认证
管理员可以通过以下三种方式之一对 NorthStar 用户进行身份验证:本地身份验证、针对 LDAP 服务器的 LDAP 身份验证,或者从 NorthStar 控制器版本 5.1.0 开始,远程身份验证拨入用户服务 (RADIUS) 身份验证。要配置用户身份验证,请 Authentication 从 “管理 ”菜单中选择一种身份验证方法。
经过 LDAP 和 RADIUS 身份验证的用户:
可以保存用户首选项,例如时区和日期/时间格式。
无法更改其密码。
不能让其他人更改其密码。
Local authentication—(默认值)用户信息存储在本地数据库中。
User authentication against an LDAP server- 使用外部 LDAP 服务器而不是默认本地身份验证对用户进行身份验证。这将启用内部身份验证。客户端向 NorthStar 控制器发送身份验证请求,后者将其转发到外部 LDAP 服务器。LDAP 服务器接受请求后,NorthStar 将查询用户配置文件的授权并将响应发送到客户端。
图 1 显示了选中 LDAP 服务器选项的“身份验证设置”页面。 表 1 中描述了这些字段。
领域 |
描述 |
|---|---|
安全级别 |
必填。使用下拉菜单选择 SSL 或无。 |
服务器主机 |
必填。服务器主机的名称。例如:ldap.hostname.com。 |
服务器端口 |
必填。端口号介于 1 和 65000 之间。LDAP 的默认端口为 636。 |
基本 DN |
基本可分辨名称 (DN)。LDAP 搜索的根树。例如:dc=company,dc=com。 |
用户搜索库 |
LDAP 的子树搜索特定用户。例如:ou=people,dc=company,dc=com。如果未设置此字段,LDAP 认证模块将从基本 DN 进行搜索。 |
用户搜索过滤器 |
用于搜索用户的属性。如果未指定,则使用“cn”。某些 Active Directory 服务器可能使用“sAMAccountName”。如果不支持“cn”,某些 OpenLDAP 服务器将使用“uid”。 |
组搜索库 |
(占位符供将来使用) |
组搜索筛选器 |
(占位符供将来使用) |
组成员身份属性 |
用户记录中用于提取组成员身份的属性。在 Active Directory 服务器上使用 “memberOf”,在 OpenLDAP 服务器上使用 “member”。 |
DN 经理 |
LDAP 帐户(完整 DN),用于查询用户记录以进行密码验证和组关联。当服务器未配置匿名绑定(无密码查询)时使用。 |
经理密码 |
在管理器 DN 字段中指定的用户的密码。 |
服务器证书验证 |
单击该复选框以指示要验证服务器的证书。 |
用户组映射 |
LDAP 用户组映射到 NorthStar 用户组,管理员用户可以定义这些用户组并自定义其权限。 |
单击以 Test Connection 尝试与 LDAP 服务器建立连接。如果填充了“管理器 DN”和“管理器密码”字段,系统还会尝试运行绑定命令来测试管理器凭据。单击以 Save 完成配置。单击 Reload 此项可放弃未保存的更改并返回到服务器设置。
RADIUS 身份验证- 您可以指定使用 RADIUS 服务器对用户进行身份验证。NorthStar 服务器向 RADIUS 服务器发送身份验证请求;RADIUS 服务器对请求进行身份验证或拒绝。与此选项关联的设置必须与 RADIUS 服务器配置一致。
图 2 显示了 RADIUS 身份验证的身份验证设置。 表 2 中描述了这些字段。
领域 |
描述 |
|---|---|
服务器主机 |
必填。RADIUS 服务器的 IP 地址。 |
服务器端口 |
必填。端口号介于 1 和 65000 之间。RADIUS 的默认端口为 1812。 |
共享密钥 |
必填。只有 RADIUS 服务器和 RADIUS 客户端知道的字符串。用于保护通信。 |
组成员身份未在 RADIUS 中定义。经过 RADIUS 身份验证的新用户会自动放置在名为“RADIUS”的默认组中,如果该组尚不存在,则会使用仅查看权限创建该组。管理员用户可以修改 RADIUS 群组的权限,也可以将 RADIUS 群组成员移入其他群组。