ACS 5.X: Configuratievoorbeeld voor beveiligde LDP-server

Inleiding

Lichtgewicht Directory Access Protocol (LDAP) is een netwerkprotocol voor het vragen en wijzigen van directory services die draaien op TCP/IP en UDP. LDAP is een lichtgewicht mechanisme om toegang te krijgen tot een x.500-gebaseerde folder server. RFC 2251 definieert LDAP.

Toegangscontroleserver (ACS) 5.x wordt geïntegreerd met een LDAP externe database, ook wel een identiteitsopslag genoemd, met behulp van het LDAP-protocol. Er zijn twee methoden om verbinding te maken met de LDAP server: verbinding met onbewerkte tekst (eenvoudig) en SSL (versleuteld). ACS 5.x kan worden ingesteld om met beide methoden verbinding te maken met de LDAP-server. In dit document wordt ACS 5.x ingesteld om met behulp van een versleutelde verbinding verbinding verbinding te maken met een LDAP-server.

Voorwaarden

Vereisten

Dit document gaat ervan uit dat ACS 5.x een IP-verbinding heeft met de LDAP-server en dat TCP 636 van de poort is geopend.

De Microsoft® Active Directory LDAP server moet worden geconfigureerd om beveiligde LBP-verbindingen te accepteren via TCP 636. Dit document gaat ervan uit dat u het basiscertificaat hebt van de certificeringsinstantie (CA) die het servercertificaat heeft afgegeven aan de Microsoft LDAP server. Raadpleeg voor meer informatie over de configuratie van de LDAP-server hoe u LDAP via SSL kunt inschakelen bij een certificeringsinstantie van derden.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco Secure ACS 5.x

• Microsoft Active Directory LDAP-server

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Map-service

De telefoongidsdienst is een softwaretoepassing of een reeks toepassingen, voor het opslaan en organiseren van informatie over de gebruikers en netwerkbronnen van een computernetwerk. U kunt de telefoongids service gebruiken om de toegang van gebruikers tot deze bronnen te beheren.

De LDAP-telefoongids service is gebaseerd op een clientservermodel. Een client start een LBP-sessie door verbinding te maken met een LBP-server en stuurt verzoeken om bewerking naar de server. De server stuurt dan zijn antwoorden. Een of meer LDAP-servers bevatten gegevens uit de LDAP-directory boom of de LDAP-backend-database.

De telefoongids service beheert de folder, de database die de informatie bevat. Indexdiensten gebruiken een gedistribueerd model voor het opslaan van informatie, en die informatie wordt gewoonlijk herhaald tussen directory servers.

Een LDAP-directory wordt georganiseerd in een eenvoudige boomstructuur en kan worden verspreid over vele servers. Elke server kan een herhaalde versie van de totale folder hebben die periodiek gesynchroniseerd wordt.

Een vermelding in de boom bevat een reeks eigenschappen, waarbij elke eigenschap een naam (een soort eigenschap of beschrijving van de eigenschap) en een of meer waarden heeft. De eigenschappen worden gedefinieerd in een schema.

Elke vermelding heeft een unieke identificatiecode: zijn onderscheidde naam (DN). Deze naam bevat de Relative Distributed Name (RDN) geconstrueerd op basis van eigenschappen in de ingang, gevolgd door DNA van de ouderingang. Je kunt de DNA als een volledige bestandsnaam zien, en de RDN als een relatieve bestandsnaam in een map.

Verificatie met LDAP

ACS 5.x kan een aangever tegen een LDAP-identiteitsopslag authentificeren door een bindingshandeling op de folder server uit te voeren om de aangever te vinden en te authentiseren. Als de authenticatie slaagt, kan ACS groepen en eigenschappen terugkrijgen die tot het hoofd behoren. De te herstellen eigenschappen kunnen worden ingesteld in de ACS-web interface (LDAP-pagina's). Deze groepen en eigenschappen kunnen door ACS worden gebruikt om de opdrachtgever te machtigen.

Om een gebruiker te authentiseren of het LDAP-identiteitsarchief te bevragen, sluit ACS zich aan op de LDAP-server en onderhoudt een verbindingspool.

