35、LDAP代理的高级配置与应用

LDAP代理的高级配置与应用

1. LDAP后端的身份管理特性

LDAP后端有一些更高级的功能，其中ID断言（ID assertion）就是一个典型。通过ID断言，我们可以将认证和授权任务分离，客户端以自身提供的DN进行认证，但代理服务器以另一个用户的身份执行工作。

要使用ID断言功能，需要在代理服务器的LDAP数据库配置中添加两个指令：idassert-bind和idassert-authzFrom。

• idassert-bind指令：用于指定代理服务器如何向远程目录服务器进行认证。示例配置如下：

idassert-bind bindmethod=simple binddn="uid=authenticate,ou=system,dc=example,dc=com" credentials="secret" mode=none

- `bindmethod`：支持的值有 `simple`（简单绑定）、`sasl`（SASL绑定）和 `none`。若设置为 `none`，则不进行ID断言。 - `binddn` 和 `credentials`：分别指定连接远程目录所需的DN和密码。 - `mode`：指定要向远程服务器断言的身份。在上述示例中，`mode` 设置为 `none`，意味着代理服务器将以 `binddn` 中的DN身份执行所有操作。对于更复杂的代理，`mode` 还可以设置为 `ano