Lichtgewicht Directory Access Protocol (LDAP) is een netwerkprotocol voor het opvragen en wijzigen van directoryservices die worden uitgevoerd op TCP/IP en UDP. LDAP is een lichtgewicht mechanisme voor toegang tot een x.500-gebaseerde directory server. RFC 2251 definieert LDAP.
Cisco Secure Access Control System (ACS) 5.x wordt met behulp van het LDAP-protocol geïntegreerd in een externe LDAP-database (ook wel een identiteitsarchief genoemd). Er zijn twee methoden die gebruikt worden om verbinding te maken met de LDAP-server: eenvoudige (tekst) en SSL (versleutelde) verbinding. ACS 5.x kan worden geconfigureerd om verbinding te maken met de LDAP-server met behulp van beide methoden. Dit document biedt een configuratievoorbeeld voor het aansluiten van ACS 5.x op een LDAP-server via een eenvoudige verbinding.
In dit document wordt ervan uitgegaan dat de ACS 5.x een IP-verbinding met de LDAP-server heeft en dat poort TCP 389 is geopend.
Standaard is de Microsoft Active Directory LDAP-server geconfigureerd om LDAP-verbindingen te accepteren op poort TCP 389. Als u een andere LDAP-server gebruikt, zorg er dan voor dat deze actief is en verbindingen accepteert op poort TCP 389.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco Secure ACS 5.x
Microsoft Active Directory LDAP-server
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
De indexdienst is een softwaretoepassing of reeks toepassingen die worden gebruikt om informatie over de gebruikers van een computernetwerk en de netwerkmiddelen op te slaan en te organiseren. U kunt de indexdienst gebruiken om gebruikerstoegang tot deze middelen te beheren.
De LDAP directory service is gebaseerd op een client-server model. Een client maakt verbinding met een LDAP-server om een LDAP-sessie te starten en stuurt verrichtingsverzoeken naar de server. De server verstuurt vervolgens de antwoorden. Een of meer LDAP-servers bevatten gegevens uit de LDAP-directory boom of de LDAP-back-end database.
De directory service beheert de directory, die de database is die de informatie bevat. De indexdiensten gebruiken een gedistribueerd model om informatie op te slaan, en die informatie wordt gewoonlijk herhaald tussen indexservers.
Een LDAP directory is georganiseerd in een eenvoudige boomhiërarchie en kan verdeeld worden over vele servers. Elke server kan een gerepliceerde versie hebben van de totale map die periodiek gesynchroniseerd wordt.
Een item in de boom bevat een reeks eigenschappen, waarbij elke eigenschap een naam heeft (een attribuuttype of attributenbeschrijving) en een of meer waarden. De eigenschappen worden gedefinieerd in een schema.
Elke vermelding heeft een unieke identificatiecode die de onderscheidende naam (DN) wordt genoemd. Deze naam bevat de Relative Distinguished Name (RDN), geconstrueerd uit eigenschappen in de ingang, gevolgd door de DN van de ouderingang. Je kan de DN zien als een volledige bestandsnaam, en de RDN als een relatieve bestandsnaam in een map.
ACS 5.x kan een opdrachtgever authenticeren tegen een LDAP-identiteitsarchief door een bind bewerking uit te voeren op de directory server om het opdrachtgever te vinden en te authenticeren. Als de authentificatie slaagt, kan ACS groepen en attributen terugwinnen die tot het hoofd behoren. De eigenschappen die moeten worden hersteld kunnen worden geconfigureerd in de ACS-webinterface (LDAP-pagina's). Deze groepen en eigenschappen kunnen door ACS worden gebruikt om de opdrachtgever te machtigen.
Om een gebruiker te authenticeren of de LDAP-identiteitsopslag te bevragen, verbindt ACS met de LDAP-server en onderhoudt een verbindingspool. Zie LDAP-verbindingsbeheer.
ACS 5.x ondersteunt meerdere gelijktijdige LDAP-verbindingen. Aansluitingen worden op aanvraag geopend bij de eerste LDAP-verificatie. Het maximale aantal verbindingen wordt ingesteld voor elke LDAP-server. Door van tevoren verbindingen te openen wordt de verificatietijd verkort.
U kunt het maximale aantal verbindingen instellen dat moet worden gebruikt voor gelijktijdige bindingsverbindingen. Het aantal geopende verbindingen kan voor elke LDAP-server verschillend zijn (primair of secundair) en wordt bepaald op basis van het maximale aantal beheerverbindingen dat voor elke server is geconfigureerd.
ACS behoudt een lijst van open LDAP-verbindingen (inclusief bind-informatie) voor elke LDAP-server die in ACS is geconfigureerd. Tijdens het verificatieproces probeert de verbindingsbeheerder een open verbinding te vinden uit de pool.
Als er geen open verbinding is, wordt er een nieuwe geopend. Als de LDAP-server de verbinding heeft gesloten, meldt de verbindingsbeheerder een fout tijdens de eerste oproep om in de directory te zoeken en probeert de verbinding te vernieuwen.