LDAP-verbindingsbeheer

ACS 5.x ondersteunt meerdere parallelle LDAP-verbindingen. Aansluitingen worden op verzoek geopend op het tijdstip van de eerste authenticatie van de LDAP. Het maximale aantal verbindingen wordt ingesteld voor elke LBP-server. Het vooraf openen van verbindingen verkort de authenticatietijd.

U kunt het maximale aantal verbindingen instellen die gebruikt moeten worden voor gelijktijdige bindingsverbindingen. Het aantal geopende verbindingen kan per LDAP-server (primair of secundair) verschillend zijn en wordt bepaald op basis van het maximale aantal beheerverbindingen dat voor elke server is ingesteld.

ACS behoudt een lijst van open LDAP-verbindingen (met inbegrip van de bindingsinformatie) voor elke LDAP-server die is ingesteld in ACS. Tijdens het authenticatieproces probeert de verbindingsmanager een open verbinding uit de pool te vinden.

Als er geen open verbinding bestaat, wordt er een nieuwe geopend. Als de LDAP server de verbinding heeft gesloten, meldt de verbindingsmanager een fout tijdens de eerste aanroep om de folder te doorzoeken en probeert de verbinding te vernieuwen.

Nadat het verificatieproces is voltooid, heft de verbindingsmanager de verbinding op aan de verbindingsmanager. Raadpleeg voor meer informatie de ACS 5.X gebruikersgids.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Installeer Root CA-certificaat op ACS 5.x

Voltooi deze stappen om een Root CA-certificaat te installeren op Cisco Secure ACS 5.x:

Opmerking: Zorg ervoor dat de LDAP-server vooraf is ingesteld om versleutelde verbindingen te accepteren op poort TCP 636. Raadpleeg Hoe u LDAP via SSL kunt inschakelen bij een certificeringsinstantie van een derde.

1. Kies Gebruikers en identiteitsopslag > certificaatautoriteiten en klik vervolgens op Toevoegen om het basiscertificaat van de CA die het servercertificaat aan de Microsoft LDAP-server heeft afgegeven, toe te voegen.

   

2. Klik in het gedeelte Certificaatbestand op Importeren op Bladeren naast certificaatbestand om naar het certificaatbestand te zoeken.

   

3. Kies het gewenste certificaatbestand (het basiscertificaat van de CA die het servercertificaat aan de Microsoft LDAP-server heeft afgegeven) en klik op Openen.

   

4. Typ een beschrijving in de ruimte naast Description en klik op Inzenden.

   

   Deze afbeelding toont aan dat het wortelcertificaat correct is geïnstalleerd:

   

ACS 5.X configureren voor beveiligde LDAP

Voltooi deze stappen om ACS 5.x te configureren voor beveiligde LDAP:

1. Kies gebruikers en identiteitsopslag > Externe identiteitsopslag > LDAP en klik op Maken om een nieuwe LDAP-verbinding te maken.

   

2. Typ in het tabblad Algemeen de naam en omschrijving (optioneel) voor de nieuwe LDAP en klik vervolgens op Volgende.

   

3. Typ in het gedeelte Primaire server op het tabblad serververbinding de naam, poort, Admin DN en wachtwoord. Zorg ervoor dat het selectieteken naast Gebruik Secure Authentication is ingeschakeld en kies het onlangs geïnstalleerde Root CA-certificaat. Klik op Test Bind to Server.

   Opmerking: IANA heeft een toegewezen havennummer voor de beveiligde LDAP is TCP 636. Bevestig echter het poortnummer dat uw LDAP server gebruikt vanuit uw LDAP Admin.

   Opmerking: U dient het Admin en Wachtwoord aan u te geven door uw LDAP Admin. De Admin DN moet alle rechten op alle OU's op de LDAP server hebben gelezen.

   

   De volgende afbeelding toont aan dat de Connection Test Bind naar de server geslaagd is.

   Opmerking: Als de Test Bind geen resultaat heeft, controleer dan de Hostname, Port Number, Admin DN, Password en Root CA van uw LDAP beheerder opnieuw.

