Все больше и больше сетевых администраторов используют сервер AD/LDAP для аутентификации клиентов для VPN или доступа в Интернет. Однако для разных структур AD или LDAP может потребоваться свой режим клиента LDAP. В этом документе описываются различия между упрощенным и обычным режимами, а также когда их следует использовать.
Когда использовать LDAP в упрощенном режиме?
Клиент LDAP в упрощенном режиме будет отправлять только запрос на привязку. Поэтому его можно использовать, когда все авторизованные пользователи находятся в одном CN или в одном OU. Учетная запись пользователя должна быть доступна непосредственно в CN или OU, как в приведенном ниже сценарии: Маршрутизатор Vigor — в этом случае клиент LDAP отправит запрос на привязку cn=vivian,ou=vpnusers,dc=draytek,dc=com напрямую.
Когда использовать LDAP в обычном режиме?
Клиент LDAP в обычном режиме сможет отправить поисковый запрос после успешной привязки с обычным DN и паролем. Таким образом, мы можем использовать этот режим, когда авторизованные пользователи находятся в одном CN или в одном OU, но пользователи находятся в разных суб-OU, как в сценарии ниже. Рабочий поток
Vigor Router, клиент LDAP, отправляет запрос Bind с обычным DN и паролем на сервер, и сервер отвечает Bind Success.
Маршрутизатор Vigor отправляет поисковый запрос, чтобы узнать, где находится пользователь vivian. ou=People,dc=draytek,dc=com
Сервер LDAP отвечает, что пользователь vivian найден и местоположение ou=RD1,ou=RD,ou=People,dc=draytek,dc=com
Маршрутизатор Vigor отправляет запрос cn=vivian,ou=RD1,ou=RD,ou=People,dc=draytek,dc=com на привязку, и сервер отвечает Bind Success
Когда использовать дополнительный фильтр или DN-группы?
Дополнительный фильтр или DN группы — это дополнительный фильтр. После bind → search → bindрабочего процесса Vigor снова выполнит поиск, когда настроено групповое DN или дополнительный фильтр. Это означает, что сервер должен найти пользователя в пути DN группы или в фильтре.