启用 LDAP 服务器验证

LDAP 是基于标准、跨平台、可扩展的协议，它直接在 TCP/IP 的顶层运行。它被用于访问称为目录的专用数据库。

MVE 管理员可以使用公司的 LDAP 服务器来验证用户 ID 和密码，以避免维护多个用户凭证。

MVE 尝试对系统中存在的有效用户凭证进行验证。如果 MVE 无法验证用户，那么它将尝试验证在 LDAP 服务器中注册的用户。如果在 MVE 和 LDAP 服务器中同时存在相同的用户名，请使用 MVE 密码。

作为先决条件，LDAP 服务器必须包含与所需用户角色相应的用户组。如需更多信息，请参阅在系统中添加、编辑或删除用户。

从“页眉”区域，单击设置图标 > LDAP > 为验证启用 LDAP。

从“连接”部分，配置下列操作：

服务器-键入进行验证的 LDAP 服务器的 IP 地址或主机名。如果您要在 MVE 服务器和 LDAP 服务器之间使用加密通信，请执行下列操作：
1. 使用服务器主机的完全合格域名（FQDN）。
2. 访问网络主机文件，然后创建一个输入项，将服务器的主机名映射到其 IP 地址。
  注意：
  - 在 UNIX 或 Linux 操作系统中，网络主机文件通常可以在 /etc/hosts 中找到。
  - 在 Windows 操作系统中，网络主机文件通常可以在 %SystemRoot%\system32\drivers\etc 中找到。
  - TLS 协议要求服务器主机名与 TLS 证书中指定的“发布至”的主机名称相匹配。
端口-输入本地计算机用于与 LDAP 社区服务器通信的端口号。默认的端口号是 389。

根 DN-键入根节点的基础可分辨名称（DN）。在 LDAP 社区服务器层级中，此节点应该是用户节点和组节点的直接祖先。例如：dc=mvptest,dc=com

注意：当指定“根 DN”时，请确认只有 dc 和 o 是“根 DN”的一部分。如果 ou 或 cn 是用户和组节点的祖先，请在“用户搜索库”和“组搜索库”中使用 ou 或 cn 。

配置搜索设置。

用户搜索库-键入在 LDAP 社区服务器中用户对象存在的节点。此节点是列出所有用户节点的“根 DN”下面的节点。例如：ou=people
如果用户处于 LDAP 社区服务器中的多个目录层级，请执行下列操作：
1. 计算用户节点中的所有可能位置的任何共同上游层级。
2. 包括“用户搜索库”字段中的配置。

用户搜索过滤器-为定位 LDAP 社区服务器中的用户对象键入参数。例如：(uid={0})

“用户搜索过滤器”功能可以容纳多个条件和复杂的表达式。

登录使用	在“用户搜索过滤器”字段中，键入
常用名	(CN={0})
登录名	(sAMAccountName={0})
用户主体名称	(userPrincipalName={0})
电话号码	(telephoneNumber={0})
登录名或常用名	(\|(sAMAccountName={0})(CN={0}))

注意：

这些表达式仅适用于 Windows Active Directory® LDAP 服务器。
对于“用户搜索过滤器”，唯一有效的形式是 {0}，这表示 MVE 搜索 MVE 的用户登录名。

组搜索库-键入与 MVE 角色相对应的用户组所存在的 LDAP 社区服务器中的节点。此节点也在列出所有组节点的“根 DN”的下面。例如：ou=group
注意：搜索库由逗号分隔的多个属性组成，例如 cn（常用名）、ou（组织单位）、o（组织）、c（国家）和 dc（域）。

组搜索过滤器-键入用于在一个与 MVE 中角色相对应的组内定位用户的参数。

注意：根据您的后端 LDAP 社区服务器的配置，您可以使用形式 {0} 和 {1}。如果您使用 {0}，那么 MVE 搜索 LDAP 用户 DN。在用户验证过程中，内部检索用户 DN。如果您使用 {1}，那么 MVE 搜索 MVE 的用户登录名。

组角色属性-键入包含组全名的属性。例如：cn。
启用嵌套组搜索-搜索 LDAP 社区服务器内的嵌套组。

单击绑定信息，然后配置设置。

匿名绑定-如果 MVE 中没有保存 LDAP 配置，那么在默认情况下选择此选项。MVE 服务器不会为使用 LDAP 服务器查找设施而产生其身份或凭证到 LDAP 服务器。后续的 LDAP 查找会话只使用未加密的通信。

简单绑定-在 MVE 服务器和 LDAP 服务器之间使用未加密的通信。如果您希望 MVE 服务器使用 LDAP 服务器查找设施，请执行下面的操作：

在“绑定 DN”字段中，键入绑定 DN。

键入绑定密码，然后确认密码。

注意： “绑定密码”取决于 LDAP 服务器中的“绑定用户”设置。如果“绑定用户”被设置为非空，那么“绑定密码”是必需的。如果“绑定用户”被设置为空，那么“绑定密码”不是必需的。如需更多信息，请与您的 LDAP 管理员联系。

TLS-在 MVE 服务器和 LDAP 服务器之间使用加密的通信。MVE 服务器使用 MVE 服务器身份（绑定 DN）和凭证（绑定密码）完全验证自身到 LDAP 服务器。要配置这些设置，请执行下面的操作：
对于自签名证书，TLS 指纹必须对全系统范围内名为 cacerts 的 Java 虚拟机器（JVM）密钥库可用。此密钥库存在于 [mve.home]/jre/lib/security 文件夹中，其中 [mve.home] 是 MVE 的安装文件夹。
1. 在“绑定 DN”字段中，键入绑定 DN。
2. 键入绑定密码，然后确认密码。
  注意： “绑定密码”是必需的。
Kerberos-在 MVE 服务器和 LDAP 服务器之间使用加密的通信。Kerberos 安全协议仅在实施通用安全服务应用程序接口（GSSAPI）的 Windows Active Directory® 中被支持。如需更多信息，请参阅 Kerberos 的文档。要配置这些设置，请执行下面的操作：
1. 在“Kerberos 配置文件”字段中，浏览至 krb5.conf 文件。
  示例配置：
```
[libdefaults]
    default_realm=ABC.COM

[realms]
    ABC.COM = {
      kdc = abc1.abc.com
    }

[domain_realm]
    .abc.com=ABC.COM
```
2. 在“加密方法”菜单中，选择是否使用 SSL 加密。
3. 在“KDC 用户名”字段中，键入“密钥分发中心（KDC）”的名称。
4. 键入 KDC 密码，然后确认密码。
注意：如果您要启用 Kerberos 验证，请参阅启用 Kerberos 验证。

单击角色映射，然后配置下面的设置：

管理员-键入在 MVE 中具有管理权限的 LDAP 中的现有角色。
资产-键入在 MVE 中管理“资产”模块的 LDAP 中的现有角色。
配置-键入在 MVE 中管理“配置”模块的 LDAP 中的现有角色。
服务台-键入在 MVE 中管理“服务台”模块的 LDAP 中的现有角色。
事件管理器-键入在 MVE 中管理“事件管理器”模块的 LDAP 中的现有角色。

注意：

MVE 自动映射指定的 LDAP 组到其相应的 MVE 角色。
您可以分配一个 LDAP 组到多个 MVE 角色，您也可以在一个角色字段中键入多个 LDAP 组。
当在角色字段中键入多个 LDAP 组时，请使用竖线字符（|）来分隔多个 LDAP 组。例如，如果您要为 Admin 角色包括 admin 和 assets 组，请在 Admin 字段中键入 admin|assets。
如果您只想使用 Admin 角色，而不是其他 MVE 角色，请将这些字段留空。

单击应用 > 关闭。

启用 Kerberos 验证

在您开始之前，请确认：

在 Active Directory 服务器中设置 MVE 的组和用户。如需更多信息，请与您的系统管理员联系。

您有包含 MVE 用户凭证的密钥表文件和加密密钥。您可以使用 Ktpass 工具来生成密钥表文件。如需更多信息，请参阅 Microsoft 的在线参考资料。

从“页眉”区域，单击设置图标 > LDAP > 为验证启用 LDAP。

从“绑定信息”部分，选择 Kerberos > 启用 Kerberos 验证。

配置下面的设置：

服务主体名称-键入 MVE 服务器的服务主体名称。
密钥表-浏览密钥表文件。

配置“角色映射”设置。如需更多信息，请参阅步骤5。

注意：确认指定的 MVE 角色与 Active Directory 服务器中设置的现有组相匹配。

单击应用 > 关闭。