ACI LDAP 인증 구성
소개
이 문서에서는 ACI(Application Centric Infrastructure) LDAP(Lightweight Directory Access Protocol) 인증을 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- ACI AAA(Authentication, Authorization, and Accounting) 정책
- LDAP
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco APIC(Application Policy Infrastructure Controller) 버전 5.2(7f)
- Ubuntu 20.04(slapd 및 phpLDAPadmin 사용)
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
이 섹션에서는 LDAP 서버와 통합하고 기본 인증 방법으로 LDAP를 사용하기 위해 APIC를 구성하는 방법에 대해 설명합니다.
설정
1단계. Ubuntu phpLDAPadmin에서 그룹/사용자 생성
참고: Ubuntu를 LDAP 서버로 구성하려면 공식 Ubuntu 웹 사이트에서 종합적인 지침을 참조하십시오. 기존 LDAP 서버가 있는 경우 2단계로 시작합니다.
이 문서에서 기본 DN은dc=dclab,dc=com 이며 두 사용자(User1 및 User2)가 그룹(DCGroup)에 속합니다.
2단계. APIC에서 LDAP 제공자 구성
APIC 메뉴 모음에서 그림과 같이 로Admin > AAA > Authentication > LDAP > Providers 이동합니다.
바인드 DN: 바인드 DN은 LDAP에 대해 인증하기 위해 사용 중인 자격 증명입니다. APIC는 이 계정을 사용하여 디렉터리를 쿼리합니다.
Base DN: 이 문자열은 APIC에서 디렉토리 내의 사용자 항목을 검색하고 식별하기 위한 참조 지점으로 사용됩니다.
비밀번호: LDAP 서버에 액세스하는 데 필요한 바인드 DN의 필수 비밀번호이며, LDAP 서버에 설정된 비밀번호와 상관관계가 있습니다.
SSL 활성화: 내부 CA 또는 자체 서명 인증서를 사용하는 경우 허용을 선택해야 합니다.
필터: 기본 필터 설정은 사용자를 CN(Common Name)의 개체로 정의할 때 필터를 사용하여 기본 DN 내에서 개체를 찾는 것입니다cn=$userid.
속성: 속성은 그룹 멤버십 및 역할을 결정하는 데 사용됩니다. ACI는 여기에 두 가지 옵션을 제공합니다. memberOf CiscoAVPair.memberOf 은 그룹 멤버십을 식별하기 위한 RFC2307bis 특성입니다. 현재 OpenLDAP는 RFC2307을 확인하므로 title 대신 사용됩니다.
EPG(Management Endpoint Group): 선택한 네트워크 관리 방식에 따라 대역 내(In-band) 또는 대역 외(Out-of-band) EPG를 통해 LDAP 서버에 연결합니다.
3단계. LDAP 그룹 맵 규칙 구성
3단계. LDAP 그룹 맵 규칙 구성메뉴 모음에서 이미지에 표시된 Admin > AAA > Authentication > LDAP > LDAP Group Map Rules 대로 이동합니다.
DCGroup의 사용자는 관리자 권한을 갖습니다. 따라서 그룹 DN은 cn=DCGroup, ou=Groups, dc=dclab, dc=com. A에 대한 역할을 All할당하도록 보안 도메인을admin write privilege지정합니다.
4단계. LDAP 그룹 맵 구성
4단계. LDAP 그룹 맵 구성메뉴 모음에서 이미지에 표시된 Admin > AAA > Authentication > LDAP > LDAP Group Maps 대로 이동합니다.
2단계에서 생성한 LDAP 그룹 맵 규칙을 포함하는 LDAP 그룹 맵을 생성합니다.
5단계. AAA 인증 정책 구성
5단계. AAA 인증 정책 구성메뉴 모음에서 이미지에 표시된 Admin > AAA > Authentication > AAA > Policy > Create a login domain대로 이동합니다.
메뉴 모음에서 이미지에 표시된 Admin > AAA > Authentication > AAA > Policy > Default Authentication 대로 이동합니다.
기본 인증을 LDAPRealm로 변경하고 created를 LDAP Login Domain 선택합니다.
다음을 확인합니다.
다음을 확인합니다.구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.
LDAP 사용자가 관리자 역할User1 및 쓰기 권한으로 APIC에 성공적으로 로그인했는지 확인합니다.
문제 해결
문제 해결이 섹션에서는 설정 문제 해결을 위해 사용할 수 있는 정보를 제공합니다.
사용자가 LDAP 데이터베이스에 없는 경우:
암호가 올바르지 않은 경우:
LDAP 서버에 연결할 수 없는 경우:
문제 해결 명령:
apic1# moquery -c aaaLdapProvider Total Objects shown: 1 # aaa.LdapProvider name : 10.124.3.6 SSLValidationLevel : strict annotation : attribute : title basedn : ou=Users,dc=dclab,dc=com childAction : descr : dn : uni/userext/ldapext/ldapprovider-10.124.3.6 enableSSL : no epgDn : uni/tn-mgmt/mgmtp-default/oob-default extMngdBy : filter : cn=$userid key : lcOwn : local modTs : 2024-03-26T07:01:51.868+00:00 monPolDn : uni/fabric/monfab-default monitorServer : disabled monitoringPassword : monitoringUser : default nameAlias : operState : unknown ownerKey : ownerTag : port : 389 retries : 1 rn : ldapprovider-10.124.3.6 rootdn : cn=admin,dc=dclab,dc=com snmpIndex : 1 status : timeout : 30 uid : 15374 userdom : :all: vrfName : apic1# show aaa authentication Default : ldap Console : local apic1# show aaa groups Total number of Groups: 1 RadiusGroups : RsaGroups : TacacsGroups : LdapGroups : LDAP apic1# show aaa sessions Username User Type Host Login Time ---------- ---------- --------------- ------------------------------ User1 remote 10.140.233.70 2024-04-08T07:51:09.004+00:00 User1 remote 10.140.233.70 2024-04-08T07:51:11.357+00:00추가 지원이 필요한 경우 Cisco TAC에 문의하십시오.
관련 정보
관련 정보 개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
17-Apr-2024 |
최초 릴리스 |
피드백