中文讨论区

Reply
Moderator
Posts: 222
Registered: ‎04-02-2013

在ClearPass使用AD认证源中的嵌套组

如何在ClearPass使用AD认证源中的嵌套组

 

在使用AD做为认证源时,可能会用到使用AD中的嵌套组来给用户授权。比如在AD中Faculty组和Staff组同时属于Employee组,我们想在ClearPass中给Faculty和Staff组中的人员一个共同的Role:Employee。

 

下图是AD中Employee组的成员列表:

Screen Shot 2015-03-06 at 5.34.23 PM.png 

下面我们在ClearPass中修改当前AD的认证源(创建AD认证源的过程可以参考ClearPass手册)。默认的LDAP Filer Query返回的是要查询的User DN直接归属的那些组:

 

(distinguishedName=%{memberOf})

 

为了返回当前User DN归属的所有组(包含嵌套组),我们应该使用下面的LDAP Filter Query:

 

(member:1.2.840.113556.1.4.1941:=%{UserDN})

 

  1. 导航到认证源修改界面:

Configuration » Authentication » Sources » Add - ad2008(AD认证源名称)

 

  1. 增加属性“Nested Groups”:

Screen Shot 2015-03-06 at 5.38.25 PM.png 

 

  1. 使用的Filer Query 是上文提到的(member:1.2.840.113556.1.4.1941:=%{UserDN}):

Screen Shot 2015-03-06 at 5.38.41 PM.png

 

  1. 添加成功后的界面如下图:

Screen Shot 2015-03-06 at 5.39.51 PM.png

 

  1. 上述配置完成后,我们可以使用用户名staff1来进行认证的测试(在AD中staff1属于Staff组)。导航到Monitoring » Live Monitoring » Access Tracker,点击刚才认证的记录,可以看到Roles中返回的值:Employee和Staff。

Screen Shot 2015-03-06 at 5.42.50 PM.png

Search Airheads
Showing results for 
Search instead for 
Did you mean: