ACS 5.x : exemple de configuration du serveur LDAP

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (942.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (663.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:20 mars 2012
ID du document:113473

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole réseau qui permet d'interroger et de modifier les services d'annuaire exécutés sur TCP/IP et UDP. LDAP est un mécanisme léger permettant d'accéder à un serveur d'annuaire x.500. RFC 2251leavingcisco.com définit LDAP.

Cisco Secure Access Control System (ACS) 5.x s'intègre à une base de données externe LDAP (également appelée magasin d'identités) à l'aide du protocole LDAP. Deux méthodes sont utilisées pour se connecter au serveur LDAP : la connexion en texte clair (simple) et la connexion SSL (chiffrée). ACS 5.x peut être configuré pour se connecter au serveur LDAP en utilisant ces deux méthodes. Ce document fournit un exemple de configuration pour connecter ACS 5.x à un serveur LDAP en utilisant une simple connexion.

Conditions préalables

Exigences

Ce document suppose que l'ACS 5.x a une connexion IP au serveur LDAP et que le port TCP 389 est ouvert.

Par défaut, le serveur LDAP Microsoft Active Directory est configuré pour accepter les connexions LDAP sur le port TCP 389. Si vous utilisez un autre serveur LDAP, assurez-vous qu'il est opérationnel et qu'il accepte les connexions sur le port TCP 389.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco Secure ACS 5.x

  • Serveur LDAP Microsoft Active Directory

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

service d'annuaire

Le service d'annuaire est une application logicielle ou un ensemble d'applications permettant de stocker et d'organiser des informations sur les utilisateurs et les ressources réseau d'un réseau informatique. Vous pouvez utiliser le service d'annuaire afin de gérer l'accès des utilisateurs à ces ressources.

Le service d'annuaire LDAP est basé sur un modèle client-serveur. Un client se connecte à un serveur LDAP afin de démarrer une session LDAP et envoie des demandes d'opération au serveur. Le serveur envoie ensuite ses réponses. Un ou plusieurs serveurs LDAP contiennent des données provenant de l'arborescence du répertoire LDAP ou de la base de données principale LDAP.

Le service d'annuaire gère l'annuaire, qui est la base de données contenant les informations. Les services d'annuaire utilisent un modèle distribué afin de stocker des informations, et ces informations sont généralement répliquées entre les serveurs d'annuaire.

Un annuaire LDAP est organisé en une arborescence simple et peut être distribué entre plusieurs serveurs. Chaque serveur peut avoir une version répliquée du répertoire total qui est synchronisée périodiquement.

Une entrée de l'arborescence contient un ensemble d'attributs, chaque attribut ayant un nom (un type d'attribut ou une description d'attribut) et une ou plusieurs valeurs. Les attributs sont définis dans un schéma.

Chaque entrée possède un identificateur unique appelé nom distinctif (DN). Ce nom contient le nom distinctif relatif (RDN) construit à partir des attributs de l'entrée, suivi du nom distinctif (DN) de l'entrée parent. Vous pouvez considérer le nom distinctif (DN) comme un nom de fichier complet et le nom distinctif relatif (RDN) comme un nom de fichier relatif dans un dossier.

Authentification via LDAP

ACS 5.x peut authentifier un principal par rapport à un magasin d'identités LDAP en effectuant une opération de liaison sur le serveur d'annuaire afin de trouver et d'authentifier le principal. Si l'authentification réussit, ACS peut récupérer des groupes et des attributs qui appartiennent à l'entité de sécurité. Les attributs à récupérer peuvent être configurés dans l'interface Web ACS (pages LDAP). Ces groupes et attributs peuvent être utilisés par ACS afin d'autoriser l'entité de sécurité.

Pour authentifier un utilisateur ou interroger le magasin d'identités LDAP, ACS se connecte au serveur LDAP et gère un pool de connexions. Voir Gestion des connexions LDAP.

Gestion des connexions LDAP

ACS 5.x prend en charge plusieurs connexions LDAP simultanées. Les connexions sont ouvertes à la demande lors de la première authentification LDAP. Le nombre maximal de connexions est configuré pour chaque serveur LDAP. L'ouverture anticipée des connexions réduit le temps d'authentification.

Vous pouvez définir le nombre maximal de connexions à utiliser pour les connexions de liaison simultanées. Le nombre de connexions ouvertes peut être différent pour chaque serveur LDAP (principal ou secondaire) et est déterminé en fonction du nombre maximal de connexions d'administration configuré pour chaque serveur.

ACS conserve une liste des connexions LDAP ouvertes (y compris les informations de liaison) pour chaque serveur LDAP configuré dans ACS. Au cours du processus d'authentification, le gestionnaire de connexions tente de trouver une connexion ouverte à partir du pool.

S'il n'existe pas de connexion ouverte, une nouvelle est ouverte. Si le serveur LDAP a fermé la connexion, le gestionnaire de connexions signale une erreur lors du premier appel pour effectuer une recherche dans l'annuaire et tente de renouveler la connexion.

Une fois le processus d'authentification terminé, le gestionnaire de connexions relâche la connexion au gestionnaire de connexions. Pour plus d'informations, référez-vous au Guide de l'utilisateur ACS 5.X.