Nadat het verificatieproces is voltooid, laat de verbindingsbeheerder de verbinding los aan de verbindingsbeheerder. Raadpleeg voor meer informatie de ACS 5.X-gebruikershandleiding.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Voltooi deze stappen om ACS 5.x voor LDAP te configureren:
Kies Gebruikers en Identity Stores > Externe Identity Stores > LDAP, en klik op Maken om een nieuwe LDAP-verbinding te maken.
Typ op het tabblad Algemeen de naam en beschrijving (optioneel) van de nieuwe LDAP en klik op Volgende.
Typ op het tabblad Serververbinding onder het gedeelte Primaire server de naam van de host, de poort, de beheerder-ISDN en het wachtwoord. Klik op Binden aan server testen.
Opmerking: IANA toegewezen poortnummer voor LDAP is TCP 389. Bevestig echter het poortnummer dat uw LDAP-server gebruikt vanuit uw LDAP Admin. De Admin DN en het Wachtwoord moeten u door uw LDAP Admin worden verstrekt. Uw Admin DN zou alle toestemmingen op alle OUs op de server moeten hebben gelezen LDAP.
Deze afbeelding laat zien dat de verbindingstest bind met de server geslaagd is.
Opmerking: Als de Test Bind niet succesvol is, verifieert u Hostname, poortnummer, Admin DN, en Wachtwoord opnieuw vanuit uw LDAP-beheerder.
Klik op Next (Volgende).
Verstrek de vereiste details in het tabblad Directory Organisatie onder de Schema sectie. Op dezelfde manier moet u de benodigde informatie leveren onder de sectie Directory Structure zoals aangegeven door uw LDAP Admin. Klik op Testconfiguratie.
Deze afbeelding laat zien dat de Configuration Test is geslaagd.
Opmerking: Als de Configuration Test niet succesvol is, verifieert u de parameters in het schema en de Directory Structure opnieuw vanuit uw LDAP-beheerder.
Klik op Finish (Voltooien).
De LDAP-server is gemaakt.
Concurreer de stappen om de Identity Store te configureren:
Kies Toegangsbeleid > Toegangsservices > Dienstselectieregels, en controleer welke dienst de LDAP-server voor verificatie gaat gebruiken. In dit voorbeeld wordt voor de LDAP-serververificatie gebruik gemaakt van de service Default Network Access.
Nadat u de service in Stap 1 hebt geverifieerd, gaat u naar de betreffende service en klikt u op Toegestane protocollen. Zorg dat PAP/ASCII toestaan is geselecteerd en klik op Indienen.
Opmerking: naast Allow PAP/ASCII kunt u andere verificatieprotocollen selecteren.
Klik op de service die in Stap 1 is geïdentificeerd en klik op Identity. Klik op Selecteren rechts van het veld Identity Source.
Selecteer de nieuw gemaakte LDAP-server (myLDAP, in dit voorbeeld) en klik op OK.
Klik op Wijzigingen opslaan.
Ga naar het gedeelte Autorisatie van de service die in Stap 1 is geïdentificeerd en zorg ervoor dat er ten minste één regel is die verificatie toestaat.
ACS stuurt een bind verzoek om de gebruiker te authenticeren tegen een LDAP-server. Het bind verzoek bevat DN van de gebruiker en gebruikerswachtwoord in duidelijke tekst. Een gebruiker wordt geverifieerd wanneer de ISDN en het wachtwoord van de gebruiker overeenkomen met de gebruikersnaam en het wachtwoord in de map LDAP.
Verificatiefouten - ACS-logbestanden verificatiefouten in de ACS-logbestanden.
Initialisatiefouten - Gebruik de tijdelijke instellingen van de LDAP-server om het aantal seconden te configureren dat ACS wacht op een respons van een LDAP-server voordat u bepaalt dat de verbinding of verificatie op die server is mislukt. Mogelijke redenen voor een LDAP-server om een initialisatiefout te retourneren zijn:
LDAP wordt niet ondersteund
De server is uitgeschakeld
Het geheugen van de server is bijna leeg
De gebruiker heeft geen rechten
Onjuiste beheerdersreferenties worden geconfigureerd
Bind Fouten - Mogelijke redenen voor een LDAP-server om bind (authenticatie) fouten terug te geven zijn:
Filterfouten
Een zoekopdracht met filtercriteria mislukt
Parameterfouten
Er zijn ongeldige parameters ingevoerd
Gebruikersaccount is beperkt (uitgeschakeld, uitgesloten, verlopen, wachtwoord verlopen, enzovoort)
Deze fouten worden geregistreerd als externe resourcefouten, wat wijst op een mogelijk probleem met de LDAP-server:
Er is een verbindingsfout opgetreden
De time-out is verlopen
De server is uitgeschakeld
Het geheugen van de server is bijna leeg
De gebruiker A bestaat niet in de database-fout is vastgelegd als een Onbekende Gebruiker-fout.
Een ongeldig wachtwoord is ingevoerd fout is vastgelegd als een Ongeldige wachtwoordfout, waarbij de gebruiker bestaat, maar het verzonden wachtwoord is ongeldig.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
14-Mar-2012 |
Eerste vrijgave |