ACS 5.X ：获取LDAP服务器配置示例

简介

轻量级目录访问协议(LDAP)是在TCP/IP和UDP运行查询的一个网络协议和正在修改的目录服务。LDAP是访问的一个基于x.500的目录服务器一轻量级机制。RFC 2251定义了LDAP。

访问控制服务器(ACS) 5.x集成LDAP外部数据库，也呼叫标识存储，通过使用LDAP协议。有连接的两个方法对LDAP服务器：纯文本(简单)和SSL (已加密)连接。使用两个方法， ACS 5.x可以配置连接到LDAP服务器。使用加密连接，在本文中ACS 5.x配置连接到LDAP服务器。

先决条件

要求

本文假设， ACS 5.x有一个IP连接到LDAP服务器，并且端口TCP 636是开放的。

Microsoft®活动目录LDAP服务器需要配置接受在端口TCP 636的安全LDAP连接。本文假设，您有发出服务器证书到Microsoft LDAP服务器认证机构(CA)的根证明。关于如何配置LDAP服务器的更多信息，参考如何启用在SSL的LDAP与一第三方证书颁发机构。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco Secure ACS 5.x

• Microsoft Active Directory LDAP服务器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

背景信息

目录服务

目录服务是软件应用或者一套申请，对关于计算机网络的用户和网络资源的存储的和组织的信息。您能使用目录服务管理对这些资源的用户访问。

LDAP目录服务根据客户服务器模型。客户端通过连接启动LDAP会话到LDAP服务器，并且发送操作请求到服务器。服务器然后发送其答复。一个或更多LDAP服务器包含从LDAP目录树或LDAP支持者数据库的数据。

目录服务管理目录，是数据库保持信息。目录服务使用一个分布式型号存储信息，并且该信息通常复制在目录服务器之间。

LDAP目录在一个简单树型层次结构被组织，并且可以在许多服务器中被分配。每个服务器能有周期地同步总目录的一个复制的版本。

在树的一个条目包含一套属性，每个属性有一名称(attribute type或属性说明)和一个或更多值。属性在模式定义。

每个条目有一个唯一标识符：其特有名(DN)。此名称包含从在条目的属性(RDN)修建的相对辨别名称，跟随由parent条目的DN。您能设想DN作为一个全双工文件名和RDN作为在文件夹的一个相对文件名。

验证使用LDAP

ACS 5.x能利用LDAP标识存储验证负责人由执行在目录服务器的捆绑操作查找和验证负责人。如果验证成功， ACS能获取属于负责人的组和属性。获取的属性在ACS Web接口(LDAP页)可以配置。这些组和属性可以由ACS用于授权负责人。

为了验证用户或查询LDAP标识存储， ACS连接到LDAP服务器并且保养连接池。

LDAP连接管理

ACS 5.x支持多个并发LDAP连接。连接在第一LDAP认证时打开根据要求。最大连接数为每个LDAP服务器配置。打开连接事先缩短验证时间。

您能设置最大连接数使用并发约束连接。打开的连接数量可以是不同的为每个LDAP服务器(主要的或附属)和根据管理连接的最大为每个服务器配置的确定。

ACS保留开放LDAP连接列表(包括捆绑信息)在ACS配置的每个LDAP服务器的。在认证过程中，连接管理器尝试查找从池的一开放连接。

如果开放连接不存在，打开新的。如果LDAP服务器关闭连接，连接管理器报告错误在第一个呼叫期间搜索目录，并且设法更新连接。

在认证过程完成后，连接管理器发布对连接管理器的连接。欲知更多信息，参考ACS 5.X用户指南。

配置

本部分提供有关如何配置本文档所述功能的信息。

在ACS 5.x的安装根CA证书

完成这些步骤为了安装在Cisco Secure ACS 5.x的一个根CA证书：

注意： 保证预先配置LDAP服务器接受在端口TCP 636的加密连接。关于如何配置Microsoft LDAP服务器的更多信息，参考如何启用在SSL的LDAP与一第三方证书颁发机构。

1. 选择用户，并且标识存储>证书权限，然后单击添加为了添加发出服务器证书到Microsoft LDAP服务器CA的根证明。

   

2. 从导入部分的证书文件，请单击在证书文件旁边浏览为了搜索证书文件。

   

3. 选择需要的证书文件(发出服务器证书到Microsoft LDAP服务器) CA的根证明并且点击开放。

   

4. 提供在说明旁边提供的空间的一说明并且单击提交。

   

   此镜像显示根证明适当地安装：

   

配置安全LDAP的ACS 5.X

完成这些步骤为了配置安全LDAP的ACS 5.x ：

1. 选择用户，并且标识存储>外部标识存储> LDAP并且单击创建创建一个新的LDAP连接。

   

2. 从常规选项卡为新的LDAP请提供名称和Description(optional)，然后其次单击。

   

3. 从在主服务器部分下的服务器连接选项卡，请提供主机名、波尔特， Admin DN和密码。保证在使用安全验证旁边的复选框被检查并且选择最近已安装根CA证书。单击测验捆绑到服务器。

   注意： IANA安全LDAP的分配的端口号是TCP 636。然而，请确认端口号您的LDAP服务器从您的LDAP Admin使用。

   注意： 应该提供Admin DN和密码给您由您的LDAP Admin。Admin DN在LDAP服务器的所有OU一定读了所有权限。

   

   下镜像显示对服务器的连接测验捆绑是成功的。

   注意： 如果测验捆绑不是成功的那么请再验证主机名、端口号， Admin DN、密码和根CA从您的LDAP管理员。

   

4. 单击 Next。

   

5. 从在模式段下的目录组织选项卡，请提供需要的细节。同样地，请提供必填信息在目录结构部分下如所提供由您的LDAP Admin。点击测验配置。

   

   下镜像显示配置测验是成功的。

   注意： 如果配置测验不是成功的那么请再验证在模式和目录结构提供的参数从您的LDAP管理员。

   

6. 单击 完成。

   

   LDAP服务器顺利地创建。

   

配置标识存储

竞争这些步骤为了配置标识存储：

1. 选择访问策略>Access Services>服务使用巩固验证的LDAP服务器的服务选择规则并且验证。在本例中服务是默认网络网络访问。

   

2. 在您验证在step1后的服务，请去特定服务并且点击允许协议。保证允许PAP/ASCII选择，然后单击提交。

   注意： 您能有其他身份验证协议选择与允许PAP/ASCII。

   

3. 点击在step1识别的服务，然后点击标识。在标识来源旁边单击精选。

   

4. 选择新建立巩固LDAP服务器(在本例中的myLDAP)，然后点击OK键。

   

5. 点击Save Changes。

   

6. 去在step1识别的服务的授权部分并且保证有允许验证至少的一个规则。

   

故障排除

ACS发送捆绑请求利用LDAP服务器验证用户。捆绑请求包含用户的DN和用户密码在明文。用户验证，当用户的DN和密码匹配在LDAP目录的用户名和密码。

• 验证错误— ACS记录在ACS日志文件的验证错误。

• 初始化错误—请使用LDAP服务器超时设置配置ACS在确定那前等待从LDAP服务器的一答复连接或在该服务器的验证失败秒钟的数量。LDAP服务器的可能的来源能返回初始化错误是：

  • 不支持LDAP

  • 服务器发生故障

  • 服务器是在内存外面

  • 用户没有权限

  • 不正确管理员凭证配置

• 捆绑错误— LDAP服务器的可能的来源能返回捆绑(验证)错误是：

  • 过滤错误

  • 一搜索使用过滤器标准发生故障

  • 参数错误

  • 无效参数被输入了

  • 用户帐户限制(禁用，锁定，超时，密码超时，等等)

这些错误被记录作为外部资源错误，指示一个可能的问题用LDAP服务器：

• 发生的连接错误

• 超时的超时

• 服务器发生故障

• 服务器是在内存外面

此错误被记录作为未知用户错误：用户在数据库不存在。

此错误被记录作为一个无效密码错误，用户存在，但是被发送的密码无效：一个无效密码输入。

相关信息

• 思科安全访问控制系统
• 请求注解 (RFC)
• 技术支持和文档 - Cisco Systems