Lichtgewicht Directory Access Protocol (LDAP) is een netwerkprotocol voor het opvragen en wijzigen van directoryservices die worden uitgevoerd op TCP/IP en UDP. LDAP is een lichtgewicht mechanisme voor toegang tot een x.500-gebaseerde directory server. RFC 2251 definieert LDAP.
Access Control Server (ACS) 5.x integreert met een LDAP externe database, ook wel een identiteitsarchief genoemd, met behulp van het LDAP-protocol. Er zijn twee methoden om verbinding te maken met de LDAP-server: onbewerkte tekst (eenvoudig) en SSL (versleuteld) verbinding. ACS 5.x kan worden geconfigureerd om verbinding te maken met de LDAP-server met behulp van beide methoden. In dit document wordt ACS 5.x geconfigureerd om verbinding te maken met een LDAP-server met behulp van versleutelde verbinding.
In dit document wordt ervan uitgegaan dat ACS 5.x een IP-verbinding met de LDAP-server heeft en dat de poort TCP 636 is geopend.
De Microsoft® Active Directory LDAP-server moet worden geconfigureerd om beveiligde LDAP-verbindingen te accepteren op poort TCP 636. In dit document wordt ervan uitgegaan dat u het basiscertificaat hebt van de certificeringsinstantie (CA) die het servercertificaat aan de Microsoft LDAP-server heeft afgegeven. Raadpleeg Hoe u LDAP over SSL inschakelt met een certificeringsinstantie van een derde partij voor meer informatie over het configureren van de LDAP-server.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco Secure ACS 5.x
Microsoft Active Directory LDAP-server
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Directory Service
De indexdienst is een softwaretoepassing, of een reeks toepassingen, voor het opslaan van en het organiseren van informatie over de gebruikers van een computernetwerk en netwerkmiddelen. U kunt de indexdienst gebruiken om gebruikerstoegang tot deze middelen te beheren.
De LDAP directory service is gebaseerd op een client-server model. Een client start een LDAP-sessie door verbinding te maken met een LDAP-server en stuurt verrichtingsverzoeken naar de server. De server verstuurt vervolgens de antwoorden. Een of meer LDAP-servers bevatten gegevens uit de LDAP-directory boom of de LDAP-back-end database.
De directory service beheert de directory, die de database is die de informatie bevat. De indexdiensten gebruiken een gedistribueerd model voor het opslaan van informatie, en die informatie wordt gewoonlijk herhaald tussen indexservers.
Een LDAP directory is georganiseerd in een eenvoudige boomhiërarchie en kan verdeeld worden over vele servers. Elke server kan een gerepliceerde versie hebben van de totale map die periodiek gesynchroniseerd wordt.
Een item in de boom bevat een reeks eigenschappen, waarbij elke eigenschap een naam heeft (een attribuuttype of attributenbeschrijving) en een of meer waarden. De eigenschappen worden gedefinieerd in een schema.
Elke vermelding heeft een unieke identificatiecode: de onderscheidende naam (DN). Deze naam bevat de Relative Distinguished Name (RDN), geconstrueerd uit eigenschappen in de ingang, gevolgd door de DN van de ouderingang. Je kan de DN zien als een volledige bestandsnaam, en de RDN als een relatieve bestandsnaam in een map.
Verificatie met LDAP
ACS 5.x kan een opdrachtgever authenticeren tegen een LDAP-identiteitsarchief door een bind bewerking uit te voeren op de directory server om het opdrachtgever te vinden en te authenticeren. Als de authentificatie slaagt, kan ACS groepen en attributen terugwinnen die tot het hoofd behoren. De eigenschappen die moeten worden hersteld kunnen worden geconfigureerd in de ACS-webinterface (LDAP-pagina's). Deze groepen en eigenschappen kunnen door ACS worden gebruikt om de opdrachtgever te machtigen.
Om een gebruiker te authenticeren of de LDAP-identiteitsopslag te bevragen, verbindt ACS met de LDAP-server en onderhoudt een verbindingspool.
LDAP-verbindingsbeheer
ACS 5.x ondersteunt meerdere gelijktijdige LDAP-verbindingen. Aansluitingen worden op aanvraag geopend bij de eerste LDAP-verificatie. Het maximale aantal verbindingen wordt ingesteld voor elke LDAP-server. Door van tevoren verbindingen te openen wordt de verificatietijd verkort.
