如何在 Windows Server 2008 中启用 LDAP 登入

摘　要：强烈建议您不要这样做。许多应用程序通过LDAP与目录服务进行通信，但是LDAP征求意见文档（RFC）说明规定，LDAP绑定应该支持凭据的传递。匿名连接没有实际的必要。您可能有很多UNIX攻畅掇堆墀瞪峨缺法画风格的应用程序，它们使用匿名LDAP绑定到其它的目录服务，但是实际上它们很可能支持通过凭据进行绑定，因此匿名绑定没有必要。

启用共享服务：TCP/IP NetBIOS Helper、WorkStation；

本连接属性处勾 网络文件打印机共享

右键点解打印机选择共享通共享式供局域网内用户共享打印

客户端通查看打印服务器共享文件夹式查看打印机属性安装驱并本机打印机传真机看见共享打印机

具体操作：安装打印机主机ip假设1921680123

需要使用台打印机用户要本机ie址栏输入\\1921681123看见打印机图标双击便本机看见并使用该打印机

顾姝钓酉嬷洛蠡栋怀典旸式横隗盈辞泮铭童穷

作为一名网络管理员，您需要为您所需管理的每个网络设备存放用于管理的用户信息。但是网络设备通常只支持有限的用户管理功能。学习如何使用Linux上的一个外部RADIUS服务器来验证用户，具体来说是通过一个LDAP服务器进行验证，可以集中放置存储在LDAP服务器上并且由RADIUS服务器进行验证的用户信息，从而既可以减少用户管理上的管理开销，又可以使远程登录过程更加安全。

数据安全作为现代系统中网络安全的一部分，与系统安全一样的重要，所以保护数据--确保提供机密性、完整性和可用性--对管理员来说至关重要。

在本文中，我将谈到数据安全性的机密性方面：确保受保护的数据只能被授权用户或系统访问。您将学习如何在Linux系统上建立和配置一个Remote Authentication Dial-In User Service 服务器（RADIUS），以执行对用户的验证、授权和记帐（AAA）。

各组成元素介绍

首先让我们谈一谈RADIUS协议、AAA组件以及它们如何工作，另外还有LDAP协议。

Remote Authentication Dial-In User Service 协议是在IET的RFC 2865中定义的（请参阅参考资料获得相关链接）。它允许网络访问服务器（NAS）执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它通常是一个路由器、交换机或无线访问点（访问点是网络上专门配置的节点；WAP是无线版本）。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。

RADIUS和AAA

如果NAS收到用户连接请求，它会将它们传递到指定的RADIUS服务器，后者对用户进行验证，并将用户的配置信息返回给NAS。然后，NAS接受或拒绝连接请求。

功能完整的RADIUS服务器可以支持很多不同的用户验证机制，除了LDAP以外，还包括：

PAP（Password Authentication Protocol，密码验证协议，与PPP一起使用，在此机制下，密码以明文形式被发送到客户机进行比较）；

CHAP（Challenge Handshake Authentication Protocol，挑战握手验证协议，比PAP更安全，它同时使用用户名和密码）；

本地UNIX/Linux系统密码数据库（/etc/passwd）；

其他本地数据库。

在RADIUS中，验证和授权是组合在一起的。如果发现了用户名，并且密码正确，那么RADIUS服务器将返回一个Access-Accept响应，其中包括一些参数（属性-值对），以保证对该用户的访问。这些参数是在RADIUS中配置的，包括访问类型、协议类型、用户指定该用户的IP地址以及一个访问控制列表（ACL）或要在NAS上应用的静态路由，另外还有其他一些值。

RADIUS记帐特性（在RFC 2866中定义；请参阅参考资料获得相关链接）允许在连接会话的开始和结束发送数据，表明在会话期间使用的可能用于安全或开单（billing）需要的大量资源--例如时间、包和字节。

轻量级目录访问协议

轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）是一种开放标准，它定义了用于访问和更新类X500 目录中信息的一种方法。LDAP可用于将用户信息保存在一个中央场所，从而不必将相同的信息存储在每个系统上。它还可以用于以一种一致的、可控制的方式维护和访问信息。

LDAP在一个集中的目录中管理用户，从而简化了用户管理工作。除了存储用户信息外，在LDAP中定义用户还可以使一些可选特性得到启用，例如限制登录的数量。在本文中，您将学习如何配置RADIUS服务器，以便基于LDAP验证用户--由于本文的重点在于RADIUS，我不会描述关于LDAP服务器的安装和配置的细节。

