防火墙配置AD服务器模板时如何确定各参数值的配置案例

发布时间:  2014-04-28 浏览次数:  391 下载次数:  9
问题描述
在防火墙上使用AD认证功能,配置AD服务器模板时,不知道各字段在AD服务器上的对于关系以及属性值。
告警信息
处理过程
防火墙上AD服务器配置模板如下:


(1)上图中,左边的“服务器信息”配置比较简单,就是填写所连接的服务器的IP地址和服务器的计算机名称,端口默认为88,不用修改。

(2)主要是右边“基本信息”中的各个参数很容易配置错误,或者不知道怎么配置。而在AD服务器上AD组织结构中无法直接看到各种配置示例中的属性值,所以也很容易导致配置错误,如下:


所以如果对AD目录结构的相关知识不了解的话,的确很难准确的完成配置。给大家介绍一个工具软件,可以准确的查看AD目录中各成员的属性值等。在AD服务器上安装LDAP browser这个软件,进行简单的配置后,就能够看到AD服务器的结构和成员的属性值,如下:


如上图所示,域控test对应的DN(distinguishedName)值为:DC=ebg,DC=gtac,DC=com.当使用整个域控做为Base DN时,此时看到的这个属性值就是需要填写到Base DN中的参数值。

下面再具体介绍下“基本信息”中的各参数的具体含义及配置:

Base DN/Port DN:该参数是指在AD服务器上AD域控的DN,或者域控中的某个目录的DN。参数值配置为对于目录的distinguishedName属性值(可以通过LDAP browser查看,如上图所示)。

用户过滤字段:该参数是指用户名使用的是用户的什么属性值,用户有如cn,sn,SAMAccountName等很多属性。AD服务器一般默认使用SAMAccountName属性。也就是说用户名就是某个用户的SAMAccountName的属性值。如下图所示:


组过滤字段:该参数指的是组的属性值,一般为OU,不需要修改,也可以是CN。

管理员DN:该参数指的是管理员的全名,也就是填写AD服务器上管理员账号的distinguishedName属性值。以上图的域控为例,Administrator是管理员账号,他的distinguishedName值为:CN=Administrator,CN=Users,DC=ebg,DC=gtac,DC=com 如下图所示:


所以“管理员DN”参数就应该填写:CN=Administrator,CN=Users,DC=ebg,DC=gtac,DC=com。需要注意当填写管理员全名时,不能勾选下面的“附带Base DN”选项。

管理员密码:就是配置所填AD服务器管理员账号的密码。

管理员绑定属性:该参数是指管理员账号是否需要绑定Base DN值。如果“管理员DN”配置了全名,就不需要勾选此选项。当“管理员DN”中填写的参数值不包含Base DN时,需要勾选此参数。如当“管理员DN”填写为:CN=Administrator,CN=Users时,就需要勾选“附带Base DN”选项。
根因
很多用户和同事对AD服务器的组织结构和账号的各种属性不是很熟悉,导致在配置防火墙上的AD服务器模板时不知道如何填写正确的配置参数,于是特别撰写了本文档,以帮助大家完成AD服务器模板相关参数的配置。
建议与总结
配置AD服务器模板需要对AD活动目录相关知识有一定的了解,这样各参数的配置,调整会更加灵活,解决方案也更加丰富。

END