身份验证
管理员可以通过以下三种方式之一对 NorthStar 用户进行身份验证:本地身份验证、针对 LDAP 服务器的 LDAP 身份验证,或者从 NorthStar 控制器 版 5.1.0 开始,RADIUS (RADIUS) 身份验证。要配置用户身份验证,请从“管理”菜单中选择Authentication,然后选择一种身份验证方法。
LDAP 和 RADIUS 身份验证用户:
-
可以保存用户首选项,例如时区和日期/时间格式。
-
无法更改他们的密码。
-
密码不能被他人更改。
Local authentication—(默认)用户信息存储在本地数据库中。
User authentication against an LDAP server— 使用外部 LDAP 服务器(而非默认本地身份验证)对用户进行身份验证。这样就能实现内部身份验证。客户端向 NorthStar 控制器发送身份验证请求,后者将其转发至外部 LDAP 服务器。LDAP 服务器接受请求后,NorthStar 将查询用户配置文件以进行授权,并将响应发送至客户端。
图 1 显示了选中 LDAP 服务器选项的 Authentication Settings 页面。表 1 中介绍了这些字段。
| 字段 |
描述 |
|---|---|
| 安全性级别 |
必填。使用下拉菜单选择 SSL 或 None。 |
| 服务器主机 |
必填。服务器主机的名称。例如:ldap.hostname.com。 |
| 服务器端口 |
必填。端口号介于 1 到 65000 之间。LDAP 的默认端口为 636。 |
| 基准 DN |
基本可分辨名称 (DN)。LDAP 搜索的根树。例如:dc=company,dc=com。 |
| 用户搜索库 |
LDAP 的子树搜索特定用户。例如:ou=people,dc=company,dc=com。如果未设置此字段,LDAP 身份验证模块将从基本 DN 进行搜索。 |
| 用户搜索过滤器 |
用于搜索用户的属性。如果未指定,则使用“cn”。某些 Active Directory 服务器可能会使用“sAMAccountName”。如果不支持 “cn”,则某些 OpenLDAP 服务器使用 “uid”。 |
| 集团搜索基础 |
(占位符供将来使用) |
| 组搜索过滤器 |
(占位符供将来使用) |
| 组成员资格属性 |
用户记录中用于提取组成员身份的属性。在 Active Directory 服务器上使用“memberOf”,对 OpenLDAP 服务器使用“member”。 |
| DN 经理 |
LDAP 帐户(完整 DN),用于查询用户记录以进行密码验证和组关联。当服务器未配置匿名绑定(无密码查询)时使用。 |
| 管理器密码 |
在管理器 DN 字段中指定的用户的密码。 |
| 服务器证书验证 |
单击该复选框以指示要验证服务器的证书。 |
| 用户组映射 |
LDAP 用户组映射到 NorthStar 用户组,管理员用户可以对其进行定义并自定义其权限。 |
单击 Test Connection 以尝试与 LDAP 服务器进行连接。如果填充了管理器 DN 和管理器密码字段,系统还会尝试运行绑定命令来测试管理器凭证。单击 Save 以完成配置。单击 Reload 以放弃未保存的更改并返回服务器设置。
RADIUS 身份验证 — 您可以指定使用 RADIUS 服务器对用户进行身份验证。NorthStar 服务器向 RADIUS 服务器发送身份验证请求;RADIUS 服务器将对请求进行身份验证或拒绝。与此选项关联的设置必须与 RADIUS 服务器配置一致。
图 2 显示了RADIUS身份验证的身份验证设置。表 2 中介绍了这些字段。
| 字段 |
描述 |
|---|---|
| 服务器主机 |
必填。RADIUS 服务器的 IP 地址。 |
| 服务器端口 |
必填。端口号介于 1 到 65000 之间。RADIUS 的默认端口为 1812。 |
| 共享密钥 |
必填。仅 RADIUS 服务器和 RADIUS 客户端知道的字符串。用于保护通信。 |
RADIUS 中未定义组成员资格。经过 RADIUS 身份验证的新用户会自动放置在名为“radius”的默认组中,如果尚不存在,则使用仅查看权限创建该组。管理员用户可以修改 RADIUS 组的权限,并可将 RADIUS 组成员移动到其他组中。