启用 LDAP 服务器验证

单击页面右上角的 。

单击 LDAP，然后选择启用用于验证的 LDAP。

在 LDAP 服务器主机名字段中，键入执行验证的 LDAP 服务器的 IP 地址或主机名。

注意：  如果要在 MVE 服务器和 LDAP 服务器之间使用加密通信，请使用完全合格域名 (FQDN)。

根据选择的加密协议，指定服务器端口号。

选择加密协议。

• 无
• TLS - 一种使用数据加密和证书验证来保护服务器和客户端之间通信的安全协议。如果选择了此选项，则在建立连接后会向 LDAP 服务器发送 START_TLS 命令。如果希望通过端口 389 进行安全通信，请使用此设置。
• SSL/TLS - 一种使用公钥加密来验证服务器和客户端之间通信的安全协议。如果希望从 LDAP 绑定一开始就进行安全通信，请使用此选项。此选项通常用于端口 636 或其他安全 LDAP 端口。

选择绑定类型。

• 简单 - MVE 服务器为 LDAP 服务器生成指定的凭证，以便使用 LDAP 服务器查找工具。


1. 键入绑定用户名。



2. 键入绑定密码，然后确认密码。

• Kerberos - 要配置设置，请执行以下操作：


1. 键入绑定用户名。



2. 键入绑定密码，然后确认密码。



3. 单击选择文件，然后浏览至 krb5.conf 文件。

• SPNEGO - 要配置设置，请执行以下操作：


1. 键入服务主体名称。



2. 单击选择文件，然后浏览至 krb5.conf 文件。



3. 单击选择文件，然后浏览至 Kerberos 密钥表文件。

• 此选项仅用于配置“简单”和“受保护的 GSSAPI 协商机制 (SPNEGO)”以支持“单点登录”功能。

在高级选项部分中，配置以下内容：

• 搜索库 - 根节点的基本专有名称 (DN)。在 LDAP 社区服务器层次结构中，此节点必须是用户节点和组节点的祖先节点。例如，dc=mvetest,dc=com。

注意：  指定根 DN 时，请确保根 DN 仅包含 dc 和 o。如果 ou 或 cn 是用户节点和组节点的祖先节点，则在用户和组搜索库中使用 ou 或 cn。

• 用户搜索库 - LDAP 社区服务器中用户对象所在的节点。此节点位于用于列出所有用户节点的根 DN 下。例如，ou=people。
• 用户搜索筛选器 - 用于在 LDAP 社区服务器中查找用户对象的参数。例如，(uid={0})。

允许有多个条件和复杂表达式的示例

登录凭证	在用户搜索筛选器字段中，键入
常用名	(CN={0})
登录名	(sAMAccountName={0})
用户主体名称	(userPrincipalName={0})
电话号码	(telephoneNumber={0})
登录名或常用名	(|(sAMAccountName={0})(CN={0}))

注意：  唯一有效的模式是 {0}，这意味着 MVE 将搜索 MVE 用户登录名。

• 搜索用户库对象和整个子树 - 系统搜索用户搜索库下的所有节点。
• 组搜索库 - LDAP 社区服务器中包含与 MVE 角色对应的用户组的节点。此节点位于用于列出所有组节点的根 DN 下。例如，ou=group。
• 组搜索筛选器 - 用于在与 MVE 中的角色对应的组中查找用户的参数。

注意：  只能使用 {0} 和 {1} 模式。如果使用了 {0}，则 MVE 将搜索 LDAP 用户 DN。如果使用了 {1}，则 MVE 将搜索 MVE 用户登录名。

• 组角色属性 - 键入组全名的 LDAP 属性。LDAP 属性具有特定含义并定义属性与字段名之间的映射。例如，LDAP 属性 cn 与全名字段相关联。LDAP 属性 commonname 也映射到全名字段。通常，该属性必须保留为默认值 cn。
• 搜索用户库对象和整个子树 - 系统搜索组搜索库下的所有节点。

在 LDAP 组到 MVE 角色映射部分中，键入与 MVE 角色对应的 LDAP 组的名称。

注意：

• 如需更多信息，请参阅理解用户角色。
• 您可以将一个 LDAP 组分配给多个 MVE 角色。您还可以在角色字段中键入多个 LDAP 组，使用竖线字符 (|) 分隔多个组。例如，要为管理员角色包含 admin 和 assets 组，请在管理员角色的 LDAP 组字段中键入 admin|assets。
• 如果只想使用管理员角色，而不使用其他 MVE 角色，请将这些字段留空。

单击保存更改。