Konfigurieren Sie die ACI-LDAP-Authentifizierung

Download-Optionen

  • PDF     (1.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.2 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (631.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. April 2024
Dokument-ID:221812

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration der ACI-Authentifizierung (Application Centric Infrastructure) und LDAP-Authentifizierung (Lightweight Directory Access Protocol) beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • ACI-AAA-Richtlinie (Authentication, Authorization und Accounting)
    • LSAP

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Application Policy Infrastructure Controller (APIC) Version 5.2(7f)
    • Ubuntu 20.04 mit slapd und phpLDAPadmin

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    In diesem Abschnitt wird beschrieben, wie Sie den APIC konfigurieren, um ihn in den LDAP-Server zu integrieren und LDAP als Standardauthentifizierungsmethode zu verwenden.

    Konfigurationen

    Schritt 1. Erstellen Sie Gruppen/Benutzer auf Ubuntu phpLDAPadmin

    note-icon

    Anmerkung: Um Ubuntu als LDAP-Server zu konfigurieren, finden Sie umfassende Richtlinien auf der offiziellen Ubuntu-Website. Wenn bereits ein LDAP-Server vorhanden ist, beginnen Sie mit Schritt 2.

    In diesem Dokument ist die Basis-DN gleich,dc=dclab,dc=comund zwei Benutzer (User1 und User2) gehören zu Gruppen (DCGroup).

    LDAP Users and Groups

    Schritt 2: Konfigurieren der LDAP-Anbieter auf dem APIC

    Navigieren Sie in der APIC-Menüleiste wie im Bild dargestellt zuAdmin > AAA > Authentication > LDAP > Providers.

    Create LDAP Provider

    Bind-DN: Die Bind-DN sind die Anmeldeinformationen, die Sie für die Authentifizierung gegenüber einem LDAP verwenden. Der APIC authentifiziert sich mithilfe dieses Kontos, um das Verzeichnis abzufragen.

    Basis-DN: Diese Zeichenfolge wird vom APIC als Bezugspunkt für die Suche und Identifizierung von Benutzereinträgen im Verzeichnis verwendet.

    Kennwort: Dies ist das erforderliche Kennwort für die Bind-DN, die für den Zugriff auf den LDAP-Server erforderlich ist und mit dem auf Ihrem LDAP-Server eingerichteten Kennwort korreliert.

    SSL aktivieren: Wenn Sie eine interne Zertifizierungsstelle oder ein selbstsigniertes Zertifikat verwenden, müssen Sie Permissive (Zulässig) auswählen.

    Filter: Die Standardfiltereinstellung ist,cn=$useridwenn der Benutzer als Objekt mit einem gemeinsamen Namen (CN) definiert ist, wird der Filter verwendet, um nach den Objekten innerhalb der Basis-DN zu suchen.

    Attribut: Das Attribut wird verwendet, um die Gruppenmitgliedschaft und die Gruppenrollen zu bestimmen. Die ACI bietet hier zwei Optionen:memberOfundCiscoAVPair.memberOf ist ein RFC2307bis-Attribut zur Identifizierung der Gruppenmitgliedschaft. Derzeit überprüft OpenLDAP RFC2307,title wird also stattdessen verwendet.

    Management-Endpunktgruppe (EPG): Die Verbindung zum LDAP-Server wird je nach gewähltem Netzwerkmanagementansatz entweder über die In-Band- oder die Out-of-Band-EPG hergestellt.

    Schritt 3: LDAP-Gruppenzuordnungsregeln konfigurieren

    Navigieren Sie in der Menüleiste zu,Admin > AAA > Authentication > LDAP > LDAP Group Map Ruleswie im Bild dargestellt.

    Create LDAP Group Map Rules

    Benutzer in der DCGroup haben Administratorrechte. Aus diesem Grund weist die Gruppen-DN der Sicherheitsdomäne zu,cn=DCGroup, ou=Groups, dc=dclab, dc=com. Aund weist dieserAlldie Rollen vonadminmitwrite privilegezu.

    Schritt 4: Konfigurieren der LDAP-Gruppenzuordnungen

    Navigieren Sie in der Menüleiste zu,Admin > AAA > Authentication > LDAP > LDAP Group Mapswie im Bild dargestellt.

    Create LDAP Group Maps

    Erstellen Sie eine LDAP-Gruppenzuordnung mit den in Schritt 2 erstellten LDAP-Gruppenzuordnungsregeln.

    Schritt 5: AAA-Authentifizierungsrichtlinie konfigurieren

    Navigieren Sie in der Menüleiste zu,Admin > AAA > Authentication > AAA > Policy > Create a login domainwie im Bild dargestellt.

    Create Login Domain

    Navigieren Sie in der Menüleiste zu,Admin > AAA > Authentication > AAA > Policy > Default Authenticationwie im Bild dargestellt.

    Change Default Authentication Method

    Ändern Sie die StandardauthentifizierungRealmin LDAP, und wählen SieLDAP Login Domain erstellt aus.

    Überprüfung

    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Test User1

    Login Result

    Vergewissern Sie sich, dass sich der LDAP-BenutzerUser1erfolgreich mit der Admin-Rolle und den Schreibberechtigungen im APIC anmeldet.

    Fehlerbehebung

    In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

    Wenn der Benutzer nicht in der LDAP-Datenbank vorhanden ist:

    APIC Login Error

    Wenn das Kennwort falsch ist:

    LDAP/AD Server Denied Authentication

    Wenn der LDAP-Server nicht erreichbar ist:

    LDAP/AD Failed to Bind to any Answers

    Befehle für die Fehlerbehebung:

    apic1# moquery -c aaaLdapProvider
Total Objects shown: 1

# aaa.LdapProvider
name               : 10.124.3.6
SSLValidationLevel : strict
annotation         :
attribute          : title
basedn             : ou=Users,dc=dclab,dc=com
childAction        :
descr              :
dn                 : uni/userext/ldapext/ldapprovider-10.124.3.6
enableSSL          : no
epgDn              : uni/tn-mgmt/mgmtp-default/oob-default
extMngdBy          :
filter             : cn=$userid
key                :
lcOwn              : local
modTs              : 2024-03-26T07:01:51.868+00:00
monPolDn           : uni/fabric/monfab-default
monitorServer      : disabled
monitoringPassword :
monitoringUser     : default
nameAlias          :
operState          : unknown
ownerKey           :
ownerTag           :
port               : 389
retries            : 1
rn                 : ldapprovider-10.124.3.6
rootdn             : cn=admin,dc=dclab,dc=com
snmpIndex          : 1
status             :
timeout            : 30
uid                : 15374
userdom            : :all:
vrfName            :

apic1# show aaa authentication
Default : ldap
Console : local

apic1# show aaa groups
Total number of Groups: 1

RadiusGroups :
RsaGroups :
TacacsGroups :
LdapGroups   : LDAP

apic1# show aaa sessions
 Username    User Type   Host             Login Time
 ----------  ----------  ---------------  ------------------------------
 User1       remote      10.140.233.70    2024-04-08T07:51:09.004+00:00
 User1       remote      10.140.233.70    2024-04-08T07:51:11.357+00:00

    Wenn Sie weitere Unterstützung benötigen, wenden Sie sich an das Cisco TAC.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    17-Apr-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Zhengyi Li
      Cisco TAC Engineer
    • Linus Li
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.