配置 LDAP 身份验证

您可以将 Citrix 网关配置为对一个或多个 LDAP 服务器的用户访问进行身份验证。

LDAP 授权要求 Active Directory、LDAP 服务器和 Citrix Gateway 中的组名称相同。字符和大小写也必须匹配。

默认情况下,通过使用安全套接字层 (SSL) 或传输层安全性 (TLS),LDAP 身份验证是安全的。有两种类型的安全 LDAP 连接。对于一种类型,LDAP 服务器接受与 LDAP 服务器用于接受清除 LDAP 连接的端口分开的 SSL 或 TLS 连接。用户建立 SSL 或 TLS 连接后,可以通过连接发送 LDAP 流量。

LDAP 连接的端口号为:

  • 389 用于不安全的 LDAP 连接
  • 636 用于安全的 LDAP 连接
  • 3268 对于微软不安全的 LDAP 连接
  • 3269 用于微软安全的 LDAP 连接

第二种类型的安全 LDAP 连接使用 StarTTL 命令并使用端口号 389。如果在 Citrix 网关上配置端口号 389 或 3268,服务器将尝试使用 StarTTL 建立连接。如果您使用任何其他端口号,服务器将尝试使用 SSL 或 TLS 建立连接。如果服务器无法使用 StarTTL、SSL 或 TLS,则连接将失败。

如果指定 LDAP 服务器的根目录,Citrix Gateway 会搜索所有子目录以查找用户属性。在大型目录中,此方法可能会影响性能。因此,Citrix 建议您使用特定组织单位 (OU)。

下表包含 LDAP 服务器的用户属性字段示例:

LDAP 服务器 用户属性 区分大小写
Microsoft Active Directory 服务器 同一账户名称
诺维尔电子目录 OU
IBM 目录服务器 uid
莲花骨牌 CN
太阳一号目录(前身为我行星) uid 或 CN

此表包含基本 DN 的示例:

LDAP 服务器 基本 DN
Microsoft Active Directory 服务器 DC= 思杰,DC= 本地
诺维尔电子目录 用户 = 用户,用户 = 开发
IBM 目录服务器 cn= 用户
莲花骨牌 OU= 城市,O = 思杰,C=US
太阳一号目录(前身为我行星) OU= 人,DC= 思杰,DC=com

下表包含绑定 DN 的示例:

LDAP 服务器 绑定 DN
Microsoft Active Directory 服务器 CN= 管理员,CN = 用户,DC= 思杰,DC= 本地
诺维尔电子目录 CN= 管理员,O = 思杰
IBM 目录服务器 最低限度应用程序
莲花骨牌 CN= 注意管理员,O = 思杰,C = 美国
太阳一号目录(前身为我行星) uid= 管理员,OU = 管理员,OU = 拓扑管理,O = 网络管理

注意:有关 LDAP 服务器设置的更多信息,请参阅 确定 LDAP 目录中的属性

配置 LDAP 身份验证