Citrix Gateway

配置 LDAP 身份验证

您可以将 Citrix Gateway 配置为对一个或多个 LDAP 服务器的用户访问进行身份验证。

LDAP 授权要求 Active Directory、LDAP 服务器和 Citrix Gateway 中的组名称相同。字符和大小写也必须匹配。

默认情况下,通过使用安全套接字层 (SSL) 或传输层安全性 (TLS),LDAP 身份验证是安全的。有两种类型的安全 LDAP 连接。对于一种类型,LDAP 服务器接受与 LDAP 服务器用于接受清除 LDAP 连接的端口分开的 SSL 或 TLS 连接。用户建立 SSL 或 TLS 连接后,可以通过连接发送 LDAP 流量。

LDAP 连接的端口号为:

  • 389 用于不安全的 LDAP 连接
  • 636 用于安全的 LDAP 连接
  • 3268 用于 Microsoft 不安全的 LDAP 连接
  • 3269 用于 Microsoft 安全的 LDAP 连接

第二种类型的安全 LDAP 连接使用 StartTLS 命令并使用端口号 389。如果在 Citrix Gateway 上配置端口号 389 或 3268,服务器将尝试使用 StartTLS 建立连接。如果您使用任何其他端口号,服务器将尝试使用 SSL 或 TLS 建立连接。如果服务器无法使用 StartTLS、SSL 或 TLS,则连接将失败。

如果指定 LDAP 服务器的根目录,Citrix Gateway 会搜索所有子目录以查找用户属性。在大型目录中,此方法可能会影响性能。因此,Citrix 建议您使用特定组织单位 (OU)。

下表包含 LDAP 服务器的用户属性字段示例:

LDAP 服务器 用户属性 区分大小写
Microsoft Active Directory 服务器 sAMAccountName
Novell eDirectory ou
IBM Directory Server uid
Lotus Domino CN
Sun ONE 目录(前身为 iPlanet) uid 或 cn

此表包含基本 DN 的示例:

LDAP 服务器 基本 DN
Microsoft Active Directory 服务器 DC=citrix,DC=local
Novell eDirectory ou=users,ou=dev
IBM Directory Server cn=users
Lotus Domino OU=City,O=Citrix, C=US
Sun ONE 目录(前身为 iPlanet) ou=People,dc=citrix,dc=com

下表包含绑定 DN 的示例:

LDAP 服务器 绑定 DN
Microsoft Active Directory 服务器 CN=Administrator, CN=Users, DC=citrix, DC=local
Novell eDirectory cn=admin, o=citrix
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE 目录(前身为 iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

注意:有关 LDAP 服务器设置的更多信息,请参阅 确定 LDAP 目录中的属性

配置 LDAP 身份验证

在本文中