第 7 章将 LDAP 服务器配置为 Satellite 的外部身份提供程序

轻量级目录访问协议(LDAP)是一组用于通过网络访问集中存储信息的打开协议。使用 Satellite，您可以使用一个或多个 LDAP 目录进行外部身份验证。

注意

虽然您可以将与身份管理集成的 LDAP 服务器配置为外部身份验证源，但身份管理用户将无法使用单点登录登录。相反，请考虑将身份管理配置为外部身份提供程序。如需更多信息，请参阅第 3 章 在 Satellite 中使用身份管理配置 Kerberos SSO。

重要

用户不能同时使用身份管理和 LDAP 作为身份验证方法。用户使用这些方法之一进行身份验证后，无法使用其他方法。

要更改用户的身份验证方法，请从 Satellite 中删除自动创建的用户。

7.1. 为安全 LDAP 配置 TLS
复制链接

如果 Satellite 使用 TLS 建立安全 LDAP 连接(LDAPS)，您必须获取 LDAP 服务器的 CA 证书，并将它们添加到 Satellite 服务器基础操作系统上的可信 CA 列表中。

如果您的 LDAP 服务器使用带有中间证书颁发机构的证书链，您必须获取所有 root 和中间证书，并将它们添加到可信 CA 列表中。

流程

从 LDAP 服务器获取 CA 证书：
1. 如果您使用 Active Directory 证书服务，请使用 Base64 编码 X.509 格式导出企业 PKI CA 证书。如需有关从 Active Directory 服务器创建和导出 CA 证书的信息，请参阅如何在 Satellite 上使用 TLS 配置 Active Directory 身份验证。
2. 将 LDAP 服务器证书下载到 Satellite 服务器上的临时位置，如 /tmp/example.crt。完成后，您将删除证书。
  文件扩展 .cer 和 .crt 只是惯例，可以引用 DER 二进制文件或 PEM ASCII 格式证书。
将 LDAP 服务器证书添加到系统信任存储中：
1. 导入证书：
  # cp /tmp/example.crt /etc/pki/tls/source/anchors
2. 更新证书颁发机构信任存储：
  # update-ca-trust extract
从 Satellite 服务器上的临时位置删除下载的 LDAP 证书。

其他资源