雷池 WAF 支持通过 LDAP(轻量级目录访问协议)协议,实现与企业现有的目录服务集成,让用户使用现有的企业账号安全登录应用或网站。支持的 LDAP 服务包括但不限于 Microsoft Active Directory、OpenLDAP、Apache Directory 等。
LDAP(Lightweight Directory Access Protocol)是一种用于访问和维护分布式目录信息服务的应用协议。它常被用作单点登录的基础架构,允许用户使用单一凭证访问多个系统。LDAP 目录通常用于存储用户信息、组织结构、权限设置等数据。
在雷池WAF控制台中,导航到「身份认证」→「配置」。
点击「第三方登录配置」按钮,选择「LDAP」类型。
填写以下参数:
配置无误后,点击「保存」按钮完成 LDAP 身份源配置。
格式为ldap://主机名:端口或ldaps://主机名:端口(使用SSL)。
ldap://ldap.example.com:389(标准连接)ldaps://ldap.example.com:636(SSL加密连接)ldap://192.168.1.100:389(使用IP地址)用于绑定到 LDAP 服务器的账号,该账号需要有足够权限查询用户信息。
cn=Administrator,cn=Users,dc=domain,dc=comcn=admin,dc=example,dc=com建议使用只读权限的专用服务账号,而不是管理员账号。
Bind DN 账号的密码。
指定从哪个节点开始搜索用户,这会影响性能和搜索范围。
cn=Users,dc=domain,dc=comou=People,dc=example,dc=com用于匹配 LDAP 目录中的用户条目的过滤表达式,支持使用%s作为用户输入的用户名占位符。
(&(objectClass=person)(uid=%s))
(&(objectClass=user)(sAMAccountName=%s))(&(objectClass=inetOrgPerson)(uid=%s))LDAP 服务器 URL: ldap://ad.company.com:389
Bind DN: cn=LDAPService,cn=Users,dc=company,dc=com
Bind 密码: (服务账号密码)
用户 baseDN: cn=Users,dc=company,dc=com
查询条件: (&(objectClass=user)(sAMAccountName=%s))
LDAP 服务器 URL: ldap://openldap.company.com:389
Bind DN: cn=admin,dc=company,dc=com
Bind 密码: (管理员密码)
用户 baseDN: ou=People,dc=company,dc=com
查询条件: (&(objectClass=person)(uid=%s))
LDAP 服务器 URL: ldap://ipa.company.com:389
Bind DN: uid=admin,cn=users,cn=accounts,dc=company,dc=com
Bind 密码: (管理员密码)
用户 baseDN: cn=users,cn=accounts,dc=company,dc=com
查询条件: (&(objectClass=person)(uid=%s))
应用开启「身份认证」功能并选择 LDAP 登录方式后:
在「身份认证」→「用户管理」页面,您可以:
如果您希望用户只需认证一次就可以访问多个应用,可以配置统一认证:
A: 如果连接成功但用户无法登录,请检查:
%s占位符使用正确A: 如果 LDAP 连接失败,请检查:
A: %s 是一个占位符,会在用户登录时自动替换为用户输入的用户名。例如,用户输入"john",搜索条件(&(objectClass=person)(uid=%s))会变为(&(objectClass=person)(uid=john))。
A: 您可以在查询条件中添加组成员资格条件,例如:(&(objectClass=user)(sAMAccountName=%s)(memberOf=CN=AllowedGroup,OU=Groups,DC=company,DC=com))
A: LDAP 查询条件使用前缀表示法,确保括号匹配,并检查 attribute=value 语法。可以使用在线 LDAP 过滤器语法检查工具进行验证。