El protocolo ligero de acceso a directorios (LDAP) es un protocolo de red para consultar y modificar servicios de directorio que se ejecutan en TCP/IP y UDP. LDAP es un mecanismo ligero para acceder a un servidor de directorio basado en x.500. RFC 2251 define LDAP.
Cisco Secure Access Control System (ACS) 5.x se integra con una base de datos externa LDAP (también denominada almacén de identidades) mediante el protocolo LDAP. Existen dos métodos para conectarse al servidor LDAP: texto sin formato (simple) y conexión SSL (cifrada). ACS 5.x se puede configurar para conectarse al servidor LDAP mediante estos dos métodos. Este documento proporciona un ejemplo de configuración para conectar ACS 5.x con un servidor LDAP usando una conexión simple.
Este documento asume que ACS 5.x tiene una conexión IP con el servidor LDAP y que el puerto TCP 389 está abierto.
De forma predeterminada, el servidor LDAP de Microsoft Active Directory está configurado para aceptar conexiones LDAP en el puerto TCP 389. Si está utilizando cualquier otro servidor LDAP, asegúrese de que esté activo, en ejecución y aceptando conexiones en el puerto TCP 389.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Cisco Secure ACS 5.x
servidor LDAP de Microsoft Active Directory
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
El servicio de directorio es una aplicación de software o un conjunto de aplicaciones que se utilizan para almacenar y organizar información acerca de los usuarios y recursos de red de una red informática. Puede utilizar el servicio de directorio para administrar el acceso de los usuarios a estos recursos.
El servicio de directorio LDAP se basa en un modelo cliente-servidor. Un cliente se conecta a un servidor LDAP para iniciar una sesión LDAP y envía solicitudes de operación al servidor. A continuación, el servidor envía sus respuestas. Uno o más servidores LDAP contienen datos del árbol de directorios LDAP o de la base de datos de respaldo LDAP.
El servicio de directorio administra el directorio, que es la base de datos que contiene la información. Los servicios de directorio utilizan un modelo distribuido para almacenar información, y esa información se replica normalmente entre los servidores de directorio.
Un directorio LDAP se organiza en una jerarquía de árbol simple y se puede distribuir entre muchos servidores. Cada servidor puede tener una versión replicada del directorio total que se sincroniza periódicamente.
Una entrada del árbol contiene un conjunto de atributos, donde cada atributo tiene un nombre (un tipo de atributo o una descripción de atributo) y uno o más valores. Los atributos se definen en un esquema.
Cada entrada tiene un identificador único llamado su nombre distinguido (DN). Este nombre contiene el nombre distintivo relativo (RDN) construido a partir de los atributos de la entrada, seguido del DN de la entrada principal. Puede pensar en el DN como un nombre de archivo completo, y el RDN como un nombre de archivo relativo en una carpeta.
ACS 5.x puede autenticar una identidad en un almacén de identidad LDAP realizando una operación de enlace en el servidor de directorio para encontrar y autenticar la identidad. Si la autenticación es exitosa, ACS puede recuperar grupos y atributos que pertenecen a la entidad de seguridad. Los atributos a recuperar se pueden configurar en la interfaz web ACS (páginas LDAP). Estos grupos y atributos pueden ser utilizados por ACS para autorizar la identidad.
Para autenticar un usuario o consultar el almacén de identidad LDAP, ACS se conecta con el servidor LDAP y mantiene un pool de conexiones. Consulte Administración de la conexión LDAP.
ACS 5.x admite varias conexiones LDAP simultáneas. Las conexiones se abren a petición en el momento de la primera autenticación LDAP. Se configura el número máximo de conexiones para cada servidor LDAP. Al abrir las conexiones de antemano se acorta el tiempo de autenticación.
Puede establecer el número máximo de conexiones que se utilizarán para las conexiones de enlace simultáneas. El número de conexiones abiertas puede ser diferente para cada servidor LDAP (principal o secundario) y se determina según el número máximo de conexiones de administración configuradas para cada servidor.
ACS conserva una lista de conexiones LDAP abiertas (incluida la información de enlace) para cada servidor LDAP configurado en ACS. Durante el proceso de autenticación, el administrador de conexiones intenta encontrar una conexión abierta del grupo.
Si no existe una conexión abierta, se abre una nueva. Si el servidor LDAP ha cerrado la conexión, el administrador de conexiones informa de un error durante la primera llamada para buscar en el directorio e intenta renovar la conexión.
Una vez finalizado el proceso de autenticación, el administrador de conexiones libera la conexión al administrador de conexiones. Para obtener más información, consulte la Guía del usuario de ACS 5.X.