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Configuration d'ACS 5.x pour LDAP

Complétez ces étapes afin de configurer ACS 5.x pour LDAP :

  1. Choisissez Users and Identity Stores > External Identity Stores > LDAP, et cliquez sur Create afin de créer une nouvelle connexion LDAP.

    acs-simple-ldap-01.gif

  2. Dans l'onglet Général, indiquez le Nom et la Description (facultatif) pour le nouveau LDAP, puis cliquez sur Suivant.

    acs-simple-ldap-02.gif

  3. Dans l'onglet Connexion au serveur sous la section Serveur principal, indiquez le nom d'hôte, le port, le DN admin et le mot de passe. Cliquez sur Test Bind To Server.

    Remarque : le numéro de port attribué par l'IANA pour LDAP est TCP 389. Cependant, confirmez le numéro de port que votre serveur LDAP utilise depuis votre administrateur LDAP. Le DN et le mot de passe de l'administrateur doivent vous être fournis par votre administrateur LDAP. Votre DN d'administration doit disposer de toutes les autorisations de lecture sur toutes les unités organisationnelles du serveur LDAP.

    acs-simple-ldap-03.gif

  4. Cette image montre que la liaison du test de connexion au serveur a réussi.

    acs-simple-ldap-04.gif

    Remarque : si la liaison de test échoue, vérifiez à nouveau le nom d'hôte, le numéro de port, le DN d'administration et le mot de passe de votre administrateur LDAP.

  5. Cliquez sur Next (Suivant).

    acs-simple-ldap-05.gif

  6. Fournissez les détails requis dans l'onglet Organisation du répertoire sous la section Schéma. De même, fournissez les informations requises dans la section Structure de répertoire, comme indiqué par votre administrateur LDAP. Cliquez sur Tester la configuration.

    acs-simple-ldap-06.gif

  7. Cette image montre que le test de configuration a réussi.

    acs-simple-ldap-07.gif

    Remarque : si le test de configuration échoue, vérifiez à nouveau les paramètres fournis dans le schéma et la structure de répertoire de votre administrateur LDAP.

  8. Cliquez sur Finish (Terminer).

    acs-simple-ldap-08.gif

  9. Le serveur LDAP a été créé.

    acs-simple-ldap-09.gif

Configurer le magasin d'identités

Suivez les étapes ci-dessous pour configurer le magasin d'identités :

  1. Choisissez Access Policies > Access Services > Service Selection Rules, et vérifiez quel service va utiliser le serveur LDAP pour l'authentification. Dans cet exemple, l'authentification du serveur LDAP utilise le service Default Network Access.

    acs-simple-ldap-10.gif

  2. Une fois que vous avez vérifié le service à l'étape 1, allez au service particulier et cliquez sur Protocoles autorisés. Assurez-vous que Allow PAP/ASCII est sélectionné, puis cliquez sur Submit.

    Remarque : vous pouvez sélectionner d'autres protocoles d'authentification avec Allow PAP/ASCII.

    acs-simple-ldap-11.gif

  3. Cliquez sur le service identifié à l'étape 1, puis cliquez sur Identity. Cliquez sur Select à droite du champ Identity Source.

    acs-simple-ldap-12.gif

  4. Sélectionnez le nouveau serveur LDAP créé (myLDAP, dans cet exemple), puis cliquez sur OK.

    acs-simple-ldap-13.gif

  5. Cliquez sur Enregistrer les modifications.

    acs-simple-ldap-14.gif

  6. Accédez à la section Authorization du service identifié à l'étape 1 et vérifiez qu'au moins une règle autorise l'authentification.

    acs-simple-ldap-15.gif

Dépannage

ACS envoie une requête de liaison pour authentifier l'utilisateur sur un serveur LDAP. La demande de liaison contient le nom distinctif (DN) et le mot de passe utilisateur en texte clair. Un utilisateur est authentifié lorsque son nom distinctif (DN) et son mot de passe correspondent à ceux de l'annuaire LDAP.

  • Erreurs d'authentification - ACS consigne les erreurs d'authentification dans les fichiers journaux ACS.

  • Erreurs d'initialisation - Utilisez les paramètres de délai d'attente du serveur LDAP afin de configurer le nombre de secondes pendant lequel ACS attend une réponse d'un serveur LDAP avant de déterminer que la connexion ou l'authentification sur ce serveur a échoué. Les raisons pour lesquelles un serveur LDAP renvoie une erreur d'initialisation sont les suivantes :

    • LDAP non pris en charge

    • Le serveur est en panne

    • La mémoire du serveur est insuffisante

    • L'utilisateur n'a aucun privilège

    • Des informations d'identification administrateur incorrectes sont configurées

  • Erreurs de liaison - Raisons possibles pour qu'un serveur LDAP renvoie des erreurs de liaison (authentification) :

    • Erreurs de filtrage

    • Une recherche utilisant des critères de filtre échoue

    • Erreurs de paramètre

    • Des paramètres non valides ont été entrés

    • Le compte utilisateur est restreint (désactivé, verrouillé, expiré, mot de passe expiré, etc.)

Ces erreurs sont consignées en tant qu'erreurs de ressource externe, ce qui indique un problème possible avec le serveur LDAP :

  • Une erreur de connexion est survenue

  • Le délai a expiré

  • Le serveur est en panne

  • La mémoire du serveur est insuffisante

L'erreur Un utilisateur n'existe pas dans la base de données est consignée en tant qu'erreur Utilisateur inconnu.

L'erreur Un mot de passe non valide a été entré est consignée en tant qu'erreur Mot de passe non valide, où l'utilisateur existe, mais le mot de passe envoyé n'est pas valide.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
14-Mar-2012
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits