名詞解釋
屬性:
1. 名稱 (Common Name, CN):使用者名稱 (例如,John Smith) 或伺服器名稱,AD 使用的是 CN 而不是下列的 UID;
2. 使用者識別碼 (User ID, UID):使用者登入識別碼 (例如,jsmith) ,通常是 CN 簡化的識別碼;
3. 組織名稱 (Organizational Unit, OU):組織內單位的名稱 (例如,IT);
4. 組織 (Organizational, O):組織的名稱 (例如,ABC.com);
5. 網域元件 (Domain Component, DC):將組織的網域名稱拆成個別的網域元件 (例如,ABC 跟 com),AD 使用的是 DC 而不是 O;
6. 國別 (Country, C):國家名稱,一般較少使用;
7. 相對識別名稱 (Relative Distinguished Name, RDN):是跟目錄樹結構無關的部份,通常 RDN 的值會是 CN 或是 UID;
8. 識別名稱 (Distinguished Name, DN):用來代表一個 LDAP 物件的名稱 / 路徑的絕對位置,每一個 DN 都是由 RDN 跟路徑所組成。
屬性名稱對於大小寫字母沒有區別,但是一般在使用時屬性名稱會使用小寫字母。
屬性的定義:
屬性 (Attribute) = 值 (value),
例如,ou=IT、dc=ABC、或是 dc=com 等。
Vigor2960 AD 認證設定
在 "單一帳號/活動目錄管理" 設定畫面中,有下列幾個項目需要設定:
1. 綁定方式,分為:
1) 匿名模式:"使用 anonymous 匿名帳號登入 AD/LDAP 查詢";網域控制站 (Domain Controller, DC) 應該是沒有在接受匿名帳號查詢的,這個選項不適用於 AD 環境。
2) 簡易模式:"使用空白帳號登入 AD/LDAP 查詢";DC 應該是沒有在接受空白帳號查詢的,這個選項不適用於 AD 環境。
3) 常規模式:"使用指定帳號登入 AD/LDAP 查詢(需設定 Regular DN 和密碼)",只有這項是適用於一般的 AD 環境。可是居易對於這項設定的說明幾乎是沒有。
所以,AD 環境下只能夠選用常規模式。
2. 伺服器IP位址:
AD/LDAP 的伺服器 IP,在 AD 環境具有全域目錄 (Global Catalog, GC) 功能 DC 的 IP。
3. 通用名稱識別符:
以什麼屬性做為帳號比對的依據,常見的有 cn 和 uid;AD 使用的是 cn 而不是 uid。
4. 基本識別名稱 (Base DN):
"從哪個基本網域名稱路徑開始查詢認證的帳號",
要從目錄樹狀結構的那裡開始查詢認證的帳號,一般會是 dc,例如,dc=ABC, dc=com;如果認證的帳號全部屬於某個組織單位,也可以加上 ou 成為 ou=IT, dc=ABC, dc=com。
5. Group DN (非必要):
檢查所要認證的帳號是否有在指定的群組內。
6. Regular DN:
"輸入指定的帳號路徑",
這個部份是最難的部份,因為我們通常不會記得 AD 物件的 DN。不過,透過在 DC 的命令提示字元下達 dsquery user -samid 命令可以得到物件的 DN。例如,要利用 AD 上的 VPNusr 這個帳號 (需要先在 AD 上建立這個帳號) 來進行認證查詢,可以利用下列的命令來查詢其 DN:
dsquery user -samid "VPNusr"
可以得到
"cn=VPNusr,ou=IT,dc=ABC,DC=com"
再將查到的 DN (去除隻引號) 填入 Regular DN 欄位。
7. 常規密碼:
認證查詢的帳號 (例如,上例的 VPNusr) 的密碼。
在完成上述的設定後,在 "基本識別名稱" 旁邊會出現按鈕,點進去可以看到 Base DN 下的樹狀結構,如果看不到,表示上面的設定有錯誤。
另外,Vigor2960無法顯示有中文的 DN,當組織單位等屬性有使用中文時,會查不到使用者。
沒有留言:
張貼留言