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Complete estos pasos para configurar ACS 5.x para LDAP:
Elija Users and Identity Stores > External Identity Stores > LDAP, y haga clic en Create para crear una nueva conexión LDAP.
En la ficha General, proporcione el Nombre y la Descripción (opcional) para el nuevo LDAP, y haga clic en Next.
En la pestaña Server Connection bajo la sección Primary Server , ingrese el Hostname, Port, Admin DN y Password. Haga clic en Probar enlace al servidor.
Nota: El número de puerto asignado por IANA para LDAP es TCP 389. Sin embargo, confirme el número de puerto que su servidor LDAP está utilizando desde su administrador LDAP. El administrador de LDAP debe proporcionarle el DN de administrador y la contraseña. El DN de administrador debe tener permisos de lectura en todas las OU del servidor LDAP.
Esta imagen muestra que el enlace de prueba de conexión al servidor se realizó correctamente.
Nota: Si el enlace de prueba no se realiza correctamente, vuelva a verificar el nombre de host, el número de puerto, el DN de administrador y la contraseña del administrador de LDAP.
Haga clic en Next (Siguiente).
Proporcione los detalles necesarios en la ficha Organización de directorios de la sección Esquema. De forma similar, proporcione la información necesaria en la sección Estructura de directorios tal y como la proporciona el administrador de LDAP. Haga clic en Test Configuration.
Esta imagen muestra que la prueba de configuración se ha realizado correctamente.
Nota: Si la Prueba de Configuración no es exitosa, vuelva a verificar los parámetros provistos en el Esquema y la Estructura de Directorios desde su administrador LDAP.
Haga clic en Finish (Finalizar).
El servidor LDAP se ha creado correctamente.
Complete los pasos para configurar el almacén de identidades:
Elija Access Policies > Access Services > Service Selection Rules, y verifique qué servicio va a utilizar el servidor LDAP para la autenticación. En este ejemplo, la autenticación del servidor LDAP utiliza el servicio Default Network Access.
Una vez que haya verificado el servicio en el Paso 1, vaya al servicio en particular y haga clic en Protocolos permitidos. Asegúrese de que la opción Allow PAP/ASCII esté seleccionada y haga clic en Submit.
Nota: Puede seleccionar otros protocolos de autenticación junto con Permitir PAP/ASCII.
Haga clic en el servicio identificado en el paso 1 y, a continuación, haga clic en Identidad. Haga clic en Seleccionar a la derecha del campo Origen de identidad.
Seleccione el servidor LDAP recién creado (myLDAP, en este ejemplo), y haga clic en Aceptar.
Haga clic en Guardar cambios.
Vaya a la sección Authorization (Autorización) del servicio identificado en el paso 1 y asegúrese de que haya al menos una regla que permita la autenticación.
ACS envía una solicitud de enlace para autenticar al usuario contra un servidor LDAP. La solicitud de enlace contiene el DN del usuario y la contraseña de usuario en texto no cifrado. Un usuario se autentica cuando el DN y la contraseña del usuario coinciden con el nombre de usuario y la contraseña en el directorio LDAP.
Errores de autenticación: ACS registra los errores de autenticación en los archivos de registro de ACS.
Errores de inicialización - Utilice la configuración de tiempo de espera del servidor LDAP para configurar el número de segundos que ACS espera una respuesta de un servidor LDAP antes de determinar que la conexión o autenticación en ese servidor ha fallado. Las posibles razones para que un servidor LDAP devuelva un error de inicialización son:
LDAP no es compatible
El servidor está inactivo
El servidor no tiene memoria suficiente
El usuario no tiene privilegios
Se han configurado credenciales de administrador incorrectas
Errores de enlace - Las posibles razones para que un servidor LDAP devuelva errores de enlace (autenticación) son:
Filtrado de errores
Falla una búsqueda que utiliza criterios de filtro
Errores de parámetro
Se introdujeron parámetros no válidos
La cuenta de usuario está restringida (deshabilitada, bloqueada, caducada, la contraseña caducada, etc.)
Estos errores se registran como errores de recursos externos, lo que indica un posible problema con el servidor LDAP:
Error de conexión
El tiempo de espera expiró
El servidor está inactivo
El servidor no tiene memoria suficiente
El error Un usuario no existe en la base de datos se registra como un error Usuario desconocido.
El error Se ingresó una contraseña no válida se registra como un error de contraseña no válida, donde el usuario existe, pero la contraseña enviada no es válida.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
14-Mar-2012 |
Versión inicial |