ldap-options
语法
ldap-options {
revert-interval seconds;
base-distinguished-name base-distinguished-name;
search {
admin-search;
}
allowed-groups {
group-name {
address-assignment {
pool pool-name;
}
}
}
ldap-server {
ip address;
}
}
address-assignment {
pool pool-name1 {
family inet {
network 100.127.255.255/10;
xauth-attributes {
primary-dns 100.127.255.255/12;
secondary-dns 110.127.255.255/12;
primary-wins 100.127.255.255/12;
secondary-wins 110.127.255.255/12;
}
}
}
pool pool-name2 {
family inet {
network 120.127.255.255/10;
xauth-attributes {
primary-dns 120.127.255.255/12;
secondary-dns 130.127.255.255/12;
primary-wins 120.127.255.255/12;
secondary-wins 130.127.255.255/12;
}
}
}
}
firewall-authentication {
web-authentication {
default-profile default-profile-name;
}
}
层次结构级别
[edit access], [edit access profile profile-name authentication-order ldap]
描述
配置 LDAP 身份验证选项。
您可以使用命令为 ldap-options 经过用户身份验证的用户组配置用户组。您可以根据用户的 LDAP 组成员身份对分配了角色的用户进行身份验证。该 allowed-groups 属性对根据其组成员身份分配的用户进行身份验证。如果没有任何用户组与用户组匹配,则该用户无法访问系统。
根据配置从 LDAP 服务器查询成员特征。防火墙身份验证后,可以从与经过身份验证的组关联的池中为用户分配 IP 地址。
选项
| allowed-groups | 仅允许特定群组的成员登录。组列表限制为 255 个字节。 从 LDAP 服务器接收成员资格属性的顺序决定了用户如何与已配置(允许)组相关联。要匹配用户,将使用从 LDAP 服务器接收的列表中与任何已配置组匹配的第一个组。 属于多个组的任何用户都可以从任一组获取资源,具体取决于 LDAP 服务器的响应顺序。为了确保确定地为用户分配了预期的资源,建议该用户仅属于一个组。 |
| group-name | 应允许的组的名称。 |
| name | 地址池名称 |
其余选项将单独说明。有关详细信息,请在 CLI 资源管理器 中搜索语句,或单击语法部分中的链接语句。
所需权限级别
access - 在配置中查看此语句。
访问控制 - 将此语句添加到配置中。
发布信息
Junos OS 8.5 版中引入的语句。
allowed-groups Junos OS 21.4R1 版中引入的选项。