Konfigurieren Sie die ACI-LDAP-Authentifizierung

Download-Optionen

  • PDF     (1.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.2 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (631.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. April 2024
Dokument-ID:221812

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration der ACI-Authentifizierung (Application Centric Infrastructure) und LDAP-Authentifizierung (Lightweight Directory Access Protocol) beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • ACI-AAA-Richtlinie (Authentication, Authorization und Accounting)
    • LDAP

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Application Policy Infrastructure Controller (APIC) Version 5.2(7f)
    • Ubuntu 20.04 mit slapd und phpLDAPadmin

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    In diesem Abschnitt wird beschrieben, wie Sie den APIC konfigurieren, um ihn in den LDAP-Server zu integrieren und LDAP als Standardauthentifizierungsmethode zu verwenden.

    Konfigurationen

    Schritt 1: Erstellen von Gruppen/Benutzern unter Ubuntu phpLDAPadmin

    note-icon

    Hinweis: Um Ubuntu als LDAP-Server zu konfigurieren, finden Sie umfassende Richtlinien auf der offiziellen Ubuntu-Website. Wenn bereits ein LDAP-Server vorhanden ist, beginnen Sie mit Schritt 2.

    In diesem Dokument ist die Basis-DN gleich, dc=dclab,dc=com und zwei Benutzer (User1 und User2) gehören zu Gruppen (DCGroup).

    LDAP-Benutzer und -Gruppen

    Schritt 2: LDAP-Anbieter auf dem APIC konfigurieren

    Navigieren Sie in der APIC-Menüleiste wie im Bild dargestellt zuAdmin > AAA > Authentication > LDAP > Providers.

    LDAP-Anbieter erstellen

    Bind-DN: Die Bind-DN sind die Anmeldeinformationen, die Sie für die Authentifizierung gegenüber einem LDAP verwenden. Der APIC authentifiziert sich mithilfe dieses Kontos, um das Verzeichnis abzufragen.

    Basis-DN: Diese Zeichenfolge wird vom APIC als Bezugspunkt für die Suche und Identifizierung von Benutzereinträgen im Verzeichnis verwendet.

    Kennwort: Dies ist das erforderliche Kennwort für die Bind-DN, die für den Zugriff auf den LDAP-Server erforderlich ist und mit dem auf Ihrem LDAP-Server eingerichteten Kennwort korreliert.

    SSL aktivieren: Wenn Sie eine interne Zertifizierungsstelle oder ein selbstsigniertes Zertifikat verwenden, müssen Sie Zulässig auswählen.

    Filter: Die Standardfiltereinstellung ist, cn=$userid wenn der Benutzer als Objekt mit einem gemeinsamen Namen (CN) definiert ist, wird der Filter verwendet, um nach den Objekten innerhalb der Basis-DN zu suchen.

    Attribut: Ein Attribut wird verwendet, um die Gruppenmitgliedschaft und die Gruppenrollen zu bestimmen. Die ACI bietet hier zwei Optionen: memberOf und CiscoAVPair.memberOf ist ein RFC2307bis-Attribut zur Identifizierung der Gruppenmitgliedschaft. Derzeit überprüft OpenLDAP RFC2307, title wird also stattdessen verwendet.

    Management-Endpunktgruppe (EPG): Die Verbindung zum LDAP-Server wird je nach gewähltem Netzwerkmanagement-Ansatz entweder über die In-Band- oder die Out-of-Band-EPG hergestellt.

    Schritt 3: LDAP-Gruppenzuordnungsregeln konfigurieren

    Navigieren Sie in der Menüleiste zu, Admin > AAA > Authentication > LDAP > LDAP Group Map Rules  wie im Bild dargestellt.

    LDAP-Gruppenzuordnungsregeln erstellen

    Benutzer in der DCGroup haben Administratorrechte. Aus diesem Grund weist die Gruppen-DN der Sicherheitsdomäne zu, cn=DCGroup, ou=Groups, dc=dclab, dc=com. Aund weist dieser All die Rollen von admin mit write privilege zu.

    Schritt 4: LDAP-Gruppenzuordnungen konfigurieren

    Navigieren Sie in der Menüleiste zu, Admin > AAA > Authentication > LDAP > LDAP Group Maps  wie im Bild dargestellt.

    LDAP-Gruppenzuordnungen erstellen

    Erstellen Sie eine LDAP-Gruppenzuordnung mit den in Schritt 2 erstellten LDAP-Gruppenzuordnungsregeln.

    Schritt 5: AAA-Authentifizierungsrichtlinie konfigurieren

    Navigieren Sie in der Menüleiste zu, Admin > AAA > Authentication > AAA > Policy > Create a login domainwie im Bild dargestellt.

    Anmeldungsdomäne erstellen

    Navigieren Sie in der Menüleiste zu, Admin > AAA > Authentication > AAA > Policy > Default Authentication  wie im Bild dargestellt.

    Standard-Authentifizierungsmethode ändern

    Ändern Sie die Standardauthentifizierung Realm in LDAP, und wählen Sie LDAP Login Domain erstellt aus.

    Überprüfung

    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Testbenutzer1

    Anmeldergebnis

    Vergewissern Sie sich, dass sich der LDAP-Benutzer User1 erfolgreich mit der Admin-Rolle und den Schreibberechtigungen im APIC anmeldet.

    Fehlerbehebung

    In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

    Wenn der Benutzer nicht in der LDAP-Datenbank vorhanden ist:

    APIC-Anmeldefehler

    Wenn das Kennwort falsch ist:

    LDAP-/AD-Server: Authentifizierung verweigert

    Wenn der LDAP-Server nicht erreichbar ist:

    LDAP/AD konnte an keine Antworten gebunden werden

    Befehle für die Fehlerbehebung:

    apic1# moquery -c aaaLdapProvider Total Objects shown: 1 # aaa.LdapProvider name : 10.124.3.6 SSLValidationLevel : strict annotation : attribute : title basedn : ou=Users,dc=dclab,dc=com childAction : descr : dn : uni/userext/ldapext/ldapprovider-10.124.3.6 enableSSL : no epgDn : uni/tn-mgmt/mgmtp-default/oob-default extMngdBy : filter : cn=$userid key : lcOwn : local modTs : 2024-03-26T07:01:51.868+00:00 monPolDn : uni/fabric/monfab-default monitorServer : disabled monitoringPassword : monitoringUser : default nameAlias : operState : unknown ownerKey : ownerTag : port : 389 retries : 1 rn : ldapprovider-10.124.3.6 rootdn : cn=admin,dc=dclab,dc=com snmpIndex : 1 status : timeout : 30 uid : 15374 userdom : :all: vrfName : apic1# show aaa authentication Default : ldap Console : local apic1# show aaa groups Total number of Groups: 1 RadiusGroups : RsaGroups : TacacsGroups : LdapGroups : LDAP apic1# show aaa sessions Username User Type Host Login Time ---------- ---------- --------------- ------------------------------ User1 remote 10.140.233.70 2024-04-08T07:51:09.004+00:00 User1 remote 10.140.233.70 2024-04-08T07:51:11.357+00:00

    Wenn Sie weitere Unterstützung benötigen, wenden Sie sich an das Cisco TAC.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    17-Apr-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Zhengyi Li
      Cisco TAC Engineer
    • Linus Li
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.