【SAM】LDAP配置

发布时间：2013-10-03

点击量：9228

一、功能需求
SAM需要与LDAP服务器对接，同步用户信息
二、配置要点
1、SAM支持用OpenLDAP和Active Directory对用户进行认证，并有有两种应用模式：普通模式和计费模式。OpenLDAP 和Active Directory均支持普通模式，使用OpenLDAP时，支持普通模式和计费模式。
1）普通模式
普通模式下，用户通过SAM认证上网时，SAM先根据自身存储的数据验证用户的密码是否正确，如果密码验证没通过，再尝试从LDAP服务器验证，如果LDAP服务器验证通过，从LDAP上同步用户的密码到SAM系统（同步密码选择开启的情况下）。另外，如果用户在SAM上找不到，也会去LDAP服务器验证，如果LDAP服务器验证通过，从LDAP上同步用户信息到SAM系统。普通模式下，所有用户的计费都在SAM中进行。
2）计费模式
计费模式下，当SAM中不存在用户时，到LDAP服务器上进行认证，对这种类型用户，SAM不负责对其计费，由其它对LDAP进行管理的系统把用户可用时长保存到LDAP服务器上，SAM从LDAP服务器上读取用户的上网可用时长，并对该可用时长进行判断，如果还有可用时长则通过Radius的SessionTimeOut下发其可用时长，否则仍然认证不通过。对SAM系统中的存在用户，始终不会通过LDAP服务器进行认证。
2、LDAP上用户密码分为不加密存储和加密存储。
三、配置步骤
1、OPENLDAP
1）普通模式配置

2）计费模式配置：需要保证LDAP服务器时间和SAM一致，否则可能导致用户服务有效期过期的问题

3）LDAP参数
LDAP 服务器IP——LDAP 所在服务器的IP
LDAP 服务器Port——LDAP 服务的端口,默认为389
LDAP 类型——LDAP 的类型，OpenLDAP
Rootdn——openldap 的配置文件slapd.conf 中定义的rootdn，如果不输入表示匿名登录
Rootpw——openldap 的配置文件slapd.conf 中定义的rootpw，要求输入明文,如果不输入表示匿名登录
ROOT ENTRY——用户所在树的根节点的DN,所有的用户都应该在这个节点之下，比如说"dc=universityname,dc=com"
用户OBJECTCLASS——一个用户entry 的objectclass 属性，比如说inetorgPerson
用户登录名属性——用户entry 中代表登录名的属性，比如说uid
用户密码属性——用户entry 中代表密码的属性，比如说userPassword
LDAP用户密码存储方式——用户密码如果是加密存储的，请选择“加密”，不加密则选择“明文”。
LDAP 类型为OPENLDAP类型，且LDAP上用户的密码存储方式使用加密存储时，用户密码属性名可以不设置。
备份选项——在LDAP计费模式下有用，管理员可配置是否把LDAP上的用户信息备份到SAM数据库，需要注意的是和LDAP普通模式不同，这里的备份信息并不会放到用户中，而是专门的LDAP备份信息存放，界面上可以通过运维管理-LDAP备份信息管理来查看和修改LDAP的备份信息。
接入服务时间属性名——用户entry中代表接入服务期限的属性, 默认是radiusExpiration
接入服务时间格式——接入服务期限属性的时间格式，注意时间格式中带双引号
检测LDAP间隔——对LDAP服务器定期检测的间隔，默认5分钟
同步密码选项——是否读取LDAP上的密码到SAM数据库
密码过期时间——LDAP上密码在SAM数据库中有效保存的时间
匿名登录选项——若LDAP 允许匿名登录方式，请打勾，否则不打勾。
默认用户组——LDAP用户的默认用户组
默认用户模板——LDAP用户的默认用户模板
Search Filter――如果设置了Search Filter，则SAM则以该Filter到LDAP服务器上面查询用户，不会使用配置的用户的ObjectClass，其中的“%{User-Name}“表示这部分将被真正的用户ID替代。例子：
(&(objectclass=radiusprofile)(uid=%{User-Name})(|(eduPersonPrimaryAffiliation=faculty & staff)(eduPersonPrimaryAffiliation=student)))
其中的“%{User-Name}“尤为需要注意代表了用户名的替换变量，另外整个Filter不包含双引号。
注：Filter配置和ObjectClass配置互斥，配置了Filter，则ObjectClass配置将不生效。
LDAP服务器忽略用户名大小写——如果所使用的LDAP服务器是忽略用户名大小写的，则应该勾选“LDAP服务器忽略用户名大小写”选项；否则不勾选此选项。
2、Active Directory认证配置

