تكوين MDS LDAP

خيارات التنزيل

  • PDF     (319.8 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (78.7 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (65.4 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٩ نوفمبر ٢٠١٦
معرّف المستند:118979

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يقدم هذا المستند نموذجا لتكوين LDAP الأساسي (البروتوكول الخفيف للوصول للدليل) على محولات البيانات متعددة الطبقات (MDS). كما يتم سرد بعض الأوامر لإظهار كيفية إختبار التكوين والتحقق من صحته على محولات MDS التي تعمل بنظام التشغيل NX-OS.  

يوفر LDAP التحقق المركزي من صحة المستخدمين الذين يحاولون الوصول إلى جهاز Cisco MDS. يتم الاحتفاظ بخدمات LDAP في قاعدة بيانات على برنامج LDAP يتم تشغيله عادة على محطة عمل UNIX أو Windows NT. يجب أن يكون لديك حق الوصول إلى خادم LDAP ويجب أن تقوم بتكوينه قبل أن تتوفر ميزات LDAP التي تم تكوينها على جهاز Cisco MDS لديك.

يوفر بروتوكول الوصول الخفيف لتغيير بيانات الدليل (LDAP) تسهيلات منفصلة للمصادقة والتفويض. يسمح LDAP بخادم تحكم في الوصول واحد (برنامج LDAP الخفيف) لتوفير كل مصادقة خدمة وتفويض بشكل مستقل. يمكن ربط كل خدمة في قاعدة البيانات الخاصة بها للاستفادة من الخدمات الأخرى المتوفرة على هذا الخادم أو على الشبكة، وذلك وفقا لإمكانات برنامج التشغيل Daemon.

يستخدم بروتوكول عميل/خادم LDAP بروتوكول TCP (منفذ TCP 389) لمتطلبات النقل. توفر أجهزة Cisco MDS مصادقة مركزية باستخدام بروتوكول LDAP.

المتطلبات الأساسية

المتطلبات

تذكر Cisco أنه يجب تكوين حساب مستخدم Active Directory (AD) والتحقق من صحته. حاليا، يدعم Cisco MDS أسماء سمات الوصف وعضوة As. قم بتكوين دور المستخدم باستخدام هذه السمات في خادم LDAP.

المكونات المستخدمة

تم إختبار المعلومات الواردة في هذا المستند على MDS 9148 الذي يشغل الإصدار 6.2(7) من NX-OS. يجب أن تعمل نفس التهيئة مع أنظمة MDS الأساسية الأخرى بالإضافة إلى إصدارات NX-OS. يوجد خادم LDAP للاختبار في 10.2.3.7.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

دخلت هذا أمر على ال MDS مفتاح in order to تأكدت أنت تتلقى وحدة طرفية للتحكم منفذ داخل المفتاح ل إستعادة:

aaa authentication login console local

قم بتمكين ميزة LDAP وقم بإنشاء مستخدم سيتم إستخدامه للربط الجذر. يتم إستخدام "admin" في هذا المثال:

feature ldap
ldap-server host 10.2.3.7 rootDN "cn=Admin,cn=Users,dc=ciscoprod,dc=com"
 password  fewhg port 389

عند هذه النقطة على خادم LDAP، يجب إنشاء مستخدم (مثل cpam). في سمة الوصف أضف هذا الإدخال:

shell:roles="network-admin"

بعد ذلك، في المحول، تحتاج إلى إنشاء خريطة بحث. تظهر هذه الأمثلة الوصف و MemberOf كاسم السمة:

للوصف:

ldap search-map s1
  
   userprofile attribute-name "description" search-filter "cn=$userid"
 base-DN "dc=ciscoprod,dc=com"

بالنسبة إلى الأعضاء:

ldap search-map s2

  userprofile attribute-name "memberOf" search-filter "cn=$userid"
 base-DN "dc=ciscoprod,dc=com"

على سبيل المثال، إذا كان هؤلاء المستخدمين الثلاثة أعضاء في مجموعة abc في خادم AD، فيجب أن يكون لدى محول MDS اسم الدور الذي تم إنشاؤه بأذونات مطلوبة.

User1 - عضو في المجموعة abc
User2 - عضو في المجموعة abc
User3 - عضو في المجموعة abc

role name abc
   rule 1 permit clear
   rule 2 permit config
   rule 3 permit debug 
   rule 4 permit exec 
   rule 5 permit show

الآن، إذا سجل User1 الدخول إلى المحول وتم تكوين السمة memberOf ل LDAP، بعد ذلك يعين User1 الدور abc الذي يحتوي على جميع حقوق المسؤول.

هناك أيضا متطلبان عند تكوين السمة memberOf.

  1. يجب أن يتطابق اسم دور المحول مع اسم مجموعة خادم AD، أو
  2. قم بإنشاء مجموعة على خادم AD تحمل اسم "network-admin" وتكوين جميع المستخدمين المطلوبين كعضو في مجموعة مسؤول الشبكة.

ملاحظات: 
-يعرض الأمر سمة memberOf معتمدة فقط من قبل خادم Windows AD LDAP. لن يدعم خادم OpenLDAP السمة memberOf.
- يتم دعم التكوين الخاص بعضو نظام التشغيل NX-OS 6.2(1) والإصدارات الأحدث فقط.

بعد ذلك، قم بإنشاء مجموعة المصادقة والتفويض والمحاسبة (AAA) باسم مناسب وأربط خريطة بحث LDAP التي تم إنشاؤها مسبقا. كما تمت الإشارة مسبقا، يمكنك إستخدام إما الوصف أو MemberOf بناء على تفضيلاتك. في المثال الموضح هنا، يتم إستخدام S1 للوصف الخاص بمصادقة المستخدم. إذا كان يجب إكمال المصادقة باستخدام MemberOf، يمكن إستخدام s2 بدلا من ذلك.

aaa group server ldap ldap2
  server 10.2.3.7
  ldap-search-map s1

aaa authentication login default group ldap2

أيضا، سيقوم هذا التكوين بإعادة المصادقة إلى المصادقة المحلية في حالة عدم إمكانية الوصول إلى خادم LDAP. هذا تكوين إختياري:

aaa authentication login default fallback error local

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

للتحقق من عمل LDAP بشكل صحيح من محول MDS نفسه، أستخدم هذا الاختبار:

MDSA# test aaa group ldap2 cpam Cisco_123
user has been authenticated

MDSA#

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

يدعم Cisco CLI Analyzer (محلل واجهة سطر الأوامر من Cisco) (للعملاء المسجلين فقط) أوامر show معينة. استخدم Cisco CLI Analyzer (محلل واجهة سطر الأوامر من Cisco) لعرض تحليل لمُخرَج الأمر show.

يتم عرض بعض الأوامر المفيدة لاستخدامها لاستكشاف المشاكل وإصلاحها هنا:

  • show ldap-server
  • عرض مجموعات خادم ldap
  • show ldap-server statistics 10.2.3.7
  • إظهار مصادقة AAA
MDSA# show ldap-server
 timeout : 5
 port : 389
 deadtime : 0
total number of servers : 1

following LDAP servers are configured:
 10.2.3.7:
 idle time:0
 test user:test
 test password:********
 test DN:dc=test,dc=com
 timeout: 5 port: 389 rootDN: cn=Admin,cn=Users,dc=ciscoprod,dc=com
 enable-ssl: false

MDSA# show ldap-server groups
total number of groups: 1

following LDAP server groups are configured:
 group ldap2:
 Mode: UnSecure
 Authentication: Search and Bind
 Bind and Search : append with basedn (cn=$userid)
 Authentication: Do bind instead of compare
 Bind and Search : compare passwd attribute userPassword
 Authentication Mech: Default(PLAIN)
 server: 10.2.3.7 port: 389 timeout: 5
 Search map: s1

MDSA# show ldap-server statistics 10.2.3.7
Server is not monitored

Authentication Statistics
 failed transactions: 2
 successful transactions: 11
 requests sent: 36
 requests timed out: 0
 responses with no matching requests: 0
 responses not processed: 0
 responses containing errors: 0
MDSA# show ldap-search-map
total number of search maps : 1

following LDAP search maps are configured:
 SEARCH MAP s1:
 User Profile:
 BaseDN: dc=ciscoprod,dc=com
 Attribute Name: description
 Search Filter: cn=$userid

MDSA# show aaa authentication
 default: group ldap2 
 console: local 
 dhchap: local
 iscsi: local 
MDSA#

معلومات ذات صلة

TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Upinder Sujlana
    مهندس TAC من Cisco

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات