zhiliao1111,LDAP认证流程是啥样的
问题描述:
LDAP认证流程是啥样的
组网及组网描述:
LDAP认证流程是啥样的
6小时前提问 LDAP(Lightweight Directory Access Protocol)是一种轻量级的目录访问协议,它是一种树状结构的组织数据,可以存储用户和组织信息123。 LDAP认证流程是通过绑定操作完成的,它遵循客户端/服务器模型。通常,客户端是用户访问的支持LDAP协议的系统或应用,服务器是LDAP目录数据库1。 要进行LDAP认证,客户端会向LDAP服务器发送绑定请求,以及用户的标识符(DN)和密码。LDAP服务器会验证用户的身份,并返回绑定结果。如果绑定成功,客户端就可以访问LDAP服务器上的数据1。 LDAP认证可以实现单点登录的功能,即用户只在公司计算机上登录一次后,便可以自动在公司内部网上登录。这样可以提高用户的便利性和安全性23。希望这些信息对你有帮助。
1: https://zhuanlan.zhihu.com/p/62
6小时前回答暂无
https://www.h3c.com/cn/d_
6小时前回答暂无
2. 使用LDAP协议进行认证和授权
AAA可以使用LDAP协议对用户提供认证和授权服务。LDAP协议中定义了多种操作来实现LDAP的各种功能,用于认证和授权的操作主要为绑定和查询。
· 绑定操作的作用有两个:一是与LDAP服务器建立连接并获取LDAP服务器的访问权限。二是用于检查用户信息的合法性。
· 查询操作就是构造查询条件,并获取LDAP服务器的目录资源信息的过程。
使用LDAP协议进行认证时,其基本的工作流程如下:
LDAP客户端使用LDAP服务器管理员DN与LDAP服务器进行绑定,与LDAP服务器建立连接并获得查询权限。
LDAP客户端使用认证信息中的用户名构造查询条件,在LDAP服务器指定根目录下查询此用户,得到用户的DN。
LDAP客户端使用用户DN和用户密码与LDAP服务器进行绑定,检查用户密码是否正确。
使用LDAP协议进行授权的过程与认证过程相似,首先必须通过与LDAP服务器进行绑定,建立与服务器的连接,然后在此连接的基础上通过查询操作得到用户的授权信息。与认证过程稍有不同的是,授权过程不仅仅会查询用户DN,还会同时查询相应的LDAP授权信息。
3. LDAP认证的基本消息交互流程
下面以Telnet用户登录设备为例,说明如何使用LDAP认证服务器来对用户进行认证。用户的LDAP认证基本消息交互流程如图1-7所示。
图1-7 LDAP认证的基本消息交互流程
基本消息交互流程如下:
用户发起连接请求,向LDAP客户端发送用户名和密码。
LDAP客户端收到请求之后,与LDAP服务器建立TCP连接。
LDAP客户端以管理员DN和管理员DN密码为参数向LDAP服务器发送管理员绑定请求报文(Administrator Bind Request)获得查询权限。
(4) LDAP服务器进行绑定请求报文的处理。如果绑定成功,则向LDAP客户端发送绑定成功的回应报文。
(5) LDAP客户端以输入的用户名为参数,向LDAP服务器发送用户DN查询请求报文(User DN Search Request)。
(6) LDAP服务器收到查询请求报文后,根据报文中的查询起始地址、查询范围、以及过滤条件,对用户DN进行查找。如果查询成功,则向LDAP客户端发送查询成功的回应报文。查询得到的用户DN可以是一或多个。
(7) LDAP客户端以查询得到的用户DN和用户输入的密码为参数,向LDAP服务器发送用户DN绑定请求报文(User DN Bind Request),检查用户密码是否正确。
(8) LDAP服务器进行绑定请求报文的处理。
¡ 如果绑定成功,则向LDAP客户端发送绑定成功的回应报文。
¡ 如果绑定失败,则向LDAP客户端发送绑定失败的回应报文。LDAP客户端以下一个查询到的用户DN(如果存在的话)为参数,继续向服务器发送绑定请求,直至有一个DN绑定成功,或者所有DN均绑定失败。如果所有用户DN都绑定失败,则LDAP客户端通知用户登录失败并拒绝用户接入。
(9) LDAP客户端保存绑定成功的用户DN,并进行授权处理。如果设备采用LDAP授权方案,则进行图1-8所示的用户授权交互流程;如果设备采用非LDAP的授权方案,则执行其它协议的授权处理流程,此处略。
(10) 授权成功之后,LDAP客户端通知用户登录成功。
4. LDAP授权的基本消息交互流程
下面以Telnet用户登录设备为例,说明如何使用LDAP服务器来对用户进行授权。用户的LDAP授权基本消息交互流程如图1-8所示。
图1-8 LDAP授权的基本消息交互流程
用户发起连接请求,向LDAP客户端发送用户名和密码。
LDAP客户端收到请求之后,进行认证处理。如果设备采用LDAP认证方案,则按照图1-7所示进行LDAP认证。LDAP认证流程完成之后,如果已经和该LDAP授权服务器建立了绑定关系,则直接转到步骤(6),否则转到步骤(4);如果设备采用非LDAP认证方案,则执行其它协议的认证处理流程,之后转到步骤(3)。
LDAP客户端与LDAP服务器建立TCP连接。
(4) LDAP客户端以管理员DN和管理员DN密码为参数向LDAP服务器发送管理员绑定请求报文(Administrator Bind Request)获得查询权限。
(5) LDAP服务器进行绑定请求报文的处理。如果绑定成功,则向LDAP客户端发送绑定成功的回应报文。
(6) LDAP客户端以输入的用户名为参数(如果用户认证使用的是相同LDAP服务器,则以保存的绑定成功的用户DN为参数),向LDAP服务器发送授权查询请求报文。
(7) LDAP服务器收到查询请求报文后,根据报文中的查询起始地址、查询范围、过滤条件以及LDAP客户端关心的LDAP属性,对用户信息进行查找。如果查询成功,则向LDAP客户端发送查询成功的回应报文。
(8) 授权成功后,LDAP客户端通知用户登录成功。
1.1.6 基于域的用户管理
NAS对用户的管理是基于ISP(Internet Service Provider,互联网服务提供商)域的,每个用户都属于一个ISP域。一般情况下,用户所属的ISP域是由用户登录时提供的用户名决定的,如图1-9所示。
图1-9 用户名决定域名
为便于对不同接入方式的用户进行区分管理,提供更为精细且有差异化的认证、授权、计费服务,AAA将用户划分为以下几个类型:
· lan-access用户:LAN接入用户,如802.1X认证、MAC地址认证用户。
· login用户:登录设备用户,如SSH、Telnet、FTP、终端接入用户(即从Console口登录的用户)。
· Portal接入用户。
· PPP接入用户。
· IKE用户:使用IKE扩展认证的用户。
· HTTP/HTTPS用户:使用HTTP或HTTPS服务登录设备的用户。
· SSL VPN接入用户。
对于某些接入方式,用户最终所属的ISP域可由相应的认证模块(例如802.1X)提供命令行来指定,用于满足一定的用户认证管理策略。
暂无
你正在,LDAP认证流程是啥样的
