ACS 5.x: Ejemplo de Configuración del Servidor LDAP

Opciones de descarga

  • PDF     (1.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (943.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (664.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:20 de marzo de 2012
ID del documento:113473

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

El protocolo ligero de acceso a directorios (LDAP) es un protocolo de red para consultar y modificar servicios de directorio que se ejecutan en TCP/IP y UDP. LDAP es un mecanismo ligero para acceder a un servidor de directorio basado en x.500. RFC 2251 define LDAP.leavingcisco.com

Cisco Secure Access Control System (ACS) 5.x se integra con una base de datos externa LDAP (también denominada almacén de identidades) mediante el protocolo LDAP. Existen dos métodos para conectarse al servidor LDAP: texto sin formato (simple) y conexión SSL (cifrada). ACS 5.x se puede configurar para conectarse al servidor LDAP mediante estos dos métodos. Este documento proporciona un ejemplo de configuración para conectar ACS 5.x con un servidor LDAP usando una conexión simple.

Prerequisites

Requirements

Este documento asume que ACS 5.x tiene una conexión IP con el servidor LDAP y que el puerto TCP 389 está abierto.

De forma predeterminada, el servidor LDAP de Microsoft Active Directory está configurado para aceptar conexiones LDAP en el puerto TCP 389. Si está utilizando cualquier otro servidor LDAP, asegúrese de que esté activo, en ejecución y aceptando conexiones en el puerto TCP 389.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Secure ACS 5.x

  • servidor LDAP de Microsoft Active Directory

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

Servicio de directorio

El servicio de directorio es una aplicación de software o un conjunto de aplicaciones que se utilizan para almacenar y organizar información acerca de los usuarios y recursos de red de una red informática. Puede utilizar el servicio de directorio para administrar el acceso de los usuarios a estos recursos.

El servicio de directorio LDAP se basa en un modelo cliente-servidor. Un cliente se conecta a un servidor LDAP para iniciar una sesión LDAP y envía solicitudes de operación al servidor. A continuación, el servidor envía sus respuestas. Uno o más servidores LDAP contienen datos del árbol de directorios LDAP o de la base de datos de respaldo LDAP.

El servicio de directorio administra el directorio, que es la base de datos que contiene la información. Los servicios de directorio utilizan un modelo distribuido para almacenar información, y esa información se replica normalmente entre los servidores de directorio.

Un directorio LDAP se organiza en una jerarquía de árbol simple y se puede distribuir entre muchos servidores. Cada servidor puede tener una versión replicada del directorio total que se sincroniza periódicamente.

Una entrada del árbol contiene un conjunto de atributos, donde cada atributo tiene un nombre (un tipo de atributo o una descripción de atributo) y uno o más valores. Los atributos se definen en un esquema.

Cada entrada tiene un identificador único llamado su nombre distinguido (DN). Este nombre contiene el nombre distintivo relativo (RDN) construido a partir de los atributos de la entrada, seguido del DN de la entrada principal. Puede pensar en el DN como un nombre de archivo completo, y el RDN como un nombre de archivo relativo en una carpeta.

Autenticación mediante LDAP

ACS 5.x puede autenticar una identidad en un almacén de identidad LDAP realizando una operación de enlace en el servidor de directorio para encontrar y autenticar la identidad. Si la autenticación es exitosa, ACS puede recuperar grupos y atributos que pertenecen a la entidad de seguridad. Los atributos a recuperar se pueden configurar en la interfaz web ACS (páginas LDAP). Estos grupos y atributos pueden ser utilizados por ACS para autorizar la identidad.

Para autenticar un usuario o consultar el almacén de identidad LDAP, ACS se conecta con el servidor LDAP y mantiene un pool de conexiones. Consulte Administración de la conexión LDAP.

Administración de conexiones LDAP

ACS 5.x admite varias conexiones LDAP simultáneas. Las conexiones se abren a petición en el momento de la primera autenticación LDAP. Se configura el número máximo de conexiones para cada servidor LDAP. Al abrir las conexiones de antemano se acorta el tiempo de autenticación.

Puede establecer el número máximo de conexiones que se utilizarán para las conexiones de enlace simultáneas. El número de conexiones abiertas puede ser diferente para cada servidor LDAP (principal o secundario) y se determina según el número máximo de conexiones de administración configuradas para cada servidor.

ACS conserva una lista de conexiones LDAP abiertas (incluida la información de enlace) para cada servidor LDAP configurado en ACS. Durante el proceso de autenticación, el administrador de conexiones intenta encontrar una conexión abierta del grupo.

Si no existe una conexión abierta, se abre una nueva. Si el servidor LDAP ha cerrado la conexión, el administrador de conexiones informa de un error durante la primera llamada para buscar en el directorio e intenta renovar la conexión.

Una vez finalizado el proceso de autenticación, el administrador de conexiones libera la conexión al administrador de conexiones. Para obtener más información, consulte la Guía del usuario de ACS 5.X.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Configuración de ACS 5.x para LDAP

Complete estos pasos para configurar ACS 5.x para LDAP:

  1. Elija Users and Identity Stores > External Identity Stores > LDAP, y haga clic en Create para crear una nueva conexión LDAP.

    acs-simple-ldap-01.gif

  2. En la ficha General, proporcione el Nombre y la Descripción (opcional) para el nuevo LDAP, y haga clic en Next.

    acs-simple-ldap-02.gif

  3. En la pestaña Server Connection bajo la sección Primary Server , ingrese el Hostname, Port, Admin DN y Password. Haga clic en Probar enlace al servidor.