参数说明：
LDAP 服务器IP——LDAP 所在服务器的IP
LDAP 服务器Port——LDAP 服务的端口,默认为389
LDAP 类型——LDAP 的类型，Active Directory
Active Directory 域名——对于AD 用户连接时的登录名必须包含域名（使用SU登录时只需要填写登录名即可）
默认用户组——LDAP用户的默认用户组
默认用户模板——LDAP用户的默认用户模板
LDAP服务器忽略用户名大小写——如果所使用的LDAP服务器是忽略用户名大小写的，则应该勾选“LDAP服务器忽略用户名大小写”选项；否则不勾选此选项。
四、配置验证
1、OPENLDAP普通模式：
1）认证时，如果SAM数据库用户表中无此用户，则根据用户名从LDAP服务器上取该用户的密码，和用户输入的密码进行比较，如果密码正确，则将此用户信息添加到SAM数据库用户表中，成为SAM的用户。LDAP配置选项中可以配置一个“默认用户自助权限”，这样加入到SAM中的LDAP用户也可以登录自助系统获得自助服务了。
2）认证时，如果SAM数据库用户表中有此用户，但是密码错误，则从LDAP服务器上取该用户的密码，再次进行验证，如果验证通过，则继续后面的认证处理。在第二次校验通过时，如果LDAP认证配置中选择了"同步更新密码"，还需要将密码更新到SAM数据库用户表中，成为SAM的用户。可以在“密码过期时间（天）”选项中设置密码失效的时间，当用户密码失效后，在用户认证时发现其是LDAP同步过来的用户，而且密码已经超过失效时间，则去LDAP上验证密码，在验证成功之后更新密码，并且把失效时间往后推一个设置周期。
注意：若用户在AD或OpenLDAP上修改了密码，由于AD或OpenLDAP的默认密码策略，在用户修改密码后的一段时间内（一小时左右），旧密码仍然可用。若SAM在这段时间内到上述LDAP系统中查询用户密码时，刚新旧密码都会返回密码校验成功的结果。
如果所使用的LDAP服务器是忽略用户名大小写的，则应该勾选“LDAP服务器忽略用户名大小写”选项；否则不勾选此选项。
2、OPENLDAP计费模式：
1）认证时，如果SAM数据库用户表中无此用户，则到LDAP服务器上进行用户名密码校验，校验通过之后再检测该用户的接入服务期限（LDAP上面的）是否已经过期，如果没有过期则下发该时长为用户的可用时长。
2）认证时，如果SAM数据库用户表中有此用户，则以SAM上面的用户数据作为校验标准，无论结果如何都不会到LDAP上去进行校验和获取信息。
在进行步骤1时，如果LDAP服务器连接不上或者状态不正常，且配置中选择了“本地进行LDAP用户备份“选项，会使用之前备份的信息进行认证校验处理（包括用户名密码和接入服务期限），备份信息只有之前成功通过了一次认证之后才会进行备份，备份信息过期后将在过期后的第一次成功通过认证之后进行备份信息的更新。如果当LDAP服务器宕机且用户的备份信息过期时，用户仍然无法认证通过。
LDAP计费模式下管理员可配置是否把LDAP上的用户信息备份到SAM数据库，需要注意的是和LDAP普通模式不同，这里的备份信息并不会放到用户中，而是从LDAP获取到用户信息存放为专门的LDAP备份信息，界面上可以通过“运维管理-LDAP备份信息管理”来查看和修改LDAP的备份信息。