Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole réseau qui permet d'interroger et de modifier les services d'annuaire exécutés sur TCP/IP et UDP. LDAP est un mécanisme léger permettant d'accéder à un serveur d'annuaire x.500. RFC 2251 définit LDAP.
Cisco Secure Access Control System (ACS) 5.x s'intègre à une base de données externe LDAP (également appelée magasin d'identités) à l'aide du protocole LDAP. Deux méthodes sont utilisées pour se connecter au serveur LDAP : la connexion en texte clair (simple) et la connexion SSL (chiffrée). ACS 5.x peut être configuré pour se connecter au serveur LDAP en utilisant ces deux méthodes. Ce document fournit un exemple de configuration pour connecter ACS 5.x à un serveur LDAP en utilisant une simple connexion.
Ce document suppose que l'ACS 5.x a une connexion IP au serveur LDAP et que le port TCP 389 est ouvert.
Par défaut, le serveur LDAP Microsoft Active Directory est configuré pour accepter les connexions LDAP sur le port TCP 389. Si vous utilisez un autre serveur LDAP, assurez-vous qu'il est opérationnel et qu'il accepte les connexions sur le port TCP 389.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Cisco Secure ACS 5.x
Serveur LDAP Microsoft Active Directory
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Le service d'annuaire est une application logicielle ou un ensemble d'applications permettant de stocker et d'organiser des informations sur les utilisateurs et les ressources réseau d'un réseau informatique. Vous pouvez utiliser le service d'annuaire afin de gérer l'accès des utilisateurs à ces ressources.
Le service d'annuaire LDAP est basé sur un modèle client-serveur. Un client se connecte à un serveur LDAP afin de démarrer une session LDAP et envoie des demandes d'opération au serveur. Le serveur envoie ensuite ses réponses. Un ou plusieurs serveurs LDAP contiennent des données provenant de l'arborescence du répertoire LDAP ou de la base de données principale LDAP.
Le service d'annuaire gère l'annuaire, qui est la base de données contenant les informations. Les services d'annuaire utilisent un modèle distribué afin de stocker des informations, et ces informations sont généralement répliquées entre les serveurs d'annuaire.
Un annuaire LDAP est organisé en une arborescence simple et peut être distribué entre plusieurs serveurs. Chaque serveur peut avoir une version répliquée du répertoire total qui est synchronisée périodiquement.
Une entrée de l'arborescence contient un ensemble d'attributs, chaque attribut ayant un nom (un type d'attribut ou une description d'attribut) et une ou plusieurs valeurs. Les attributs sont définis dans un schéma.
Chaque entrée possède un identificateur unique appelé nom distinctif (DN). Ce nom contient le nom distinctif relatif (RDN) construit à partir des attributs de l'entrée, suivi du nom distinctif (DN) de l'entrée parent. Vous pouvez considérer le nom distinctif (DN) comme un nom de fichier complet et le nom distinctif relatif (RDN) comme un nom de fichier relatif dans un dossier.
ACS 5.x peut authentifier un principal par rapport à un magasin d'identités LDAP en effectuant une opération de liaison sur le serveur d'annuaire afin de trouver et d'authentifier le principal. Si l'authentification réussit, ACS peut récupérer des groupes et des attributs qui appartiennent à l'entité de sécurité. Les attributs à récupérer peuvent être configurés dans l'interface Web ACS (pages LDAP). Ces groupes et attributs peuvent être utilisés par ACS afin d'autoriser l'entité de sécurité.
Pour authentifier un utilisateur ou interroger le magasin d'identités LDAP, ACS se connecte au serveur LDAP et gère un pool de connexions. Voir Gestion des connexions LDAP.
ACS 5.x prend en charge plusieurs connexions LDAP simultanées. Les connexions sont ouvertes à la demande lors de la première authentification LDAP. Le nombre maximal de connexions est configuré pour chaque serveur LDAP. L'ouverture anticipée des connexions réduit le temps d'authentification.
Vous pouvez définir le nombre maximal de connexions à utiliser pour les connexions de liaison simultanées. Le nombre de connexions ouvertes peut être différent pour chaque serveur LDAP (principal ou secondaire) et est déterminé en fonction du nombre maximal de connexions d'administration configuré pour chaque serveur.
ACS conserve une liste des connexions LDAP ouvertes (y compris les informations de liaison) pour chaque serveur LDAP configuré dans ACS. Au cours du processus d'authentification, le gestionnaire de connexions tente de trouver une connexion ouverte à partir du pool.
S'il n'existe pas de connexion ouverte, une nouvelle est ouverte. Si le serveur LDAP a fermé la connexion, le gestionnaire de connexions signale une erreur lors du premier appel pour effectuer une recherche dans l'annuaire et tente de renouveler la connexion.
