Difference between revisions of "LDAP"

Revision as of 18:31, 6 April 2021

RADIUS > Settings > LDAP

This setting enables users can be validated from a Lightweight Directory Access Protocol(LDAP) server. We support the OpenLDAP, Microsoft Active Directory Domain service(AD DS), and Microsoft Active Directory Lightweight directory service(AD LDS).
Similarly to the Pass-Through Authentication, the imRAD decrypts the password in the ACCESS-REQUEST from a user, and then refers to an LDAP server. If an ACCESS-REQUEST is encrypted to an EAP method of which can not decrypt the User-Password attribute, the imRAD RADIUS can not get the correct result.

Note that there is no limitation of the LDAP servers but the more LDAP servers, the more time it may take to validate users.

Edit LDAP Server

You can add a new entity by click "Add" button at the right bottom below the LDAP list. If you want to change or delete a entity, click the icon in front of each entity.

이름	필수	설명
Primary instance 주소	예	LDAP 서버의 IP 주소를 입력하세요. LDAP over SSL일 경우 ldaps://a.b.c.d와 같은 형식으로 입력하세요. 추가 prefix는 아래 LDAP URI를 참고하세요.
Secondary instance 주소	아니오	LDAP 서버의 Secondary instance IP 주소를 입력하세요. LDAP over SSL일 경우 ldaps://a.b.c.d와 같은 형식으로 입력하세요. 추가 prefix는 아래 LDAP URI를 참고하세요.
LDAP Server 포트	예	LDAP 서버 포트(기본 포트 389)를 입력하세요.
Identity of administrator account Password of administrator account	아니오	일부 LDAP 서버는 User-Name을 조회 할 때 Administrator account를 요구 하므로 그 Administrator account의 ID와 Password를 입력하세요.
Base distinguished name(dn)	예	User-Name 조회시 시작이되는 기본 DN을 입력하세요.
LDAP server type	예	지정된 LDAP 형식 중 하나를 선택하세요.
User filter attribute name Group filter attribute name	예	아래 filter attribute name을 참고하세요.

LDAP URI

ldap:// (LDAP)
ldaps:// (LDAP over SSL)
ldapi:// (LDAP over Unix socket)
ldapc:// (Connectionless LDAP)

filter attribute name

LDAP Server type	User filter	Group filter
OpenLDAP	uid	posixGroup
Active Directory Domain Services(DS)	sAMAccountName	group
Active Directory Lightweight Directory Services(LDS)	name	group
Others	User defined	User defined

LDAP 연결 시험

생성된 LDAP은 수 분후에 자동으로 그 연결이 올바른지가 확이되나 즉시 User-Name과 User-Password를 시험 하려면 LDAP 목록 우측의 연결 시험 항목의 "연결" 버튼을 클릭하면 "연결 시험" 인터페이스를 열 수 있습니다.
이 인터페이스에 아이디와 비밀번호를 입력하여 연결 시험을 진행 할 수 있습니다.

잘 알려진 오류는 다음과 같습니다.

메시지	설명
ldap_bind(): Unable to bind to server: Can't contact LDAP server	서버에 연결 수 없는 경우 표시됩니다.
ldap_bind(): Unable to bind to server: Invalid credentials	입력한 사용자 아이디/비밀번호나 저장된 administrator account가 다를 경우 발생합니다.
success	성공

@@ Line 1: / Line 1: @@
 __FORCETOC__
-=== RADIUS > 설정 > LDAP 인증 ===
+=== RADIUS > Settings > LDAP ===
+This setting enables users can be validated from a Lightweight Directory Access Protocol(LDAP) server.
+We support the OpenLDAP, Microsoft Active Directory Domain service(AD DS), and Microsoft Active Directory Lightweight directory service(AD LDS).<br>
+Similarly to the Pass-Through Authentication, the imRAD decrypts the password in the ACCESS-REQUEST from a user, and then refers to an LDAP server. If an ACCESS-REQUEST is encrypted to an EAP method of which can not decrypt the User-Password attribute, the imRAD RADIUS can not get the correct result.
-외부에 존재하는 LDAP(Lightweight Directory Access Protocol) 서버를 통해 인증을 처리 할 경우 그 서버를 정의 할 수 있습니다.<br>
+Note that there is no limitation of the LDAP servers but the more LDAP servers, the more time it may take to validate users.
-[[RADIUS 개요]]에서 언급한 바와 같이 OpenLDAP과 Microsoft Active Directory(AD)에 연결해 사용자를 인증 할 수 있습니다.<br>
-등록 할 수 있는 개수는 제한이 없으나 imRAD에 수신된 User-Name/User-Password가 모든 LDAP을 거쳐 확인 되는 과정이 반복되므로 너무 많은 LDAP 서버를 등록하면 성능 하락의 원인이 될 수 있습니다.
+==== Edit LDAP Server ====
+You can add a new entity by click "Add" button at the right bottom below the LDAP list. If you want to change or delete a entity, click the [[File:popup.png]] icon in front of each entity.
-==== LDAP 서버 추가 ====
-LDAP 목록 하단의 "추가" 버튼을 클릭하여 등록 할 수 있으며 아래 포를 확인 하시고 자세한 정보는 LDAP 또는 AD 서버 담당자에 문의 하세요.
 {| class="wikitable"
 ! 이름 !! 필수 !! 설명