爱快以后可以实现接入openldap 目录协议不？

aa4792999

如题：
爱快下面的2个服务都需要这个功能
包括openvpn 服务端验证接入openldap 需求
web 认证也需要接入openldap 需求。。

爱快技术支持08

楼主您好，需求的话需要去需求区提交帖子的

LeoChueng

哈喽哥哥，你说的接入openldap协议，是ikuai路由作为客户端，连接公司已有的ldap协议的服务器，去做验证么，比如ad域控制器

aa4792999

LeoChueng 发表于 2021-9-8 14:34
哈喽哥哥，你说的接入openldap协议，是ikuai路由作为客户端，连接公司已有的ldap协议的服务器，去做验证么 ...

2个需求。都比较迫切需要
第一 跟你说的一样
第二 个AP 需要增加AAA 认证 并且支持LDAP 认证。

aa4792999

LeoChueng 发表于 2021-9-8 14:34
哈喽哥哥，你说的接入openldap协议，是ikuai路由作为客户端，连接公司已有的ldap协议的服务器，去做验证么 ...

还有第三个。 openvpn 服务端接入LDAP 验证

LeoChueng

aa4792999 发表于 2021-11-5 18:23
还有第三个。 openvpn 服务端接入LDAP 验证

可行性验证目前看是可以的，不过应该不会一起上很多，先上个web认证，走简单认证，等商用的可用性和稳定性都没问题的时候，再逐步扩大功能和复杂度。
拆分全部功能为分步走
希望我们能说到做到不食言。
另外我想顺便问问，咱们的ad域控制器客户端和服务器之间通信有数据加密的需求么，强烈程度有多大。

hugovk

这个一般，都是用专门的LDAP认证或RADIUS认证服务器去做的，如果是公司，一般会有专门的服务器架设，而且，不止一台，基本是多机备份冗余，防止宕机。而家用的话，用NAS像群晖也可以设置，或者用个小功耗的树莓派去做微型服务顺也可以，在路由器的认证里，只需设置IP指向服务器，通过加密隧道连接就行了。

而且，从网络的健壮性、快速恢复、可维护等角度来说，把认证服务端集成到路由器里，这样做也不太妥，但凡用得上认证服务的场合，行业经验和通行的做法，都是用单独的认证服务器，这样才有利于维护，即便更换设备或更新路由刷固件，也不会影响到用户的认证数据。

作为一个路由固件，最主要是做好路由转发，在保证稳定性的基础上，适当增加必要的功能，这没什么，但如果集成太多太复杂的功能，有时候未必太好，对系统性能和稳定性，势必会增加潜在的故障节点及影响。像这些认证，搞过AD域管理的恐怕就有所体验，有时候挺吃带宽的。

最后，说句大白话，如果家用的，几个十几二十个个的用户认证，用NAS或树莓派玩玩都够了。而如果上到几百上千的用户认证，这也不是爱快或路由器所能承担得了。

LeoChueng

有加密就麻烦一些，目前我们也验证了，linux下生成的证书，用在ad和路由器的客户端里，是没问题的;但ad证书服务器生成的证书用在路由器里，是用不了的，查到最后发现，ad证书服务器生成的证书，到最后拆分的证书，是没有保存下来共用名的关键字段，导致证书用不起来，而且如果加密，就要考虑证书从哪里来，就要考虑证书的链最顶端的认证中心。所以问题将会变得复杂，并且相关维护会变得困难。

LeoChueng

目前的功能也只是把爱快需要用户名密码验证的部分，与ad对接，增加企业和用户对帐号密码管理的易用性、统一性，减少以爱快为路由接入是产生的接入和管理成本。让用户管理用户名密码更方便一些，可能这点的意义比较大

aa4792999

LeoChueng 发表于 2021-11-18 14:22
目前的功能也只是把爱快需要用户名密码验证的部分，与ad对接，增加企业和用户对帐号密码管理的易用性、统一 ...

没错 这个挺赞同。但是安全性也要考虑进去。
也就是企业安全。目前我了解到的其实有很多企业已经开始使用用户唯一验证，不仅仅表现在管理层面，还表现在用户接入层面。
比如 AP WIFI  portal 验证来说就非常需要，每个用户使用自己的开通账号密码统一验证，也是对终端安全的一种接入方式
市面上支持这类安全产品的价格都比较昂贵。
希望爱快后续可以更新改进
另外 迫切需要 WIFI  portal + ldap验证
再补充下 我们用的是自己搭建ldap 验证服务 非ad