ACS 5.x: LDAP-serverconfiguratievoorbeeld

Downloadopties

  • PDF     (1.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (942.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (662.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:20 maart 2012
Document-id:113473

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Lichtgewicht Directory Access Protocol (LDAP) is een netwerkprotocol voor het opvragen en wijzigen van directoryservices die worden uitgevoerd op TCP/IP en UDP. LDAP is een lichtgewicht mechanisme voor toegang tot een x.500-gebaseerde directory server. RFC 2251leaving cisco.com definieert LDAP.

Cisco Secure Access Control System (ACS) 5.x wordt met behulp van het LDAP-protocol geïntegreerd in een externe LDAP-database (ook wel een identiteitsarchief genoemd). Er zijn twee methoden die gebruikt worden om verbinding te maken met de LDAP-server: eenvoudige (tekst) en SSL (versleutelde) verbinding. ACS 5.x kan worden geconfigureerd om verbinding te maken met de LDAP-server met behulp van beide methoden. Dit document biedt een configuratievoorbeeld voor het aansluiten van ACS 5.x op een LDAP-server via een eenvoudige verbinding.

Voorwaarden

Vereisten

In dit document wordt ervan uitgegaan dat de ACS 5.x een IP-verbinding met de LDAP-server heeft en dat poort TCP 389 is geopend.

Standaard is de Microsoft Active Directory LDAP-server geconfigureerd om LDAP-verbindingen te accepteren op poort TCP 389. Als u een andere LDAP-server gebruikt, zorg er dan voor dat deze actief is en verbindingen accepteert op poort TCP 389.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco Secure ACS 5.x

  • Microsoft Active Directory LDAP-server

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Directory Service

De indexdienst is een softwaretoepassing of reeks toepassingen die worden gebruikt om informatie over de gebruikers van een computernetwerk en de netwerkmiddelen op te slaan en te organiseren. U kunt de indexdienst gebruiken om gebruikerstoegang tot deze middelen te beheren.

De LDAP directory service is gebaseerd op een client-server model. Een client maakt verbinding met een LDAP-server om een LDAP-sessie te starten en stuurt verrichtingsverzoeken naar de server. De server verstuurt vervolgens de antwoorden. Een of meer LDAP-servers bevatten gegevens uit de LDAP-directory boom of de LDAP-back-end database.

De directory service beheert de directory, die de database is die de informatie bevat. De indexdiensten gebruiken een gedistribueerd model om informatie op te slaan, en die informatie wordt gewoonlijk herhaald tussen indexservers.

Een LDAP directory is georganiseerd in een eenvoudige boomhiërarchie en kan verdeeld worden over vele servers. Elke server kan een gerepliceerde versie hebben van de totale map die periodiek gesynchroniseerd wordt.

Een item in de boom bevat een reeks eigenschappen, waarbij elke eigenschap een naam heeft (een attribuuttype of attributenbeschrijving) en een of meer waarden. De eigenschappen worden gedefinieerd in een schema.

Elke vermelding heeft een unieke identificatiecode die de onderscheidende naam (DN) wordt genoemd. Deze naam bevat de Relative Distinguished Name (RDN), geconstrueerd uit eigenschappen in de ingang, gevolgd door de DN van de ouderingang. Je kan de DN zien als een volledige bestandsnaam, en de RDN als een relatieve bestandsnaam in een map.

Verificatie met LDAP

ACS 5.x kan een opdrachtgever authenticeren tegen een LDAP-identiteitsarchief door een bind bewerking uit te voeren op de directory server om het opdrachtgever te vinden en te authenticeren. Als de authentificatie slaagt, kan ACS groepen en attributen terugwinnen die tot het hoofd behoren. De eigenschappen die moeten worden hersteld kunnen worden geconfigureerd in de ACS-webinterface (LDAP-pagina's). Deze groepen en eigenschappen kunnen door ACS worden gebruikt om de opdrachtgever te machtigen.

Om een gebruiker te authenticeren of de LDAP-identiteitsopslag te bevragen, verbindt ACS met de LDAP-server en onderhoudt een verbindingspool. Zie LDAP-verbindingsbeheer.

LDAP-verbindingsbeheer

ACS 5.x ondersteunt meerdere gelijktijdige LDAP-verbindingen. Aansluitingen worden op aanvraag geopend bij de eerste LDAP-verificatie. Het maximale aantal verbindingen wordt ingesteld voor elke LDAP-server. Door van tevoren verbindingen te openen wordt de verificatietijd verkort.

U kunt het maximale aantal verbindingen instellen dat moet worden gebruikt voor gelijktijdige bindingsverbindingen. Het aantal geopende verbindingen kan voor elke LDAP-server verschillend zijn (primair of secundair) en wordt bepaald op basis van het maximale aantal beheerverbindingen dat voor elke server is geconfigureerd.

ACS behoudt een lijst van open LDAP-verbindingen (inclusief bind-informatie) voor elke LDAP-server die in ACS is geconfigureerd. Tijdens het verificatieproces probeert de verbindingsbeheerder een open verbinding te vinden uit de pool.

Als er geen open verbinding is, wordt er een nieuwe geopend. Als de LDAP-server de verbinding heeft gesloten, meldt de verbindingsbeheerder een fout tijdens de eerste oproep om in de directory te zoeken en probeert de verbinding te vernieuwen.

