LDAP组件配置案例(1)

　　1         概述

    在CAMS系统的某些应用场景中，用户需要CAMS系统和已有的某些应用系统（比如邮件系统、Windows域）共享帐号和密码信息，从而方便终端用户的使用。如果用户的应用系统使用LDAP服务器管理终端用户的帐号信息，则可以通过使用CAMS系统的LDAP组件，将终端用户的上网认证重新定向至用户的LDAP服务器，实现上网帐号和应用系统帐号的统一。

　　1.1 功能描述

　　使用LDAP组件，用户可使用存储在LDAP服务器中的帐号信息，进行网络的物理层接入认证。LDAP组件实现LDAP服务器中的用户帐号信息与CAMS系统的用户帐号信息同步，并将用户的接入认证请求重定向至LDAP服务器处理。

　　1.2 使用限制

　　LDAP组件的使用，同具体的设备无关，该组件使用LDAP协议同LDAP服务器通讯，可支持当前市场上所有主流LDAP服务器，CAMS系统与LDAP服务器的通讯，目前不支持SSL连接。

　　2 典型组网及配置

　　2.1 组网图

　　在LDAP组件的应用场景中，其应用的示意组网图通常如下如下：

　　LDAP组件应用示意图 1

　　以终端用户A为例，用户的认证过程包括以下四个步骤：

　　终端用户向CAMS发起认证请求

　　CAMS检查该用户是否为LDAP服务器认证用户，如果用户帐号、密码信息存在于LDAP服务器，则CAMS向LDAP服务器发起认证请求

　　LDAP服务器返回认证结果给CAMS服务器

　　CAMS服务器将认证结果返回终端用户

　　2.2 配置过程及步骤

　　LDAP组件的配置过程比较简单，其配置过程分为两步：

　　LDAP服务器信息配置

　　LDAP用户信息同步

　　配置过程中，需要认真检查以下配置项：

　　检查项 检查项说明

　　LDAP服务器版本 目前主流的LDAP服务器支持V2和V3版本的LDAP协议，根据该LDAP服务器的实际情况，选择其支持的LDAP协议版本

　　LDAP服务器IP地址 CAMS与LDAP服务器通讯需要的IP地址信息

　　LDAP服务器IP端口 CAMS与LDAP服务器通讯需要的端口信息，LDAP服务器的通讯端口，缺省值为389，如果使用SSL通讯，则缺省端口为636。目前CAMS不支持SSL连接。LDAP服务器管理员可更改LDAP服务器的通讯端口，请根据实际情况设置此值

　　管理员DN（Distinguished Name） 拥有用户帐号数据查询权限的管理员DN，CAMS利用该用户与LDAP服务器建立连接

　　管理员密码 该密码为LDAP服务器管理员密码