OpenLDAP是LDAP的一种开放源码实现。在OpenLDAPorg上可以找到关于它的详细信息（请参阅参考资料获得相关链接）。

场景

想像以下场景：

用户在家里可以通过拨号验证访问他公司的内部网。

带无线支持的笔记本电脑可以通过无线验证连接到一个校园网。

管理员使用他们的工作站通过管理用户验证以telnet或HTTP登录到网络设备。

所有这些验证任务都可以通过一个RADIUS服务器基于一个中央LDAP服务器来完成（见图 1）。

图1 通过RADIUS和LDAP进行验证

在本文中，我将重点描述对最后一种选项的实现，作为对该解决方案的一个介绍。首先安装RADIUS服务器。

安装 RADIUS

RADIUS服务器软件可以从多个地方获得。在本文中，我将使用FreeRADIUS（请参阅参考资料获得相关链接），但Cisco Secure Access Control Server (ACS)是一种集中式用户访问控制框架，可用于跨UNIX和Windows上多个Cisco设备的用户管理，并支持Cisco 特有的协议TACACS+（据说在支持TACACS+的设备上可拥有更多的特性）。

FreeRADIUS是来自开放源码社区的一种强大的Linux上的RADIUS服务器，可用于如今的分布式和异构计算环境。FreeRADIUS 102 支持LDAP、MySQL、PostgreSQL和Oracle数据库，并与诸如EAP和Cisco LEAP之类的网络协议兼容。FreeRADIUS目前被部署在很多大型生产网络系统中。

下面的步骤演示如何在Red Hat Enterprise Linux Advanced Server 30上安装和测试FreeRADIUS 102：

清单1 安装和测试FreeRADIUS

tar -zxvf freeradius-102targz - extract it with gunzip and tar

/configure

make

make install - run this command as root

radiusd or - start RADIUS server

radiusd -X - start RADIUS server in debug mode

radtest test test localhost 0 testing123 - test RADIUS server

如果radtest收到一个响应，则表明FreeRADIUS服务器工作正常。

同时我还推荐另一种免费工具，那就是NTRadPing，它可用于测试来自Windows客户机的验证和授权请求。它可以显示从RADIUS服务器发回的详细的响应，例如属性值。

现在让我们来配置FreeRADIUS。

配置FreeRADIUS

RADIUS服务器的配置包括对服务器、客户机和用户的配置（都是用于验证和授权）。出于不同的需要，对RADIUS服务器可以有不同的配置。幸运的是，大多数配置都是类似的。

配置服务器

FreeRADIUS配置文件通常位于/etc/raddb文件夹下。首先，我们需要像下面这样修改radiusdconf文件。

清单2 修改radiusdconf

1) Global settings:

log_auth = yes - log authentication requests to the log file

log_auth_badpass = no - don't log passwords if request rejected

log_auth_goodpass = no - don't log passwords if request accepted

2) LDAP Settings:

modules {

ldap {

server = "bluepagesibmcom" - the hostname or IP address of the LDAP server

port = 636 - encrypted communications

basedn = "ou=bluepages,o=ibmcom" - define the base Distinguished Names (DN),

- under the Organization (O) "ibmcom",

- in the Organization Unit (OU) "bluepages"

filter = "(mail=%u)" - specify search criteria

base_filter = "(objectclass=person)" - specify base search criteria

}

authenticate { - enable authentication against LDAP

Auth-Type LDAP {

ldap

}

参数被设为使用 IBM BluePages，这是LDAP服务的一个实例。对于其他LDAP服务器，参数可能有所不同。

配置客户机

客户机是在/etc/raddb/clientsconf 文件中配置的。有两种方式可用于配置RADIUS客户机。您可以按IP subnet将NAS分组（清单 3），或者可以按主机名或 IP 地址列出NAS（清单4）。如果按照第二种方法，可以定义shortname和nastype。

清单3 按IP subnet将NAS分组

client 19216800/24 {

secret = mysecret1 - the "secret" should be the same as configured on NAS

shortname = mylan - the "shortname" can be used for logging

nastype = cisco - the "nastype" is used for checkrad and is optional

}

清单4 按主机名或 IP 地址列出 NAS

client 19216801 {

secret = mysecret1

shortname = myserver

nastype = other

}

为验证而配置用户

文件 /etc/raddb/user 包含每个用户的验证和配置信息。

清单5 /etc/raddb/user 文件

1) Authentication type:

Auth-Type := LDAP - authenticate against LDAP

Auth-Type := Local, User-Password == "mypasswd"

- authenticate against the

- password set in /etc/raddb/user

Auth-Type := System - authenticate against the system password file

- /etc/passwd or /etc/shadow

2) Service type:

