Citrix Gateway

Konfigurieren der LDAP-Authentifizierung

Sie können Citrix Gateway so konfigurieren, dass der Benutzerzugriff mit einem oder mehreren LDAP-Servern authentifiziert wird.

Die LDAP-Autorisierung erfordert identische Gruppennamen in Active Directory, auf dem LDAP-Server und auf Citrix Gateway. Die Zeichen und Groß-/Kleinschreibung müssen ebenfalls übereinstimmen.

Standardmäßig ist die LDAP-Authentifizierung mit Secure Sockets Layer (SSL) oder TLS (Transport Layer Security) sicher. Es gibt zwei Arten von sicheren LDAP-Verbindungen. Bei einem Typ akzeptiert der LDAP-Server die SSL- oder TLS-Verbindungen an einem Port, der von dem Port getrennt ist, den der LDAP-Server verwendet, um klare LDAP-Verbindungen zu akzeptieren. Nachdem Benutzer die SSL- oder TLS-Verbindungen hergestellt haben, kann LDAP-Datenverkehr über die Verbindung gesendet werden.

Die Portnummern für LDAP-Verbindungen lauten:

  • 389 für ungesicherte LDAP-Verbindungen
  • 636 für sichere LDAP-Verbindungen
  • 3268 für Microsoft unsichere LDAP-Verbindungen
  • 3269 für sichere Microsoft-LDAP-Verbindungen

Der zweite Typ sicherer LDAP-Verbindungen verwendet den Befehl StartTLS und verwendet die Portnummer 389. Wenn Sie die Portnummern 389 oder 3268 auf Citrix Gateway konfigurieren, versucht der Server, StartTLS zu verwenden, um die Verbindung herzustellen. Wenn Sie eine andere Portnummer verwenden, versucht der Server, Verbindungen mit SSL oder TLS herzustellen. Wenn der Server StartTLS, SSL oder TLS nicht verwenden kann, schlägt die Verbindung fehl.

Wenn Sie das Stammverzeichnis des LDAP-Servers angeben, durchsucht Citrix Gateway alle Unterverzeichnisse, um das Benutzerattribut zu finden. In großen Verzeichnissen kann sich dieser Ansatz auf die Leistung auswirken. Aus diesem Grund empfiehlt Citrix, eine bestimmte Organisationseinheit (OU) zu verwenden.

Die folgende Tabelle enthält Beispiele für Benutzerattributfelder für LDAP-Server:

LDAP-Server Benutzerattribut Groß-/Kleinschreibung beachten
Microsoft Active Directory-Server sAMAccountName Nein
Novell eDirectory ou Ja
IBM Directory Server uid Ja
Lotus Domino CN Ja
Sun ONE Verzeichnis (ehemals iPlanet) uid oder cn Ja

Diese Tabelle enthält Beispiele für den Basis-DN:

LDAP-Server Basis DN
Microsoft Active Directory-Server DC=citrix,DC=local
Novell eDirectory ou=users,ou=dev
IBM Directory Server cn=users
Lotus Domino OU=City,O=Citrix, C=US
Sun ONE Verzeichnis (ehemals iPlanet) ou=People,dc=citrix,dc=com

Die folgende Tabelle enthält Beispiele für Bind-DN:

LDAP-Server Bind DN
Microsoft Active Directory-Server CN=Administrator, CN=Users, DC=citrix, DC=local
Novell eDirectory cn=admin, o=citrix
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE Verzeichnis (ehemals iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

Hinweis: Weitere Informationen zu den LDAP-Servereinstellungen finden Sie unter Bestimmen von Attributen in Ihrem LDAP-Verzeichnis.

Konfigurieren der LDAP-Authentifizierung