辉官方购买。
第一步:搭建LDAP服务器(此处以在群辉中搭建LDAP为例),在服务器中设置LDAP用户名、密码以供认证使用。
第二步:在爱快云网络巡检--网络管理,开启认证,认证服务器选择爱快云,认证方式选择用户认证,鼠标移到用户认证点击设置,默认认证方式为本地账号认证,将此处认证方式切换为LDAP。
【服务器地址】:填写服务域名。
【用户组】:可以把此处的用户组比喻成一个路径,格式如下:
uid={u},cn=users,dc=ikuai9,dc=com。Uid代表用户名(其中{u}为本功能自定义的用户名通配符,执行时会统一替换成网页输入的用户名),cn代表用户群组,dc代表记录所属区域。
【服务端口】:服务端口默认为389,无特殊需求可不用更改。
第三步:设置完成保存认证配置。手机连接认证无线会自动跳转到认证页面。
填写在LDAP服务器上设置的用户名、密码。
认证成功后,会在路由认证计费--账号在线用户页面显示出LDAP认证用户相关信息。
注意事项:路由器需要是官方硬件,且版本号要高于3.6.4企业版及以上,才能开启此功能。
案例二:
Windows Server 2008 R2对接爱快云LDAP认证(路由系统3.7.6企业版本及以上支持使用)
1.为windows server添加角色
添加角色:
勾选AD域服务,其他默认即可
2.配置安装AD域服务
运行里输入dcpromo.exe:
根据需求选择林是否新建
输入目录根级域的FQDN,这里实际填写的ikuai9.com
默认勾选DNS服务器
点击继续
配置域的管理密码,其他下一步即可
3.本地环境配置
为服务器配置静态IP
配置时建议关闭防火墙
新建自定义用户
爱快现已支持cn与sAMAccountName认证,cn为姓名,sAMAccountName为用户登录名
根据需要勾选密码设置
4.AD域LDAP服务验证
域服务菜单打开Ldp.exe
连接输入配置的FQDN
验证LDAP服务器正常
5.LDAP Admin调试
点击Start->Connect
点击New connection
输入LDAP服务器地址、域管理员用户名和密码,选择GSS-API,再点击Fetch DNs就会自动识别出Base
cn:用户姓名,distinguishedName: 用户所在dc域,sAMAccountName: 登录用户名
6.爱快云认证配置
进入对应路由器的认证配置
选择用户认证
一般使用用户名认证+多用户组认证方式
管理员全路径复制LDAP Adminstrator的distinguishedName值
7.体验认证
注意事项:
当AD域上用户超过1000,我们会发现有些用户怎么都同步不下来,经过查询发现微软有个默认限制,一次性只能读1000用户。
这是微软官方的默认值说明:
https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/identity/view-set-ldap-policy-using-ntdsutil
下面是解决方法:修改AD域查询账号默认MaxPageSize=1000的限制:
Windows Server本身出于性能负荷的考虑,将LDAP查询的数量限制为1000个。
当某个ldap查询条件返回数据大于1000条数据的时候,就会报SizeLimitExceededException 的异常!
这里可以参考微软官网的说法:
实际应用中AD中数据超过1000太正常不过了!如果服务器性能允许而且网络带宽不错的话,这样的限制就很不合理。那么如何修改呢?
1.在“开始”——>“运行”——>输入“ ntdsutil”——>回车;
2.输入:“ldap policies”,回车;
3.输入:“connections”,回车;
4.输入:“connect to domain yourDomainName”,例如(connect to domain baidu.com)
5.连接提示出现后,输入:“quit”,回车;
6.输入:“show values”,确认当前的最大返回数;(默认是1000)
7.输入:“set MaxPageSize to 10000”,将最大返回数改为10000。(最大返回数可以根据实际情况自行定义)。
8.再度输入:“show values”,确认当前的最大返回数(显示为:1000(10000))。
9.输入“commit changes”以确认修改。
10. 再次输入:“show values”,确认当前的最大返回数为10000。
11. 输入“quit”,退出设置状态;
12. 输入“quit”,退出当前命令。
13. 打开运行输入“gpupdate /force”,刷新组策略使之生效。
最后我们再返回云平台的认证页面点击一下保存,通知路由器重新同步即可。