Une fois le processus d'authentification terminé, le gestionnaire de connexions relâche la connexion au gestionnaire de connexions. Pour plus d'informations, référez-vous au Guide de l'utilisateur ACS 5.X.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Complétez ces étapes afin de configurer ACS 5.x pour LDAP :
Choisissez Users and Identity Stores > External Identity Stores > LDAP, et cliquez sur Create afin de créer une nouvelle connexion LDAP.
Dans l'onglet Général, indiquez le Nom et la Description (facultatif) pour le nouveau LDAP, puis cliquez sur Suivant.
Dans l'onglet Connexion au serveur sous la section Serveur principal, indiquez le nom d'hôte, le port, le DN admin et le mot de passe. Cliquez sur Test Bind To Server.
Remarque : le numéro de port attribué par l'IANA pour LDAP est TCP 389. Cependant, confirmez le numéro de port que votre serveur LDAP utilise depuis votre administrateur LDAP. Le DN et le mot de passe de l'administrateur doivent vous être fournis par votre administrateur LDAP. Votre DN d'administration doit disposer de toutes les autorisations de lecture sur toutes les unités organisationnelles du serveur LDAP.
Cette image montre que la liaison du test de connexion au serveur a réussi.
Remarque : si la liaison de test échoue, vérifiez à nouveau le nom d'hôte, le numéro de port, le DN d'administration et le mot de passe de votre administrateur LDAP.
Cliquez sur Next (Suivant).
Fournissez les détails requis dans l'onglet Organisation du répertoire sous la section Schéma. De même, fournissez les informations requises dans la section Structure de répertoire, comme indiqué par votre administrateur LDAP. Cliquez sur Tester la configuration.
Cette image montre que le test de configuration a réussi.
Remarque : si le test de configuration échoue, vérifiez à nouveau les paramètres fournis dans le schéma et la structure de répertoire de votre administrateur LDAP.
Cliquez sur Finish (Terminer).
Le serveur LDAP a été créé.
Suivez les étapes ci-dessous pour configurer le magasin d'identités :
Choisissez Access Policies > Access Services > Service Selection Rules, et vérifiez quel service va utiliser le serveur LDAP pour l'authentification. Dans cet exemple, l'authentification du serveur LDAP utilise le service Default Network Access.
Une fois que vous avez vérifié le service à l'étape 1, allez au service particulier et cliquez sur Protocoles autorisés. Assurez-vous que Allow PAP/ASCII est sélectionné, puis cliquez sur Submit.
Remarque : vous pouvez sélectionner d'autres protocoles d'authentification avec Allow PAP/ASCII.
Cliquez sur le service identifié à l'étape 1, puis cliquez sur Identity. Cliquez sur Select à droite du champ Identity Source.
Sélectionnez le nouveau serveur LDAP créé (myLDAP, dans cet exemple), puis cliquez sur OK.
Cliquez sur Enregistrer les modifications.
Accédez à la section Authorization du service identifié à l'étape 1 et vérifiez qu'au moins une règle autorise l'authentification.
ACS envoie une requête de liaison pour authentifier l'utilisateur sur un serveur LDAP. La demande de liaison contient le nom distinctif (DN) et le mot de passe utilisateur en texte clair. Un utilisateur est authentifié lorsque son nom distinctif (DN) et son mot de passe correspondent à ceux de l'annuaire LDAP.
Erreurs d'authentification - ACS consigne les erreurs d'authentification dans les fichiers journaux ACS.
Erreurs d'initialisation - Utilisez les paramètres de délai d'attente du serveur LDAP afin de configurer le nombre de secondes pendant lequel ACS attend une réponse d'un serveur LDAP avant de déterminer que la connexion ou l'authentification sur ce serveur a échoué. Les raisons pour lesquelles un serveur LDAP renvoie une erreur d'initialisation sont les suivantes :
LDAP non pris en charge
Le serveur est en panne
La mémoire du serveur est insuffisante
L'utilisateur n'a aucun privilège
Des informations d'identification administrateur incorrectes sont configurées
Erreurs de liaison - Raisons possibles pour qu'un serveur LDAP renvoie des erreurs de liaison (authentification) :
Erreurs de filtrage
Une recherche utilisant des critères de filtre échoue
Erreurs de paramètre
Des paramètres non valides ont été entrés
Le compte utilisateur est restreint (désactivé, verrouillé, expiré, mot de passe expiré, etc.)
Ces erreurs sont consignées en tant qu'erreurs de ressource externe, ce qui indique un problème possible avec le serveur LDAP :
Une erreur de connexion est survenue
Le délai a expiré
Le serveur est en panne
La mémoire du serveur est insuffisante
L'erreur Un utilisateur n'existe pas dans la base de données est consignée en tant qu'erreur Utilisateur inconnu.
L'erreur Un mot de passe non valide a été entré est consignée en tant qu'erreur Mot de passe non valide, où l'utilisateur existe, mais le mot de passe envoyé n'est pas valide.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
14-Mar-2012 |
Première publication |