2024年3月14日发(作者:)

lin jing

F5设备管理帐号远程认证、授权之ldap版

V10.1在管理帐号的集中统一验证授权方面有了很大的提高,本文介绍如何实现基于ldap进

行管理帐号认证及授权。

原理:

当用户登录时F5能够与ldap服务器进行通信,得到ldap对身份验证的结果。

如果身份验证失败,拒绝登陆,并在/var/log/secure,/var/log/aduit日志文件中记录失败信息

如果身份验证通过,则利用ldap服务器返回的属性在本地查找对应匹配的remoterole,根

据remoterole中的定义赋予用户console/user partition以及对应的role(即系统内置的

guest,operator,manager等内置的role权限),同时记录相关日志

如果身份验证通过,但无法找到匹配的remoterole,那么使用配置ldap时候所指定的“External

Users”设置赋权---系统默认为no access,即默认情况下即使验证通过也禁止访问。

设置方法:

一、F5 部分设置

1. 点击system-users菜单进入下图,并点击change,将验证位置改为 remote-ldap

2.随后将出现如下界面:

lin jing

解释:

host处填写ldap服务器服务IP,注意F5使用管理口IP与验证服务器通信

remote directory tree: 指定ldap上登录F5的账号在哪个目录树下,例如如果用户都在

ou=f5,dc=f5device,dc=com下,则这里可以填写ou=f5,dc=f5device,dc=com。F5在BINDrequest

并查到用户后,将会在这个目录下去filter登录的账号,ldap服务器将会返回相关的属性。

F5即可根据属性里的一些定义来关联remoterole。上图示例中,登录F5的用户会在

dc=f5device,dc=com下的多个ou里,所以只用填写dc=f5device,dc=com即可。

Scope:------在scope所指定的范围内检索账号是否存在