LDAP 配置示例

This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

本节包含多个可用于不同场景的 LDAP 配置文件配置示例。

有关创建 LDAP 配置文件的分步过程，请参阅配置 LDAP 设置。

表 1. 示例 1
用例	绑定选项	配置详细信息
Active Directory 通用设置	管理员绑定	对于管理员绑定的配置，组成员资格包括完整 DN。

配置了管理员绑定和用户搜索配置的 LDAP 配置文件如下所示：

LDAP 配置文件的组搜索配置如下所示：

表 2. 示例 2
用例	绑定选项	配置详细信息
Active Directory 通用设置	匿名绑定	如果 LDAP/AD 用户可以与 DN [email protected] 和密码绑定在一起，它将验证用户登录名。

配置了匿名绑定的 LDAP 配置文件如下所示：

表 3. 示例 3
用例	绑定选项	配置详细信息
Open LDAP	管理员绑定

配置了管理员绑定和用户搜索的 Open LDAP 配置文件如下所示：

配置了组搜索的 Open LDAP 配置文件如下所示：

表 4. 示例 4
用例	绑定选项	配置详细信息
Open LDAP	匿名绑定	如果 LDAP 用户可以与 DN“cn=jdoe, ou=People, dc=example, dc=com”和密码绑定在一起，它将验证用户登录名。

配置了匿名绑定的 Open LDAP 配置文件如下所示：

表 5. 示例 6
组筛选器	描述
(objectClass=*)	这是最安全的选项，可确保将每个对象视为一个 LDAP 组并在其中搜索成员。最不理想
(objectCategory=group)	通常，LDAP 中的组对象将类别值设置为“group” 如果您可以选择使用 objectCategory 或 objectClass，建议您使用 objectCategory。这是因为 objectCategory 是单值并编制了索引，而 objectClass 是多值而未编制索引（在 Windows Server 2008 和更高版本上除外）。使用具有 objectCategory 的筛选器的查询比具有 objectClass 的类似筛选器更高效。Windows Server 2008 域控制器（和更高版本）具有一种特殊行为，可以编制 objectClass 属性索引。
(objectClass=posixGroup)	OpenLDAP 组在某些环境中可能具有“posixGroup”类型，而不仅仅是“group”。
(&(objectCategory=group)(cn=Avi-*))	如果所有相关的已知组以名称“Avi-”开头，搜索可以避免获取其他组。一些组织在某个层次结构中具有数千个组，最好根据已知场景对其进行筛选。
组成员是否为完整 DN	身份验证配置文件测试页面可以从基本 DN 级别输出完整 DN 树。对于组条目，成员属性值显示它是否为完整 DN。