    Nota: El número de puerto asignado por IANA para LDAP es TCP 389. Sin embargo, confirme el número de puerto que su servidor LDAP está utilizando desde su administrador LDAP. El administrador de LDAP debe proporcionarle el DN de administrador y la contraseña. El DN de administrador debe tener permisos de lectura en todas las OU del servidor LDAP.

    acs-simple-ldap-03.gif

  4. Esta imagen muestra que el enlace de prueba de conexión al servidor se realizó correctamente.

    acs-simple-ldap-04.gif

    Nota: Si el enlace de prueba no se realiza correctamente, vuelva a verificar el nombre de host, el número de puerto, el DN de administrador y la contraseña del administrador de LDAP.

  5. Haga clic en Next (Siguiente).

    acs-simple-ldap-05.gif

  6. Proporcione los detalles necesarios en la ficha Organización de directorios de la sección Esquema. De forma similar, proporcione la información necesaria en la sección Estructura de directorios tal y como la proporciona el administrador de LDAP. Haga clic en Test Configuration.

    acs-simple-ldap-06.gif

  7. Esta imagen muestra que la prueba de configuración se ha realizado correctamente.

    acs-simple-ldap-07.gif

    Nota: Si la Prueba de Configuración no es exitosa, vuelva a verificar los parámetros provistos en el Esquema y la Estructura de Directorios desde su administrador LDAP.

  8. Haga clic en Finish (Finalizar).

    acs-simple-ldap-08.gif

  9. El servidor LDAP se ha creado correctamente.

    acs-simple-ldap-09.gif

Configuración del almacén de identidades

Complete los pasos para configurar el almacén de identidades:

  1. Elija Access Policies > Access Services > Service Selection Rules, y verifique qué servicio va a utilizar el servidor LDAP para la autenticación. En este ejemplo, la autenticación del servidor LDAP utiliza el servicio Default Network Access.

    acs-simple-ldap-10.gif

  2. Una vez que haya verificado el servicio en el Paso 1, vaya al servicio en particular y haga clic en Protocolos permitidos. Asegúrese de que la opción Allow PAP/ASCII esté seleccionada y haga clic en Submit.

    Nota: Puede seleccionar otros protocolos de autenticación junto con Permitir PAP/ASCII.

    acs-simple-ldap-11.gif

  3. Haga clic en el servicio identificado en el paso 1 y, a continuación, haga clic en Identidad. Haga clic en Seleccionar a la derecha del campo Origen de identidad.

    acs-simple-ldap-12.gif

  4. Seleccione el servidor LDAP recién creado (myLDAP, en este ejemplo), y haga clic en Aceptar.

    acs-simple-ldap-13.gif

  5. Haga clic en Guardar cambios.

    acs-simple-ldap-14.gif

  6. Vaya a la sección Authorization (Autorización) del servicio identificado en el paso 1 y asegúrese de que haya al menos una regla que permita la autenticación.

    acs-simple-ldap-15.gif

Troubleshoot

ACS envía una solicitud de enlace para autenticar al usuario contra un servidor LDAP. La solicitud de enlace contiene el DN del usuario y la contraseña de usuario en texto no cifrado. Un usuario se autentica cuando el DN y la contraseña del usuario coinciden con el nombre de usuario y la contraseña en el directorio LDAP.

  • Errores de autenticación: ACS registra los errores de autenticación en los archivos de registro de ACS.

  • Errores de inicialización - Utilice la configuración de tiempo de espera del servidor LDAP para configurar el número de segundos que ACS espera una respuesta de un servidor LDAP antes de determinar que la conexión o autenticación en ese servidor ha fallado. Las posibles razones para que un servidor LDAP devuelva un error de inicialización son:

    • LDAP no es compatible

    • El servidor está inactivo

    • El servidor no tiene memoria suficiente

    • El usuario no tiene privilegios

    • Se han configurado credenciales de administrador incorrectas

  • Errores de enlace - Las posibles razones para que un servidor LDAP devuelva errores de enlace (autenticación) son:

    • Filtrado de errores

    • Falla una búsqueda que utiliza criterios de filtro

    • Errores de parámetro

    • Se introdujeron parámetros no válidos

    • La cuenta de usuario está restringida (deshabilitada, bloqueada, caducada, la contraseña caducada, etc.)

Estos errores se registran como errores de recursos externos, lo que indica un posible problema con el servidor LDAP:

  • Error de conexión

  • El tiempo de espera expiró

  • El servidor está inactivo

  • El servidor no tiene memoria suficiente

El error Un usuario no existe en la base de datos se registra como un error Usuario desconocido.

El error Se ingresó una contraseña no válida se registra como un error de contraseña no válida, donde el usuario existe, pero la contraseña enviada no es válida.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
14-Mar-2012
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos