Lightweight Directory Access Protocol (LDAP) ist ein Netzwerkprotokoll zum Abfragen und Ändern von Verzeichnisdiensten, die unter TCP/IP und UDP ausgeführt werden. LDAP ist ein einfacher Mechanismus für den Zugriff auf einen x.500-basierten Verzeichnisserver. RFC 2251 definiert LDAP.
Das Cisco Secure Access Control System (ACS) 5.x kann mithilfe des LDAP-Protokolls in eine externe LDAP-Datenbank (auch als Identitätsspeicher bezeichnet) integriert werden. Es gibt zwei Methoden, um eine Verbindung zum LDAP-Server herzustellen: eine einfache (einfache) und eine SSL-Verbindung (verschlüsselt). ACS 5.x kann so konfiguriert werden, dass mit beiden Methoden eine Verbindung zum LDAP-Server hergestellt wird. Dieses Dokument enthält ein Konfigurationsbeispiel für die Verbindung von ACS 5.x mit einem LDAP-Server über eine einfache Verbindung.
In diesem Dokument wird davon ausgegangen, dass der ACS 5.x über eine IP-Verbindung mit dem LDAP-Server verfügt und der Port TCP 389 offen ist.
Standardmäßig ist der Microsoft Active Directory-LDAP-Server für die Annahme von LDAP-Verbindungen auf Port TCP 389 konfiguriert. Wenn Sie einen anderen LDAP-Server verwenden, stellen Sie sicher, dass dieser läuft und Verbindungen auf Port TCP 389 akzeptiert.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Cisco Secure ACS 5.x
Microsoft Active Directory-LDAP-Server
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Der Verzeichnisdienst ist eine Softwareanwendung oder ein Satz von Anwendungen, die zum Speichern und Organisieren von Informationen über die Benutzer und Netzwerkressourcen eines Computernetzwerks verwendet werden. Sie können den Verzeichnisdienst verwenden, um den Benutzerzugriff auf diese Ressourcen zu verwalten.
Der LDAP-Verzeichnisdienst basiert auf einem Client-Server-Modell. Ein Client stellt eine Verbindung zu einem LDAP-Server her, um eine LDAP-Sitzung zu starten, und sendet Vorgangsanforderungen an den Server. Der Server sendet dann seine Antworten. Ein oder mehrere LDAP-Server enthalten Daten aus der LDAP-Verzeichnisstruktur oder der LDAP-Back-End-Datenbank.
Der Verzeichnisdienst verwaltet das Verzeichnis, d. h. die Datenbank, in der die Informationen gespeichert sind. Verzeichnisdienste verwenden ein verteiltes Modell, um Informationen zu speichern, und diese Informationen werden in der Regel zwischen Verzeichnisservern repliziert.
Ein LDAP-Verzeichnis ist in einer einfachen Baumhierarchie organisiert und kann auf viele Server verteilt werden. Jeder Server kann über eine replizierte Version des Gesamtverzeichnisses verfügen, die regelmäßig synchronisiert wird.
Ein Eintrag in der Struktur enthält eine Reihe von Attributen, wobei jedes Attribut einen Namen (einen Attributtyp oder eine Attributbeschreibung) und einen oder mehrere Werte aufweist. Die Attribute werden in einem Schema definiert.
Jeder Eintrag hat eine eindeutige Kennung, die als Distinguished Name (DN) bezeichnet wird. Dieser Name enthält den RDN (Relative Distinguished Name), der aus Attributen im Eintrag erstellt wird, gefolgt vom DN des übergeordneten Eintrags. Sie können sich den DN als vollständigen Dateinamen und den RDN als relativen Dateinamen in einem Ordner vorstellen.
ACS 5.x kann einen Prinzipal mithilfe eines LDAP-Identitätsspeichers authentifizieren, indem eine Bindung auf dem Verzeichnisserver durchgeführt wird, um den Prinzipal zu finden und zu authentifizieren. Wenn die Authentifizierung erfolgreich ist, kann ACS Gruppen und Attribute abrufen, die zum Prinzipal gehören. Die abzurufenden Attribute können in der ACS-Webschnittstelle (LDAP-Seiten) konfiguriert werden. Diese Gruppen und Attribute können von ACS verwendet werden, um den Auftraggeber zu autorisieren.
Um einen Benutzer zu authentifizieren oder den LDAP-Identitätsspeicher abzufragen, stellt der ACS eine Verbindung zum LDAP-Server her und unterhält einen Verbindungspool. Siehe LDAP-Verbindungsverwaltung.
ACS 5.x unterstützt mehrere gleichzeitige LDAP-Verbindungen. Verbindungen werden bei Bedarf zum Zeitpunkt der ersten LDAP-Authentifizierung geöffnet. Die maximale Anzahl von Verbindungen wird für jeden LDAP-Server konfiguriert. Das vorherige Öffnen von Verbindungen verkürzt die Authentifizierungszeit.
Sie können die maximale Anzahl von Verbindungen festlegen, die für gleichzeitige Bindungsverbindungen verwendet werden. Die Anzahl der geöffneten Verbindungen kann für jeden LDAP-Server (primär oder sekundär) unterschiedlich sein und richtet sich nach der maximalen Anzahl der für jeden Server konfigurierten Administrationsverbindungen.
ACS speichert eine Liste der offenen LDAP-Verbindungen (einschließlich der Bindungsinformationen) für jeden LDAP-Server, der in ACS konfiguriert wird. Während des Authentifizierungsprozesses versucht der Verbindungs-Manager, eine offene Verbindung aus dem Pool zu finden.
Wenn keine offene Verbindung vorhanden ist, wird eine neue geöffnet. Wenn der LDAP-Server die Verbindung geschlossen hat, meldet der Verbindungs-Manager beim ersten Aufruf zur Suche im Verzeichnis einen Fehler und versucht, die Verbindung zu erneuern.
Nachdem der Authentifizierungsprozess abgeschlossen ist, gibt der Verbindungs-Manager die Verbindung zum Verbindungs-Manager frei. Weitere Informationen finden Sie im ACS 5.X Benutzerhandbuch.
In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.
Gehen Sie wie folgt vor, um ACS 5.x für LDAP zu konfigurieren:
Wählen Sie Benutzer und Identitätsdaten > Externe Identitätsdaten > LDAP aus, und klicken Sie auf Erstellen, um eine neue LDAP-Verbindung zu erstellen.
Geben Sie auf der Registerkarte Allgemein den Namen und die Beschreibung (optional) für das neue LDAP an, und klicken Sie auf Weiter.
Geben Sie auf der Registerkarte "Server Connection" (Serververbindung) im Abschnitt "Primary Server" (Primärer Server) den Hostnamen, den Port, die Admin-DN und das Kennwort an. Klicken Sie auf Verbindung mit Server testen.
Hinweis: Die der IANA zugewiesene Portnummer für LDAP ist TCP 389. Bestätigen Sie jedoch die von Ihrem LDAP-Server verwendete Portnummer von Ihrem LDAP-Administrator. Die Administrator-DN und das Kennwort sollten Ihnen von Ihrem LDAP-Administrator mitgeteilt werden. Die Administrator-DN muss über Leseberechtigungen für alle Organisationseinheiten auf dem LDAP-Server verfügen.
Dieses Bild zeigt, dass die Verbindungstestbindung zum Server erfolgreich war.
Hinweis: Wenn die Testbindung nicht erfolgreich ist, überprüfen Sie den Hostnamen, die Portnummer, die Admin-DN und das Passwort Ihres LDAP-Administrators erneut.
Klicken Sie auf Next (Weiter).
Geben Sie die erforderlichen Details im Abschnitt Schema auf der Registerkarte Verzeichnisorganisation an. Geben Sie entsprechend den Angaben Ihres LDAP-Administrators im Abschnitt Verzeichnisstruktur die erforderlichen Informationen ein. Klicken Sie auf Konfiguration testen.
Dieses Bild zeigt, dass der Konfigurationstest erfolgreich war.
