이 문서에서는 Cisco LDAP(Lightweight Directory Access Protocol) 서버와의 통합을 위해 Cisco ISE(Identity Services Engine)를 구성하는 방법에 대해 설명합니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
다음 인증 방법은 LDAP에서 지원됩니다.
이 섹션에서는 네트워크 디바이스를 구성하고 ISE를 LDAP 서버와 통합하는 방법에 대해 설명합니다.
이 컨피그레이션 예에서 엔드포인트는 무선 네트워크와 연결하기 위해 무선 어댑터를 사용합니다.WLC의 무선 LAN(WLAN)은 ISE를 통해 사용자를 인증하도록 구성됩니다.ISE에서 LDAP는 외부 ID 저장소로 구성됩니다.
이 그림에서는 사용되는 네트워크 토폴로지를 보여 줍니다.
Microsoft Windows용 OpenLDAP 설치는 GUI를 통해 완료되며 간단합니다.기본 위치는 C:> OpenLDAP입니다.설치 후 다음 디렉토리가 표시됩니다.
특히 다음 두 디렉토리에 유의하십시오.
LDAP 데이터베이스에 이 구조를 추가합니다.
루트 디렉터리 아래에서 두 개의 OU(Organizational Unit)를 구성해야 합니다. OU=groups OU에는 자식 그룹(cn=domainusers)이 하나 있어야 합니다. OU=people OU는 cn=domainusers 그룹에 속하는 두 사용자 계정을 정의합니다.
데이터베이스를 채우려면 먼저 ldif 파일을 생성해야 합니다.앞서 설명한 구조는 이 파일에서 생성되었습니다.
dn: ou=groups,dc=maxcrc,dc=com
changetype: add
ou: groups
description: All groups in organisation
objectclass: organizationalunit
dn: ou=people,dc=maxcrc,dc=com
changetype: add
ou: people
description: All people in organisation
objectclass: organizationalunit
dn: uid=john.doe,ou=people,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: john.doe
givenName: John
sn: Doe
cn: John Doe
mail: john.doe@example.com
userPassword: password
dn: uid=jan.kowalski,ou=people,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: jan.kowalski
givenName: Jan
sn: Kowalski
cn: Jan Kowalski
mail: jan.kowalski@example.com
userPassword: password
dn: cn=domainusers,ou=groups,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: posixGroup
gidNumber: 678
memberUid: uid=john.doe,ou=people,dc=maxcrc,dc=com
memberUid: uid=jan.kowalski,ou=people,dc=maxcrc,dc=com
LDAP 데이터베이스에 객체를 추가하려면 ldapmodify 이진을 사용할 수 있습니다.
C:\OpenLDAP\ClientTools>ldapmodify.exe -a -x -h localhost -p 389 -D "cn=Manager,
dc=maxcrc,dc=com" -w secret -f C:\OpenLDAP\ldifdata\test.ldif
ldap_connect_to_host: TCP localhost:389
ldap_new_socket: 496
ldap_prepare_socket: 496
ldap_connect_to_host: Trying ::1 389
ldap_pvt_connect: fd: 496 tm: -1 async: 0
attempting to connect:
connect success
adding new entry "ou=groups,dc=maxcrc,dc=com"
adding new entry "ou=people,dc=maxcrc,dc=com"
adding new entry "uid=john.doe,ou=people,dc=maxcrc,dc=com"
adding new entry "uid=jan.kowalski,ou=people,dc=maxcrc,dc=com"
adding new entry "cn=domainusers,ou=groups,dc=maxcrc,dc=com"
ISE에서 LDAP를 외부 ID 저장소로 구성하려면 이 섹션 전체의 이미지에 제공되는 정보를 사용합니다.
일반 탭에서 다음 특성을 구성할 수 있습니다.
또한 ISE는 사전 구성된 몇 가지 스키마(Microsoft Active Directory, Sun, Novell)를 제공합니다.
올바른 IP 주소 및 관리 도메인 이름을 설정한 후 서버에 바인딩을 테스트할 수 있습니다.이 시점에서 검색 기준이 아직 구성되지 않았으므로 제목 또는 그룹을 검색해서는 안 됩니다.
다음 탭에서 Subject/Group Search Base를 구성할 수 있습니다.LDAP에 대한 ISE의 가입 포인트입니다.가입 포인트의 1차 하위 구성요소인 주제 및 그룹만 검색할 수 있습니다.이 시나리오에서는 OU=people 및 OU=groups의 주제가 검색됩니다.
Groups(그룹) 탭에서 ISE의 LDAP에서 그룹을 가져올 수 있습니다.
802.1x 인증을 위한 WLC를 구성하려면 다음 이미지에 제공된 정보를 사용합니다.
LDAP에 대해 지원되는 인증 방법 중 하나는 EAP-GTC입니다.Cisco AnyConnect에서 사용할 수 있지만 프로파일을 올바르게 구성하려면 Network Access Manager 프로파일 편집기를 설치해야 합니다.기본적으로 여기에 있는 Network Access Manager 컨피그레이션도 편집해야 합니다.
C:> ProgramData > Cisco > Cisco AnyConnect Secure Mobility Client > Network Access Manager > system > configuration.xml 파일
엔드포인트에서 EAP-GTC를 구성하려면 다음 이미지에 제공된 정보를 사용합니다.
ISE에서 인증 및 권한 부여 정책을 변경하려면 다음 이미지에 제공되는 정보를 사용합니다.
컨피그레이션을 적용한 후 네트워크에 연결할 수 있어야 합니다.
LDAP 및 ISE 컨피그레이션을 확인하려면 서버에 대한 테스트 연결을 통해 주제 및 그룹을 검색할 수 있어야 합니다.
다음 이미지는 ISE의 샘플 보고서를 보여줍니다.
이 섹션에서는 이 컨피그레이션에서 발생하는 몇 가지 일반적인 오류 및 이러한 오류를 해결하는 방법에 대해 설명합니다.
Authentication method is not supported by any applicable identity store이 오류 메시지는 선택한 방법이 LDAP에서 지원되지 않음을 나타냅니다.동일한 보고서의 인증 프로토콜에 지원되는 방법(EAP-GTC, EAP-TLS 또는 PEAP-TLS) 중 하나가 표시되는지 확인합니다.