NetScaler的部署实验之六更新NetScaler配置LDAP用户身份验证

关于LDAP的内容之所以要写在NetScaler Gateway的配置过程之前，是因为NetScaler Gateway需要LDAP来对用户进行身份验证。如果没有配置这些信息，用户是无法在NetScaler Gateway上面进行身份验证的，后续的获取应用与桌面也就无从谈起了。
而且，NetScaler在10.5的版本历史中还出现过无法通过LDAP验证登录GUI界面的BUG（Shell和SSH都没问题）。这个BUG出现在Build 50.10，之后在Build 52.11中被修复。

在LDAP的身份验证配置过程中仍然使用SSL来对数据进行加密，因为没有企业会使用明文传递用户名和密码。所以，在实验中讨论明文的话就毫无实践意义了。

首先，对域控制器或者说是LDAP服务器的证书作配置。注意域控的证书应该是在域控角色过安装过程中自动生成的。但是，还是要检查一下，如果没有证书，那就重新申请一张证书。
作为对LDAP通信数据进行加密的域控服务器证书需要具备2个条件：证书要有与之匹配的私钥作绑定，证书的作用是用来作服务器认证。

1.jpg (362.71 KB)

2015-1-24 00:15

在确认域控制器的证书没有问题之后，可以从另一台服务器使用LDP.EXE程序来检验该证书对于域控制器的LDAP验证过程是否生效。
目前微软的活动目录身份验证明文通信端口为389，SSL暗文通信端口为636。使用LDP.exe程序如果能获取域控制器的RootDSE信息就说明整个加密的身份验证过程没有问题。

2.jpg (348.38 KB)

2015-1-24 00:15

3.jpg (350.77 KB)

2015-1-24 00:15

4.jpg (537.95 KB)

2015-1-24 00:15

域控制器验证完毕后，开始配置NetScaler的LDAP身份验证。
首先建立连接域控制器的基本信息，

5.jpg (344.3 KB)

2015-1-24 00:15

6.jpg (350.87 KB)

2015-1-24 00:15

填入连接域控制器的用户凭据（这个用户最好是域管理员，并且这个用户的密码不能更改，否则这里也要作相应改动）。用户的信息为标准LDAP格式，10.1之前的版本能用UPN格式，10.5的这个版本我试了几下没成功。不知道是配置上有变化还是我的设置有问题，总之没成功，只能用标准的LDAP格式。注：
Base DN为所配置查找用户的起始LDAP位置，如果实在不知道应该填什么，光填个LDAP格式的域名也么问题，或者填LDAP格式的域控制器名都可以。

Administrator Bind DN为LDAP格式的域用户，是NetScaler用来向后台域控制器查询之前建立连接所使用的。所以这个用户的密码不能更改。

7.jpg (327.01 KB)

2015-1-24 00:50

8.jpg (457.38 KB)

2015-1-24 00:50

填完用户信息后，如图完成“Other Settings”的设置，点击最下方的“Create”，创建域控制器的连接信息。

9.jpg (330.95 KB)

2015-1-24 00:50

10.jpg (157.21 KB)

2015-1-24 00:50

在"System" -> "Authentication" -> "LDAP" -> "Policy"页面，点击 “Add”，新建一个策略。在该策略中编辑正则表达式“ns_true"。

11.jpg (345.67 KB)

2015-1-24 00:50

12.jpg (337.86 KB)

2015-1-24 00:50

13.jpg (348.69 KB)

2015-1-24 00:50

在"System" -> "User Administration" -> "Group"页面，点击”Add”，新建用户组。这个用户组的名称需要严格对应活动目录内的用户组名称（比如Domain Admins），然后在“Command Policies”选项为该域用户组赋予NetScaler的本地权限。

14.jpg (340.58 KB)

2015-1-24 00:50

15.jpg (321.91 KB)

2015-1-24 00:50

16.jpg (297.78 KB)

2015-1-24 00:50

17.jpg (322.84 KB)

2015-1-24 00:50

然后回到"System" -> "Authentication" -> "LDAP" -> "Policy"页面，点击“Globle Bindings”，对刚才建立的LDAP策略进行全局绑定，

18.jpg (333.07 KB)

2015-1-24 00:50

19.jpg (327.26 KB)

2015-1-24 00:50

20.jpg (313.84 KB)

2015-1-24 00:50

21.jpg (328.65 KB)

2015-1-24 00:50

22.jpg (317.41 KB)

2015-1-24 00:50

23.jpg (345.23 KB)

2015-1-24 00:50

绑定完成之后，Logout当前用户，使用域用户登录NetScaler。（注：使用域用户登录NetScaler的时候不要加域名，只需要用户名就可以）。

24.jpg (382.67 KB)

2015-1-24 00:50

今天就更新到这里，睡觉了。又突然想到一点，如果生产环境十分庞大拥有几十甚至上百台域控制器的话，最好建立LDAP的负载均衡器来简化NetScaler的LDAP身份验证过程。否则每个预控走一遍流程，完了还要对每个域控设置一个权重，是非常痛苦的一件事。而且如果活动目录的场景设有多个站点的情况下还需要NetScaler GSLB的参与来规范数据流本地访问相对于异地访问的优先级。
不说了，我自己都感觉越说越复杂了。GSLB功能可能需要另外开贴再聊了。

本文转自sandshell博客51CTO博客，原文链接http://blog.51cto.com/sandshell/1967613如需转载请自行联系原作者

sandshell