连接

ENTERPRISE

配置与 LDAP 服务器的连接

在本部分中,您将指定用于连接到 LDAP 服务器的地址、协议和证书。

  1. 单击 Settings -> LDAP Directory 选项卡。

  2. 单击 Add Directory

    添加目录对话框

    图 1. 添加目录对话框

  3. Host 框中键入 LDAP 目录服务器的主机名或 IP 地址。不要包含协议前缀或端口号。

  4. 键入要在 Port 框中使用的 TCP/IP 端口号。端口 389 通常用于 StartTLS 和未加密通信。端口 636 通常用于 LDAPS 连接。

  5. Select SSL/TLS setting 列表框中选择首选加密选项。

    • 选择 ** 对所有连接使用 SSL/TLS ** 以使用 安全 LDAP (LDAPS)

    • 如果尝试 StartTLS,如果未能尝试通过 StartTLS 将连接升级到 TLS,则中止,如果升级到 TLS 失败,则中止连接。

    • 如果尝试 StartTLS,如果未能尝试通过 StartTLS 将连接升级到 TLS,则继续不加密,如果升级到 TLS 失败,则继续不加密连接。

    注意:我们建议选择对所有连接使用 SSL/TLS,或尝试 StartTLS,如果无法确保 SSL/TLS 或 StartTLS 加密,则中止;否则,密码将以明文形式发送。

  6. 如果 LDAP 目录服务器要求 DC/OS 提供客户端证书,请将其粘贴到 Client certificate and private key (Optional) 字段。值应类似于以下内容。

    -----BEGIN PRIVATE KEY-----
    MIIDtDCCApy...
    -----END PRIVATE KEY-----
    -----BEGIN CERTIFICATE-----
    OIymBpP...
    -----END CERTIFICATE-----
    
  7. 要确保 DC/OS 群集不接受来自指定 LDAP 目录服务器以外的其他方的连接,请将 LDAP 目录服务器的根 CA 证书和任何中间证书粘贴到 CA certificate chain (Optional) 字段中。我们强烈建议您完成此步骤,以便与 LDAP 目录服务器建立安全通信信道。

  8. 指定身份认证方法和参数,如[身份认证部分]中所述。(/mesosphere/dcos/cn/2.0/security/ent/ldap/ldap-auth/).