Service-Type = Login, - for administrative login

为授权而配置用户

下面的验证服务器属性-值对（AV）应该为用户授权而进行配置。在验证被接受后，这个属性-值对被返回给NAS，作为对管理员登录请求的响应。

对于Cisco路由器，有不同的权限级别：

级别1是无特权（non-privileged）。提示符是 router>，这是用于登录的默认级别。

级别15是特权（privileged）。 提示符是 router#，这是进入 enable 模式后的级别。

级别2到14 在默认配置中不使用。

下面的命令可以使一个用户从网络访问服务器登录，并获得对EXEC命令的立即访问：

cisco-avpair ="shell:priv-lvl=15"

下面的代码处理相同的任务，这一次是对于Cisco无线访问点：

Cisco:Avpair= "aironet:admin-capability=write+snmp+ident+firmware+admin"

任何功能组合都和这个属性一起返回：

Cisco:Avpair = "aironet:admin-capability=ident+admin"

Cisco:Avpair = "aironet:admin-capability=admin"

请与 Cisco 联系，以获得关于这些命令的更多信息。

配置网络访问服务器

接下来我们将配置NAS，首先是配置一个Cisco路由器，然后轮到一个Cisco WAP。

对于Cisco IOS 121路由器，我们将启用AAA，然后配置验证、授权和记帐。

清单6 启用AAA

aaa new-model

radius-server host 1921680100

radius-server key mysecret1

AAA 在路由器上应该被启用。然后，指定能为 NAS 提供 AAA 服务的 RADIUS 服务器的列表。加密密钥用于加密 NAS 和 RADIUS 服务器之间的数据传输。它必须与 FreeRADIUS 上配置的一样。

清单7 配置验证

aaa authentication login default group radius local

line vty 0 4

login authentication default

在这个例子中，网络管理员使用 RADIUS 验证。如果 RADIUS 服务器不可用，则使用 NAS 的本地用户数据库密码。

清单8 配置授权

aaa authorization exec default group radius if-authenticated

允许用户在登录到 NAS 中时运行 EXEC shell。

清单9 配置记帐

aaa accounting system default start-stop group radius

aaa accounting network default start-stop group radius

aaa accounting connection default start-stop group radius

aaa accounting exec default stop-only group radius

aaa accounting commands 1 default stop-only group radius

aaa accounting commands 15 default wait-start group radius

必须对路由器进行特别的配置，以使之发送记帐记录到RADIUS服务器。使用清单9中的命令记录关于NAS系统事件、网络连接、输出连接、EXEC操作以及级别1和级别15上的命令的记帐信息。

这样就好了。现在让我们看看为Cisco无线访问点而进行的配置。下面的配置适用于带有Firmware 1201T1的Cisco 1200 Series AP。如图2中的屏幕快照所示，您：

输入服务器名或 IP 地址和共享的秘密。

选择“Radius”作为类型，并选中“User Authentication”。

图2 为WAP配置NAS

实际上，在这里您还可以配置EAP Authentication，使FreeRADIUS可用于验证无线LAN的一般用户。

记帐：工作中的RADIUS

现在所有配置都已经完成，FreeRADIUS服务器可以开始记录NAS发送的所有信息，将该信息存储在/var/log/radius/radiuslog文件中，就像这样：

清单10 /var/log/radius/radiuslog文件

Thu Mar 3 21:37:32 2005 : Auth: Login OK: [David] (from client

mylan port 1 cli 192168094)

Mon Mar 7 23:39:53 2005 : Auth: Login incorrect: [John] (from

client mylan port 1 cli 192168094)

详细的记帐信息被存放在/var/log/radius/radacct目录中。清单11表明，David在2005年3月4日19:40到19:51这段时间里从 192168094登录到了路由器19216801。这么详细的信息对于正在调查安全事故以及试图维护易于审计的记录的管理员来说无疑是一大帮助。

清单11 RADIUS 提供的记帐细节示例

Fri Mar 4 19:40:12 2005

NAS-IP-Address = 19216801

NAS-Port = 1

NAS-Port-Type = Virtual

User-Name = "David"

Calling-Station-Id = "192168094"

Acct-Status-Type = Start

Acct-Authentic = RADIUS

Service-Type = NAS-Prompt-User

Acct-Session-Id = "00000026"

Acct-Delay-Time = 0

Client-IP-Address = 19216801

Acct-Unique-Session-Id = "913029a52dacb116"

Timestamp = 1109936412

Fri Mar 4 19:51:17 2005

NAS-IP-Address = 19216801

NAS-Port = 1

NAS-Port-Type = Virtual

User-Name = "David"

Calling-Station-Id = "192168094"

Acct-Status-Type = Stop

Acct-Authentic = RADIUS

Service-Type = NAS-Prompt-User

Acct-Session-Id = "00000026"

Acct-Terminate-Cause = Idle-Timeout

Acct-Session-Time = 665

Acct-Delay-Time = 0

Client-IP-Address = 19216801

Acct-Unique-Session-Id = "913029a52dacb116"

