ldap-options
语法
ldap-options {
revert-interval seconds;
base-distinguished-name base-distinguished-name;
search {
admin-search;
}
allowed-groups {
group-name {
address-assignment {
pool pool-name;
}
}
}
ldap-server {
ip address;
}
}
address-assignment {
pool pool-name1 {
family inet {
network 100.127.255.255/10;
xauth-attributes {
primary-dns 100.127.255.255/12;
secondary-dns 110.127.255.255/12;
primary-wins 100.127.255.255/12;
secondary-wins 110.127.255.255/12;
}
}
}
pool pool-name2 {
family inet {
network 120.127.255.255/10;
xauth-attributes {
primary-dns 120.127.255.255/12;
secondary-dns 130.127.255.255/12;
primary-wins 120.127.255.255/12;
secondary-wins 130.127.255.255/12;
}
}
}
}
firewall-authentication {
web-authentication {
default-profile default-profile-name;
}
}
层次结构级别
[edit access], [edit access profile profile-name authentication-order ldap]
描述
配置 LDAP 身份验证选项。
您可以使用 命令为经过 ldap-options 用户认证的用户组配置用户组。您可以根据分配角色的用户的 LDAP 成员身份来认证他们。属性 allowed-groups 根据用户的组成员身份对分配的用户进行身份验证。如果没有用户组与用户组匹配,则用户无法访问系统。
按配置从 LDAP 服务器查询成员特征。防火墙认证后,可通过与经认证的组关联的池为用户分配 IP 地址。
选项
| 允许的组 | 仅允许特定组的成员登录。组列表限制为 255 字节。 从 LDAP 服务器接收成员属性的顺序决定了用户如何与已配置(允许)组相关联。要匹配用户,使用从 LDAP 服务器收到的列表中第一个组,匹配任何配置的组。 作为多个组的成员的任何用户都可以从任一组获取资源,具体取决于 LDAP 服务器的响应顺序。要确保用户有把握地分配预期的资源,建议用户仅属于一个组。 |
| 组名称 | 应该允许的组的名称。 |
| 名字 | 地址池名称 |
其余选项单独讲解。在 CLI Explorer 中搜索语句,或单击"语法"部分中的链接语句了解详细信息。
所需的权限级别
访问 — 在配置中查看此语句。
访问控制 — 要将此语句添加至配置中。
发布信息
在版本 8.5 中引入的Junos OS。
allowed-groups 选项(在版本 21.4R1 中Junos OS)。