设置符合 LDAP 的安全域
如果您正在使用具有 Kerberos 或 LDAP 身份验证域的安全方案,则必须设置您的安全域。要设置您的安全域,请执行以下操作:
• 为您的域设置特性。
• 审阅目录服务器返回的条目数的批处理大小。
• 如果需要,将域设置为使用安全套接字层。
• 审阅故障转移设置。
设置安全域特性
您在 security.properties 文件中设置符合 LDAP 的安全域的特性。以下每个受支持的域均预配置了典型设置:
• OpenLDAP 服务器
• Microsoft Active Directory 服务 (ADS)
• Netscape 目录服务器
• 所有受支持的服务器上基于 RFC 2307 的架构
• Novell 目录服务
要设置 PTC RV&S 代理 以与您的安全域通信,请取消对与您的安全域相对应的特性的注释,然后编辑本主题中记录的服务器、用户、组和成员资格的特性。
您应该熟悉如何实施符合 LDAP 的安全域。您至少应该熟悉可分辨名称 (DN) 、LDAP 搜索筛选器和 LDAP 模式。
有关您安全域的特性的详细信息,请参阅 LDAP 文档或网上的一些可用资源。1
 |
PTC RV&S 代理 支持 LDAP v3 安全域的密码到期功能。唯一支持此功能的 LDAP 服务器是 Sun One/iPlanet/Netscape 目录服务器。
|
LDAP 绑定凭据特性
这些设置建立了枚举用户和组时使用的 LDAP 绑定凭据。
|
特性
|
说明
|
|---|---|
|
ldap.host
|
LDAP 服务器的主机名 (或 IP 地址)。
|
|
ldap.port
|
要连接到的 LDAP 服务器端口。对于使用明文协议的连接,server.port 默认为 389,对于使用专用协议的连接默认为 636。
|
|
ldap.principal
|
用于连接到 LDAP 服务器的用户/承担者的可分辨名称 (DN)。承担者应该是非特权用户 (即承担者应该具有只读访问权限)。
|
|
ldap.credential
|
上述用户/承担者的密码。
|
如果要遵循 LDAP 参考,请使用以下格式指定其他服务器地址:
ldap.host.1=<host1>
ldap.principal.1=<principaluser>
ldap.credential.1=<principleuserpassword> ldap.host.2=<host2>
ldap.principal.2=<principaluser
ldap.server.credential.2=<principaluserpassword>
ldap.principal.1=<principaluser>
ldap.credential.1=<principleuserpassword> ldap.host.2=<host2>
ldap.principal.2=<principaluser
ldap.server.credential.2=<principaluserpassword>
如果此列表中未指定参考,则不会遵循参考。
主机名的查找使用的是 DNS,并且适用故障转移机制。
用户特性
这些设置定义了在目录中的何处查找用户。
|
特性
|
说明
|
|---|---|
|
ldap.user.dn
|
一个或多个用于搜索用户的基本可分辨名称 (DN)。
|
|
ldap.user.filter
|
用于匹配用户条目的 LDAP 搜索筛选器 (其中 %u 代替用户)。
|
|
ldap.user.scope
|
搜索用户的范围。允许的值为 subtree、one-level 或 base。默认情况下,ldap.user.scope=subtree。
|
|
ldap.user.name
|
用户的名称或用户 ID。
|
|
ldap.user.displayname
|
用户的全名。指定此特性会开启全名。
|
|
ldap.user.e-mail
|
用户的电子邮件地址。
未为 rfc 2307 域定义特性。
|
|
ldap.user.objectclass
|
指示对象为用户的对象类值。
|
如果您正在使用具有 Windows 安全域的安全方案,则 user.filter 条目的默认设置使用 Windows 2000 之前的身份验证方法,该方法通常使用用户的短登录名,例如 mkern。如果用户想使用电子邮件地址登录 (例如 [email protected]),您必须更改这一条目,方法是在 ldap.user.filter 和 ldap.user.name 特性中替换 samaccountname 的 mail 属性,例如:
ldap.user.filter=(&(mail=%u)(objectclass=user) (objectcategory=person))
ldap.user.scope=subtree
ldap.user.name=mail
ldap.user.displayname=displayName
ldap.user.e-mail=mail
ldap.user.objectclass=user
ldap.user.scope=subtree
ldap.user.name=mail
ldap.user.displayname=displayName
ldap.user.e-mail=mail
ldap.user.objectclass=user
一些符合 LDAP 的安全域不允许查询超过 1000 个结果。如果您有大量用户,则应设置多个 DN 以发送多个结果较小的查询。例如,如果有少于 1000 个用户的较小上下文,您可以创建多个更具体的 DN:
user.dn.1=ou=support,ou=users,dc=northamerica,dc=support,dc=com
user.dn.2=ou=boston,ou=users,dc=northamerica,dc=support,dc=com
user.dn.3=ou=qa,ou=users,dc=northamerica,dc=support,dc=com
user.dn.4=ou=development,ou=users,dc=northamerica,dc=support,dc=com
user.dn.2=ou=boston,ou=users,dc=northamerica,dc=support,dc=com
user.dn.3=ou=qa,ou=users,dc=northamerica,dc=support,dc=com
user.dn.4=ou=development,ou=users,dc=northamerica,dc=support,dc=com
您只需要列出连接到 PTC RV&S 代理 的用户。
成员特性
这些设置定义了在目录中的何处查找组成员。
|
特性
|
说明
|
|---|---|
|
ldap.member.dn
|
一个或多个用于搜索组成员的基本可分辨名称 (其中 %M 替换为组的成员名称/DN 的值)。
|
|
ldap.member.filter
|
筛选以解析成员 (其中 %M 替换为组的成员名称/DN 的值)。
|
|
ldap.member.scope
|
搜索成员的范围。允许的值为 subtree、one-level 或 base。
|
组织单位特性
这些设置定义了组织单位的对象类名称和显示名称。
|
特性
|
说明
|
|---|---|
|
ldap.ou.objectclass
|
组织单位的对象类名称。
|
|
ldap.ou.name
|
组织单位的显示名称。
|
1 常规 LDAP 文档http://www.umich.edu/~dirsvcs/ldap/doc/Microsoft Active Directory Serverhttp://www.microsoft.com/windows2000/technologies/directory/ad/default.asp#section8OpenLDAPhttp://www.openldap.org/Novell Directory Services for Windowshttp://developer.novell.com/edirectory/ndsldap.htmRFC 2307http://www.ietf.org/rfc/rfc2307.txt