Nadat het verificatieproces is voltooid, laat de verbindingsbeheerder de verbinding los aan de verbindingsbeheerder. Raadpleeg voor meer informatie de ACS 5.X-gebruikershandleiding.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

ACS 5.x configureren voor LDAP

Voltooi deze stappen om ACS 5.x voor LDAP te configureren:

  1. Kies Gebruikers en Identity Stores > Externe Identity Stores > LDAP, en klik op Maken om een nieuwe LDAP-verbinding te maken.

    acs-simple-ldap-01.gif

  2. Typ op het tabblad Algemeen de naam en beschrijving (optioneel) van de nieuwe LDAP en klik op Volgende.

    acs-simple-ldap-02.gif

  3. Typ op het tabblad Serververbinding onder het gedeelte Primaire server de naam van de host, de poort, de beheerder-ISDN en het wachtwoord. Klik op Binden aan server testen.

    Opmerking: IANA toegewezen poortnummer voor LDAP is TCP 389. Bevestig echter het poortnummer dat uw LDAP-server gebruikt vanuit uw LDAP Admin. De Admin DN en het Wachtwoord moeten u door uw LDAP Admin worden verstrekt. Uw Admin DN zou alle toestemmingen op alle OUs op de server moeten hebben gelezen LDAP.

    acs-simple-ldap-03.gif

  4. Deze afbeelding laat zien dat de verbindingstest bind met de server geslaagd is.

    acs-simple-ldap-04.gif

    Opmerking: Als de Test Bind niet succesvol is, verifieert u Hostname, poortnummer, Admin DN, en Wachtwoord opnieuw vanuit uw LDAP-beheerder.

  5. Klik op Next (Volgende).

    acs-simple-ldap-05.gif

  6. Verstrek de vereiste details in het tabblad Directory Organisatie onder de Schema sectie. Op dezelfde manier moet u de benodigde informatie leveren onder de sectie Directory Structure zoals aangegeven door uw LDAP Admin. Klik op Testconfiguratie.

    acs-simple-ldap-06.gif

  7. Deze afbeelding laat zien dat de Configuration Test is geslaagd.

    acs-simple-ldap-07.gif

    Opmerking: Als de Configuration Test niet succesvol is, verifieert u de parameters in het schema en de Directory Structure opnieuw vanuit uw LDAP-beheerder.

  8. Klik op Finish (Voltooien).

    acs-simple-ldap-08.gif

  9. De LDAP-server is gemaakt.

    acs-simple-ldap-09.gif

De Identity Store configureren

Concurreer de stappen om de Identity Store te configureren:

  1. Kies Toegangsbeleid > Toegangsservices > Dienstselectieregels, en controleer welke dienst de LDAP-server voor verificatie gaat gebruiken. In dit voorbeeld wordt voor de LDAP-serververificatie gebruik gemaakt van de service Default Network Access.

    acs-simple-ldap-10.gif

  2. Nadat u de service in Stap 1 hebt geverifieerd, gaat u naar de betreffende service en klikt u op Toegestane protocollen. Zorg dat PAP/ASCII toestaan is geselecteerd en klik op Indienen.

    Opmerking: naast Allow PAP/ASCII kunt u andere verificatieprotocollen selecteren.

    acs-simple-ldap-11.gif

  3. Klik op de service die in Stap 1 is geïdentificeerd en klik op Identity. Klik op Selecteren rechts van het veld Identity Source.

    acs-simple-ldap-12.gif

  4. Selecteer de nieuw gemaakte LDAP-server (myLDAP, in dit voorbeeld) en klik op OK.

    acs-simple-ldap-13.gif

  5. Klik op Wijzigingen opslaan.

    acs-simple-ldap-14.gif

  6. Ga naar het gedeelte Autorisatie van de service die in Stap 1 is geïdentificeerd en zorg ervoor dat er ten minste één regel is die verificatie toestaat.

    acs-simple-ldap-15.gif

Problemen oplossen

ACS stuurt een bind verzoek om de gebruiker te authenticeren tegen een LDAP-server. Het bind verzoek bevat DN van de gebruiker en gebruikerswachtwoord in duidelijke tekst. Een gebruiker wordt geverifieerd wanneer de ISDN en het wachtwoord van de gebruiker overeenkomen met de gebruikersnaam en het wachtwoord in de map LDAP.

  • Verificatiefouten - ACS-logbestanden verificatiefouten in de ACS-logbestanden.

  • Initialisatiefouten - Gebruik de tijdelijke instellingen van de LDAP-server om het aantal seconden te configureren dat ACS wacht op een respons van een LDAP-server voordat u bepaalt dat de verbinding of verificatie op die server is mislukt. Mogelijke redenen voor een LDAP-server om een initialisatiefout te retourneren zijn:

    • LDAP wordt niet ondersteund

    • De server is uitgeschakeld

    • Het geheugen van de server is bijna leeg

    • De gebruiker heeft geen rechten

    • Onjuiste beheerdersreferenties worden geconfigureerd

  • Bind Fouten - Mogelijke redenen voor een LDAP-server om bind (authenticatie) fouten terug te geven zijn:

    • Filterfouten

    • Een zoekopdracht met filtercriteria mislukt

    • Parameterfouten

    • Er zijn ongeldige parameters ingevoerd

    • Gebruikersaccount is beperkt (uitgeschakeld, uitgesloten, verlopen, wachtwoord verlopen, enzovoort)

Deze fouten worden geregistreerd als externe resourcefouten, wat wijst op een mogelijk probleem met de LDAP-server:

  • Er is een verbindingsfout opgetreden

  • De time-out is verlopen

  • De server is uitgeschakeld

  • Het geheugen van de server is bijna leeg

De gebruiker A bestaat niet in de database-fout is vastgelegd als een Onbekende Gebruiker-fout.

Een ongeldig wachtwoord is ingevoerd fout is vastgelegd als een Ongeldige wachtwoordfout, waarbij de gebruiker bestaat, maar het verzonden wachtwoord is ongeldig.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-Mar-2012
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten