How to：在ISA Server 2006 中配置基于 LDAP 的身份验证

在用户访问通过 ISA Server 2006 发布的 Web 服务时， ISA Server 2006 支持使用 LDAP 协议进行用户身份验证。LDAP（轻量级目录访问协议）是一种标准的目录服务访问协议。活动目录基于 LDAP 协议的最新版本 LDAP v3，每一个域控制器都是一个 LDAP 服务器，都可以通过 LDAP 协议进行访问。你可以让 ISA Server 2006 通过 LDAP 协议访问域控制器来实现用户的身份验证，而不需要将 ISA Server 加入到活动目录；ISA Server 2006 只支持使用基于 Windows Server 2003 或 Windows Server 2000 操作系统的域控制器提供的 LDAP 服务。 中国网管联盟bitsCN.com

在采用 LDAP 进行身份验证时，客户端在输入身份验证凭据时，必须采用活动目录可以识别的格式，包括以下三种： 网管下载dl.bitscn.com

• SAM 用户账户（domain\username）； 网管u家u.bitscn@com

• 用户主体名（username@domain.com）

  网管u家u.bitscn@com

• 区别名字（cn=administrator,dc=winsvr,dc=org） 中国网管论坛bbs.bitsCN.com

　 中国网管联盟bitsCN.com

在 ISA Server 2006 中配置基于 LDAP 的身份验证包含以下三个步骤：

• 配置 LDAP 服务器；

  网管网www_bitscn_com

• 配置 LDAP 用户集； 网管u家u.bitscn@com

• 配置 LDAP 身份验证；

  网管u家u.bitscn@com

在这篇文章中，我将先配置 LDAP 服务器，然后在创建 Web 发布规则的时候配置 LDAP 身份验证和 LDAP 用户集。

网管u家u.bitsCN.com

运行 ISA Server 2006 管理控制台，展开左边控制面板中的配置，然后点击常规，然后在中部的细节面板中点击指定 RADIUS 和 LDAP 服务器，

网管u家u.bitscn@com

网管u家u.bitsCN.com

在弹出的身份验证服务器对话框，点击 LDAP 服务器，然后点击添加； 网管论坛bbs_bitsCN_com

在弹出的添加 LDAP 服务器集对话框，在 LDAP 服务器集名输入服务器集的名称，在此我输入为 Berlin，并点击添加添加 LDAP 服务器，在此我添加的 LDAP 服务器为域 WinSVR.ORG 的域控制器 Berlin；在输入活动目录域名栏，输入 LDAP 服务器位于的活动目录域 winsvr.org；由于普通的域控制器只能验证属于本地域的用户，因此默认情况下是访问全局编录服务器，从而可以验证森林中的用户；另外，默认情况下是通过非加密的LDAP协议进行访问，为了更高的安全性，可以配置为通过加密的LDAPS协议进行访问，但是要求 ISA Server 信任颁发 LDAP 服务器证书的证书颁发机构；最后在底部输入具有此 LDAP 服务器访问权限的用户名和密码，点击确定； 中国网管联盟bitsCN.com

中国网管联盟bitsCN.com

LDAP 服务器集配置完以后，需要定义登录表达式。登录表达式用于决定哪个域的用户由哪个 LDAP 服务器集进行验证，点击新建添加登录表达式，添加格式为“域名\*”，在此我设置为将所有的域均通过 Berlin 进行验证，因此输入为“*”，完成后如下图所示，如果针对相同的登录表达式具有多个 LDAP 服务器集，则根据登录表达式的优先级进行处理，你可以点击上下箭头调整它们的优先级。完成后点击关闭； 网管网www.bitscn.com

网管u家u.bitsCN.com