Hinweis: Wenn der Konfigurationstest nicht erfolgreich war, überprüfen Sie erneut die im Schema und in der Verzeichnisstruktur Ihres LDAP-Administrators angegebenen Parameter.
Klicken Sie auf Beenden.
Der LDAP-Server wurde erfolgreich erstellt.
Führen Sie die folgenden Schritte aus, um den Identity Store zu konfigurieren:
Wählen Sie Zugriffsrichtlinien > Zugriffsdienste > Dienstauswahlregeln aus, und überprüfen Sie, welcher Dienst den LDAP-Server für die Authentifizierung verwendet. In diesem Beispiel wird für die LDAP-Serverauthentifizierung der Standard-Netzwerkzugriffsdienst verwendet.
Wenn Sie den Service in Schritt 1 überprüft haben, gehen Sie zu dem entsprechenden Service, und klicken Sie auf Zugelassene Protokolle. Vergewissern Sie sich, dass PAP/ASCII zulassen ausgewählt ist, und klicken Sie auf Senden.
Hinweis: Sie können andere Authentifizierungsprotokolle zusammen mit PAP/ASCII zulassen auswählen.
Klicken Sie auf den in Schritt 1 angegebenen Service, und klicken Sie auf Identität. Klicken Sie rechts neben dem Feld Identitätsquelle auf Auswählen.
Wählen Sie den neu erstellten LDAP-Server (in diesem Beispiel myLDAP) aus, und klicken Sie auf OK.
Klicken Sie auf Änderungen speichern.
Gehen Sie zum Abschnitt "Autorisierung" des in Schritt 1 angegebenen Service, und stellen Sie sicher, dass mindestens eine Regel für die Authentifizierung vorhanden ist.
ACS sendet eine Verbindungsanforderung, um den Benutzer mithilfe eines LDAP-Servers zu authentifizieren. Die Bindungsanforderung enthält den DN und das Benutzerkennwort des Benutzers in Klartext. Ein Benutzer wird authentifiziert, wenn die DN und das Kennwort des Benutzers mit dem Benutzernamen und dem Kennwort im LDAP-Verzeichnis übereinstimmen.
Authentifizierungsfehler - ACS protokolliert Authentifizierungsfehler in den ACS-Protokolldateien.
Initialisierungsfehler - Verwenden Sie die Timeout-Einstellungen des LDAP-Servers, um die Anzahl der Sekunden zu konfigurieren, die ACS auf eine Antwort von einem LDAP-Server wartet, bevor festgestellt wird, dass die Verbindung oder Authentifizierung auf diesem Server fehlgeschlagen ist. Mögliche Gründe für die Rückgabe eines Initialisierungsfehlers durch einen LDAP-Server:
LDAP wird nicht unterstützt
Der Server ist ausgefallen.
Der Server verfügt nicht über genügend Speicher.
Der Benutzer hat keine Berechtigungen.
Falsche Administratoranmeldeinformationen wurden konfiguriert
Bind-Fehler - Mögliche Ursachen, aus denen ein LDAP-Server Bind-(Authentifizierungs-)Fehler zurückgibt, sind:
Filtern von Fehlern
Eine Suche mit Filterkriterien ist fehlgeschlagen.
Parameterfehler
Es wurden ungültige Parameter eingegeben
Benutzerkonto ist eingeschränkt (deaktiviert, gesperrt, abgelaufen, Kennwort abgelaufen usw.)
Diese Fehler werden als externe Ressourcenfehler protokolliert, was auf ein mögliches Problem mit dem LDAP-Server hinweist:
Es ist ein Verbindungsfehler aufgetreten.
Das Timeout ist abgelaufen.
Der Server ist ausgefallen.
Der Server verfügt nicht über genügend Speicher.
Der Fehler "Ein Benutzer ist nicht vorhanden" in der Datenbank wird als "Unbekannter Benutzer" protokolliert.
Der Fehler Ein ungültiges Kennwort wurde eingegeben wird als Fehler Ungültiges Kennwort protokolliert, in dem der Benutzer vorhanden ist, das gesendete Kennwort jedoch ungültig ist.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
14-Mar-2012 |
Erstveröffentlichung |