Cisco Cisco Web Security Appliance S170 사용자 가이드
5-15
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
身份验证领域
创建一个 LDAP 身份验证领域
准备工作
•
获取组织中有关 LDAP 的下述信息:
–
LDAP 版本
–
服务器地址
–
LDAP 端口
•
如果安全管理设备托管网络安全设备,请确保不同网络安全设备上相同名称的身份验证领域
在每个设备上都有一致的已定义属性。
在每个设备上都有一致的已定义属性。
步骤 1
选择网络 (Network) > 身份验证 (Authentication)。
步骤 2
点击添加领域 (Add Realm)。
步骤 3
为身份验证领域分配一个唯一的名称,只可包含字母数字及空格字符。
步骤 4
在 “身份验证协议和方案” (Authentication Protocol and Scheme[s]) 字段中选择 LDAP。
步骤 5
输入 LDAP 身份验证设置:
设置
说明
LDAP 版本
(LDAP Version)
(LDAP Version)
选择 LDAP 版本,并选择是否使用安全 LDAP。
设备支持 LDAP 版本 2 和版本 3。安全 LDAP 需要 LDAP 版本 3。
选择此 LDAP 服务器是否支持 Novell eDirectory 以配合透明用户识别
使用。
使用。
LDAP 服务器
(LDAP Server)
(LDAP Server)
输入 LDAP 服务器的 IP 地址或主机名及其端口号。最多可指定 3 个服
务器。
务器。
主机名必须是完全限定域名。例如
ldap.example.com
。只有在设备配置的
DNS 服务器无法解析 LDAP 服务器主机名的情况下,才需要 IP 地址。
标准 LDAP 的默认端口号为 389。安全 LDAP 的默认端口号为 636。
如果 LDAP 服务器为 Active Directory 服务器,请在此输入主机名或 IP
地址,以及域控制器的端口。请尽可能输入全局目录服务器的名称并使用
3268 端口。但是,如果全局目录服务器物理距离远并且您只需要对本地
域控制器上的用户进行身份验证时,您可能想要使用本地域控制器。
地址,以及域控制器的端口。请尽可能输入全局目录服务器的名称并使用
3268 端口。但是,如果全局目录服务器物理距离远并且您只需要对本地
域控制器上的用户进行身份验证时,您可能想要使用本地域控制器。
注意:领域中配置多个验证服务器时,在该领域内事务授权失败之前,设
备最多会尝试使用 3 个身份验证服务器进行授权。
备最多会尝试使用 3 个身份验证服务器进行授权。
LDAP 持久性连接
(LDAP Persistent
Connections)
(LDAP Persistent
Connections)
(在 “高级”
[Advanced] 部分下)
选择下述某值:
•
使用持久性连接 (无限制) (Use persistent connections [unlimited])。
使用现有连接。如无连接可用,则打开新连接。
使用现有连接。如无连接可用,则打开新连接。
•
使用持久性连接 (Use persistent connections)。使用现有连接来满足指
定请求的数量。达到最大值时,则建立与 LDAP 服务器的新连接。
定请求的数量。达到最大值时,则建立与 LDAP 服务器的新连接。
•
不使用持久性连接 (Do not use persistent connections)。始终创建与
LDAP 服务器的新连接。
LDAP 服务器的新连接。