Timestamp = 1109937077

结束语

通过遵循本文中列出的简单步骤，您可以建立一个Remote Authentication Dial-In User Service服务器，该服务器使用一个外部的LDAP服务器来处理为网络安全问题而进行的验证、授权和记帐。本文提供了以下内容来帮助您完成此任务：

对RADIUS和LDAP服务器以及AAA概念的介绍。

一个融入了安装和配置任务的场景。

关于安装和配置RADIUS服务器的说明。

关于配置网络访问服务器的细节。

RADIUS将提供和管理的详细信息的一个示例。

这些指示可以快速确保受保护的数据只能由Linux系统上已授权的实体访问。

1 LDAP入门

11 定义

LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写，LDAP标准实际上是在X500标准基础上产生的一个简化版本。

12 目录结构

LDAP也可以说成是一种数据库，也有client端和server端。server端是用来存放数据，client端用于操作增删改查等操作，通常说的LDAP是指运行这个数据库的服务器。只不过，LDAP数据库结构为树结构，数据存储在叶子节点上。

因此，在LDAP中，位置可以描述如下

因此，苹果redApple的位置为

dn标识一条记录，描述了数据的详细路径。因此，LDAP树形数据库如下

因此，LDAP树形结构在存储大量数据时，查询效率更高，实现迅速查找，可以应用于域验证等。

13 命名格式

LDAP协议中采用的命名格式常用的有如下两种：LDAP URL 和X500。

任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP协议访问活动目录，LDAP名不像普通的Internet URL名字那么直观，但是LDAP名往往隐藏在应用系统的内部，最终用户很少直接使用LDAP 名。LDAP 名使用X500 命名规 范，也称为属性化命名法，包括活动目录服务所在的服务器以及对象的属性信息。

2 AD入门

21 AD定义

AD是Active Directory的缩写，AD是LDAP的一个应用实例，而不应该是LDAP本身。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题，只是AD顺便还提供了用户接口，也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序操作LDAP，使得ActiveDirectory也成了一个LDAP服务器。

22 作用

221 用户服务

管理用户的域账号、用户信息、企业通信录（与电子邮箱系统集成）、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机，服务器等。

222 计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。

223 资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

224 应用系统的支持

对于电子邮件（Exchange）、在线及时通讯（Lync）、企业信息管理（SharePoint）、微软CRM&ERP等业务系统提供数据认证（身份认证、数据集成、组织规则等）。这里不单是微软产品的集成，其它的业务系统根据公用接口的方式一样可以嵌入进来。

225 客户端桌面管理

系统管理员可以集中的配置各种桌面配置策略，如：用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。

23 AD域结构常用对象

231 域(Domain)

域是AD的根，是AD的管理单位。域中包含着大量的域对象，如：组织单位(Organizational Unit)，组(Group)，用户(User)，计算机(Computer)，联系人(Contact),打印机，安全策略等。

可简单理解为：公司总部。

232 组织单位(Organization Unit)

组织单位简称为OU是一个容器对象，可以把域中的对象组织成逻辑组，帮助网络管理员简化管理组。组织单位可以包含下列类型的对象：用户，计算机，工作组，打印机，安全策略，其他组织单位等。可以在组织单位基础上部署组策略，统一管理组织单位中的域对象。

可以简单理解为：分公司。

233 群组(Group)

群组是一批具有相同管理任务的用户账户，计算机账户或者其他域对象的一个集合。例如公司的开发组，产品组，运维组等等。可以简单理解为分公司的某事业部。

群组类型分为两类:

234 用户(User)

AD中域用户是最小的管理单位，域用户最容易管理又最难管理，如果赋予域用户的权限过大，将带来安全隐患，如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。

域用户的类型，域中常见用户类型分为：

一个大致的AD如下所示：

总之：Active Directory =LDAP服务器 LDAP应用（Windows域控）。ActiveDirectory先实现一个LDAP服务器，然后自己先用这个LDAP服务器实现了自己的一个具体应用（域控）。

3 使用LDAP操作AD域

特别注意：Java操作查询域用户信息获取到的数据和域管理员在电脑上操作查询的数据可能会存在差异（同一个意思的表示字段，两者可能不同）。

连接ad域有两个地址：ldap://XXXXXcom:389 和 ldap://XXXXXcom:636（SSL）。

端口389用于一般的连接，例如登录，查询等非密码操作，端口636安全性较高，用户密码相关操作，例如修改密码等。

域控可能有多台服务器，之间数据同步不及时，可能会导致已经修改的数据被覆盖掉，这个要么域控缩短同步的时间差，要么同时修改每一台服务器的数据。

31 389登录

32 636登录验证（需要导入证书）

33 查询域用户信息

34 重置用户密码

35 域账号解锁

总结