ldap-options
语法
ldap-options { revert-interval seconds; base-distinguished-name base-distinguished-name; search { admin-search; } allowed-groups { group-name { address-assignment { pool pool-name; } } } ldap-server { ip address; } } address-assignment { pool pool-name1 { family inet { network 100.127.255.255/10; xauth-attributes { primary-dns 100.127.255.255/12; secondary-dns 110.127.255.255/12; primary-wins 100.127.255.255/12; secondary-wins 110.127.255.255/12; } } } pool pool-name2 { family inet { network 120.127.255.255/10; xauth-attributes { primary-dns 120.127.255.255/12; secondary-dns 130.127.255.255/12; primary-wins 120.127.255.255/12; secondary-wins 130.127.255.255/12; } } } } firewall-authentication { web-authentication { default-profile default-profile-name; } }
层次结构级别
[edit access], [edit access profile profile-name authentication-order ldap]
描述
配置 LDAP 身份验证选项。
您可以使用命令为 ldap-options
经过用户身份验证的用户组配置用户组。您可以根据用户的 LDAP 组成员身份对分配了角色的用户进行身份验证。该 allowed-groups
属性对根据其组成员身份分配的用户进行身份验证。如果没有任何用户组与用户组匹配,则该用户无法访问系统。
根据配置从 LDAP 服务器查询成员特征。防火墙身份验证后,可以从与经过身份验证的组关联的池中为用户分配 IP 地址。
选项
allowed-groups | 仅允许特定群组的成员登录。组列表限制为 255 个字节。 从 LDAP 服务器接收成员资格属性的顺序决定了用户如何与已配置(允许)组相关联。要匹配用户,将使用从 LDAP 服务器接收的列表中与任何已配置组匹配的第一个组。 属于多个组的任何用户都可以从任一组获取资源,具体取决于 LDAP 服务器的响应顺序。为了确保确定地为用户分配了预期的资源,建议该用户仅属于一个组。 |
group-name | 应允许的组的名称。 |
name | 地址池名称 |
其余选项将单独说明。有关详细信息,请在 CLI 资源管理器 中搜索语句,或单击语法部分中的链接语句。
所需权限级别
access - 在配置中查看此语句。
访问控制 - 将此语句添加到配置中。
发布信息
Junos OS 8.5 版中引入的语句。
allowed-groups
Junos OS 21.4R1 版中引入的选项。