المقدمة
يصف هذا المستند عملية تكوين مصادقة LDAP في جهاز ظاهري خاص ل Intersight (PVA).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- البروتوكول الخفيف للوصول للدليل (LDAP).
- الجهاز الظاهري الخاص Intersight.
- خادم اسم المجال (DNS).
المكونات المستخدمة
- الجهاز الظاهري الخاص Intersight.
- خدمة Microsoft Active Directory.
- خادم DNS.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
LDAP هو بروتوكول يستخدم للوصول إلى الموارد من دليل عبر الشبكة. تخزن هذه الأدلة المعلومات حول المستخدمين والمؤسسات والموارد. يوفر بروتوكول الوصول الخفيف لتغيير بيانات الدليل (LDAP) طريقة قياسية للوصول إلى تلك المعلومات وإدارتها والتي يمكن إستخدامها في عمليات المصادقة والتفويض.
يبدي هذا وثيقة التشكيل عملية أن يضيف صحة هوية عن بعد من خلال LDAP إلى Intersight PVA.
التكوين
تكوين إعدادات LDAP الأساسية
- انتقل إلى النظام > الإعدادات > المصادقة > LDAP/AD.
- طقطقة يشكل LDAP.
- أدخل المعلومات المطلوبة. تأملوا في التوصيات التالية:
- تم تعيين الاسم بشكل تعسفي ولا يؤثر على التكوين.
- بالنسبة ل BaseDN وBindDN، انسخ القيم المقابلة من تكوين Active Directory (AD) الخاص بك والصقها.
- القيمة الافتراضية لسمة المجموعة هي العضو.
ملاحظة: في أدوات إدارة UCS الأخرى مثل UCSM أو CIMC، يتم تعيين سمة المجموعة على memberOf. وفي Intersight يوصى بتركه كعضو.
- أدخل كلمة المرور لموفر LDAP هذا.
- قم بتمكين تبديل البحث المتداخل في المجموعة إذا كنت تريد السماح بالبحث المتداخل في AD الخاص بك لكل المجموعات من الجذر والمجموعات المتضمنة فيها.
- أترك تمكين التشفير معطل لتكوين LDAP عادي. إذا كانت هناك حاجة إلى LDAP الآمن، قم بتمكينه وضمان مراجعة تكوين المقطع من LDAPs (LDAP الآمن) للخطوات التكميلية التي تحتاج إلى تكوينها.
- إضافة التكوين لخادم LDAP واحد:
- في الخادم قم بتقديم IP أو اسم المضيف لخادم LDAP.
تحذير: إذا تم إستخدام اسم المضيف، فتأكد من قدرة DNS على تعيين اسم المضيف بشكل صحيح.
- المنفذ الافتراضي والموصى به ل LDAP هو 389 .
- انقر فوق حفظ.
مثال التكوين لإعدادات LDAP الأساسية
- مراقبة سير العمل DeployApplianceLDAP من الطلبات في الشريط العلوي.
طلب النشر
تكوين المستخدمين والمجموعات
بمجرد اكتمال سير العمل DeployApplianceLDAP، يمكنك تكوين المجموعات أو المستخدمين الأفراد.
إذا قررت إستخدام "مجموعات"، يتم توفير التخويل لكافة المستخدمين الذين ينتمون إلى هذه المجموعة. إذا كنت تستخدم "مستخدمين فرديين"، فيلزمك إضافة كل مستخدم إلى دور التخويل الخاص به.
تكوين المجموعات
- انتقل إلى النظام > إعدادات > الوصول والإذن > المجموعات.
- طقطقة يضيف مجموعة.
- حدد موفر الهوية. هو الإسم أنت ثبتت على قسم يشكل LDAP أساسي عملية إعداد.
- قم بتعيين اسم للمجموعة.
- أدخل قيمة اسم المجموعة في موفر الهوية. يجب أن يطابق تكوينات المجموعة في خادم LDAP الخاص بك.
- حدد الدور اعتمادا على مستوى الوصول الذي تريد توفيره للمستخدمين في هذه المجموعة. راجع الأدوار والامتيازات في Intersight.
مثال تكوين لمجموعة
تكوين المستخدمين
إذا كنت تفضل تكوين مستخدمين فرديين بدلا من مجموعات، فيرجى الالتزام بهذه الإرشادات:
- انتقل إلى النظام > إعدادات > الوصول والإذن > المستخدمين.
- انقر فوق إضافة مستخدم.
- تحديد مستخدم بعيد.
- حدد موفر الهوية. هو الإسم أنت ثبتت على قسم يشكل LDAP أساسي عملية إعداد.
- قم بتعيين معرف مستخدم.
تلميح: لاستخدام اسم المستخدم كطريقة تسجيل دخول، انسخ في حقل معرف المستخدم، القيمة التي تم تكوينها ك sAMAccountName في خادم LDAP الخاص بك.
إذا كنت ترغب في إستخدام البريد الإلكتروني، فتأكد من تعيين البريد الإلكتروني للمستخدم في سمة البريد في خادم LDAP.
- حدد الدور حسب مستوى الوصول الذي تريد توفيره للمستخدم. راجع الأدوار والامتيازات في Intersight.
مثال التكوين لمستخدم
تكوين LDAPs (LDAP الآمن)
إذا كنت تريد تأمين اتصال LDAP الخاص بك بتشفير، تحتاج إلى شهادة موقعة من المرجع المصدق الخاص بك. تأكد من تطبيق هذه التغييرات على التكوين:
- أتمت ال steps من تشكيل ال LDAP أساسي عملية إعداد لكن ضمنت أن يحرك المنزلق يمكن تشفير إلى اليمين (خطوة 3.g).
- تأكد من أن المنفذ المستخدم إما 636 أو 3269 الذي يعد المنافذ التي تدعم نقاط الوصول في الوضع Lightweight (LDAPs) (آمن). كل آخر يساند ميناء LDAP عبر TLS.
تغييرات التكوين ل LDAP الآمن
- احفظ التكوين وانتظر انتهاء سير العمل DeployApplianceLDAP.
- إضافة شهادة مع الخطوات التالية:
- انتقل إلى النظام > الإعدادات > المصادقة > شهادات > موثوق بها.
- انقر على إضافة شهادة.
- انقر على إستعراض وحدد ملف .pem يحتوي على الشهادة التي تم إصدارها من المرجع المصدق الخاص بك.
التكوين لإضافة شهادة
التحقق من الصحة
في المستعرض الخاص بك، انتقل إلى عنوان URL الخاص ب Intersight Virtual Appliance. تعرض الشاشة الآن خيارا لتسجيل الدخول باستخدام بيانات اعتماد LDAP:
تم تمكين تكوين LDAP من شاشة تسجيل الدخول
استكشاف الأخطاء وإصلاحها
إذا فشل تسجيل الدخول، توفر رسائل الخطأ تلميحات حول ما يمكن أن يكون خطأ.
خطأ 1. تفاصيل الوصول الخطأ
رسالة خطأ لخطأ كلمة المرور
يعني هذا الخطأ أن بيانات الوصول غير صحيحة.
- تحقق من صحة اسم المستخدم وكلمة المرور.
خطأ 2. بيانات ربط خاطئة
رسالة خطأ لبيانات الربط الخطأ
يعني هذا الخطأ أن بيانات الربط غير صحيحة.
- تحقق من BindDN.
- دققت الربط كلمة يشكل في ال LDAP عملية إعداد.
خطأ 3. تعذر العثور على المستخدم
لم يتم العثور على رسالة خطأ للمستخدم
يتم تشغيل هذا عندما لا يرجع البحث الموجود في خادم LDAP أي مستخدمين معتمدين. تحقق من صحة الإعدادات التالية:
- تحقق من BaseDN. المعلمات المستخدمة للبحث عن المستخدم خاطئة.
- تأكد من تعيين سمة المجموعة على العضو بدلا من العضو.
- تحقق من صحة اسم المجموعة في موفر الهوية في تكوين المجموعات. وينطبق هذا فقط عندما يتم توفير التخويل عبر "المجموعات".
- تحقق من تعيين البريد الإلكتروني للمستخدم بشكل صحيح في حقل البريد في تكوين AD للمستخدم. لا ينطبق هذا إلا عند توفير التخويل إلى مستخدمين أفراد.
خطأ 4. شهادة خاطئة
رسالة خطأ لشهادة غير صحيحة
في حالة تمكين بروتوكول LDAP المشفر:
- تحقق من تكوين الشهادة ومن أنها تحتوي على الشهادة الكاملة الصحيحة.
خطأ 5. تمكين التشفير يستخدم مع منفذ آمن
تم تعطيل رسالة الخطأ لتمكين التشفير
يظهر هذا خطأ عندما يمكن تشفير لا يكون ممكنا لكن ميناء ل LDAP آمن يكون شكلت.
- ضمنت أن يستعمل أنت ميناء 389 إن لا مكنت تشفير.
خطأ 6. معلمات الاتصال غير صحيحة
رسالة الخطأ للمنفذ الخطأ
يعني هذا الخطأ أنه لم يكن من الممكن إنشاء اتصال ناجح بخادم LDAP. الرجاء التحقق من:
- يجب على خادم DNS حل اسم المضيف الخاص بخادم LDAP إلى IP الصحيح.
- يمكن لجهاز Intersight الوصول إلى خادم LDAP.
- تأكد من إستخدام المنفذ 389 ل LDAP غير المشفر، 636 أو 3269 ل LDAP الآمن (LDAPs) وأي آخر ل TLS (تمكين التشفير وإعداد شهادة).
معلومات ذات صلة