   

4. Klik op Volgende.

   

5. Typ de gewenste details in het tabblad Map onder de sectie Schema. Verstrek ook de vereiste informatie onder het gedeelte Map Structure zoals dat door uw LDAP Admin wordt verstrekt. Klik op Test Configuration.

   

   De volgende afbeelding toont aan dat de Configuration Test is geslaagd.

   Opmerking: Als de Configuration Test geen resultaat heeft, controleert u de parameters in de Schema en de Directory Structure van uw LDAP-beheerder opnieuw.

   

6. Klik op Voltooien.

   

   De LDAP server is gemaakt.

   

De Identity Store configureren

Vergelijk deze stappen om de Identity Store te configureren:

1. Kies Toegangsbeleid > Toegangsservices > Service Selectieregels voor services en controleer welke service gebruik maakt van Secure LDAP server voor verificatie. In dit voorbeeld is de service standaard netwerktoegang.

   

2. Nadat u de service in stap 1 hebt geverifieerd, gaat u naar de specifieke service en klikt u op Geautomatiseerde protocollen. Zorg ervoor dat PAP/ASCII is geselecteerd en klik vervolgens op Inzenden.

   Opmerking: u kunt andere echtheidsprotocollen laten selecteren door PAP/ASCII toe te staan.

   

3. Klik op de service die in stap 1 is geïdentificeerd en klik vervolgens op Identity. Klik op Selecteren naast Identity Source.

   

4. Selecteer de nieuw gemaakte beveiligde LDAP-server (mijnLDAP in dit voorbeeld) en klik vervolgens op OK.

   

5. Klik op Wijzigingen opslaan.

   

6. Ga naar het gedeelte autorisatie van de service dat in stap 1 is geïdentificeerd en zorg ervoor dat er ten minste één regel is die verificatie toestaat.

   

Problemen oplossen

De ACS stuurt een binair verzoek om de gebruiker op een LDAP-server te certificeren. Het bindt verzoek bevat het DNA van de gebruiker en het gebruikerswachtwoord in duidelijke tekst. Een gebruiker is echt bevonden wanneer de DNA en het wachtwoord van de gebruiker overeenkomen met de gebruikersnaam en het wachtwoord in de LDAP-map.

• Verificatiefouten— ACS logt verificatiefouten in de ACS-logbestanden.

• Initialisatiefaciliteiten— Gebruik de tijdinstellingen van de LDAP server om het aantal seconden te configureren dat de ACS wacht op een antwoord van een LDAP server alvorens te bepalen dat de verbinding of verificatie op die server is mislukt. Mogelijke redenen voor de teruggave van een initialiseringsfout door een LDAP-server zijn:

  • LDAP wordt niet ondersteund

  • De server is omlaag

  • De server is niet geheugen

  • De gebruiker heeft geen rechten

  • Onjuiste Administrator-referenties worden ingesteld

• Bind fouten— Mogelijke redenen voor een LDAP server om binden (authenticatie) fouten terug te geven zijn:

  • Filterfouten

  • Een zoekopdracht met filtercriteria is mislukt

  • Parameter fouten

  • Ongeldige parameters ingevoerd

  • Gebruikersaccount is beperkt (uitgeschakeld, uitgesloten, verlopen, verlopen, wachtwoord verlopen, enzovoort)

Deze fouten worden vastgelegd als externe resource fouten, wat een mogelijk probleem met de LDAP server aangeeft:

• Er is een verbindingsfout opgetreden

• De termijn is verstreken

• De server is omlaag

• De server is niet geheugen

Deze fout is aangemeld als een onbekende gebruikersfout: Een gebruiker bestaat niet in de database.

Deze fout wordt geregistreerd als een ongeldige wachtwoordfout, waarvoor de gebruiker bestaat, maar het verzonden wachtwoord is ongeldig: Er is een ongeldig wachtwoord ingevoerd.

Gerelateerde informatie

• Cisco Secure Access Control-systeem
• Verzoeken om opmerkingen (RFC’s)
• Technische ondersteuning en documentatie – Cisco Systems