U kunt het maximale aantal verbindingen instellen dat moet worden gebruikt voor gelijktijdige bindingsverbindingen. Het aantal geopende verbindingen kan voor elke LDAP-server verschillend zijn (primair of secundair) en wordt bepaald op basis van het maximale aantal beheerverbindingen dat voor elke server is geconfigureerd.
ACS behoudt een lijst van open LDAP-verbindingen (inclusief bind-informatie) voor elke LDAP-server die in ACS is geconfigureerd. Tijdens het verificatieproces probeert de verbindingsbeheerder een open verbinding te vinden uit de pool.
Als er geen open verbinding is, wordt er een nieuwe geopend. Als de LDAP-server de verbinding heeft gesloten, meldt de verbindingsmanager een fout tijdens de eerste oproep om in de directory te zoeken en probeert de verbinding te vernieuwen.
Nadat het verificatieproces is voltooid, laat de verbindingsbeheerder de verbinding los aan de verbindingsbeheerder. Zie voor meer informatie de ACS 5.X-gebruikershandleiding.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Voltooi deze stappen om een Root CA-certificaat op Cisco Secure ACS 5.x te installeren:
Opmerking: Zorg ervoor dat LDAP-server vooraf is geconfigureerd om versleutelde verbindingen op poort TCP 636 te accepteren. Raadpleeg Hoe u LDAP over SSL inschakelt met een certificeringsinstantie van een derde partij voor meer informatie over het configureren van de Microsoft LDAP-server.
Kies Gebruikers en Identity Stores > Certificaatautoriteiten, klik vervolgens op Add om het basiscertificaat van de CA die het servercertificaat heeft afgegeven, toe te voegen aan de Microsoft LDAP-server.
Klik in de sectie Certificaatbestand importeren op Bladeren naast Certificaatbestand om naar het Certificaatbestand te zoeken.
Kies het gewenste certificaatbestand (het basiscertificaat van de CA die het servercertificaat heeft afgegeven aan de Microsoft LDAP-server) en klik op Openen.
Geef een beschrijving in de ruimte naast Beschrijving en klik op Indienen.
Dit beeld toont aan dat het basiscertificaat correct is geïnstalleerd:
Voltooi deze stappen om ACS 5.x voor beveiligde LDAP te configureren:
Kies Gebruikers en Identity Stores > Externe Identity Stores > LDAP en klik op Maken om een nieuwe LDAP-verbinding te maken.
Vanuit het tabblad Algemeen kunt u de naam en beschrijving (optioneel) voor de nieuwe LDAP opgeven en vervolgens op Volgende klikken.
Geef op het tabblad Serververbinding onder de sectie Primaire server de hostnaam, poort, beheerder, ISDN en wachtwoord op. Zorg ervoor dat het selectievakje naast Beveiligde verificatie gebruiken is ingeschakeld en kies het onlangs geïnstalleerde Root CA-certificaat. Klik op Binden aan server testen.
Opmerking: IANA toegewezen poortnummer voor beveiligde LDAP is TCP 636. Bevestig echter het poortnummer dat uw LDAP-server gebruikt vanuit uw LDAP Admin.
Opmerking: de Admin DN en het wachtwoord moeten u worden gegeven door uw LDAP Admin. Admin DN moet alle rechten op alle OU's op de LDAP server hebben gelezen.
De volgende afbeelding laat zien dat de verbindingstest bind met de server geslaagd is.
Opmerking: als de Test Bind niet succesvol is, verifieer dan de Hostname, het poortnummer, Admin DN, het wachtwoord en de root-CA van uw LDAP-beheerder opnieuw.
Klik op Next (Volgende).
Van het tabblad Directory Organisation onder de sectie Schema, geef de vereiste details. Op dezelfde manier de vereiste informatie onder de sectie Directory Structure leveren zoals voorzien door uw LDAP Admin. Klik op Testconfiguratie.
De volgende afbeelding laat zien dat de Configuration Test is geslaagd.
Opmerking: Als de Configuration Test niet succesvol is, verifieert u de parameters in het schema en de mappenstructuur opnieuw vanuit uw LDAP-beheerder.
Klik op Finish (Voltooien).
De LDAP-server is gemaakt.
Concurreer deze stappen om de Identity Store te configureren:
Kies Toegangsbeleid > Toegangsservices > Servicesselectieregels en controleer welke service de Secure LDAP-server voor verificatie gaat gebruiken. In dit voorbeeld is de service Default Network Access.
Nadat u de service in stap 1 hebt geverifieerd, gaat u naar de betreffende service en klikt u op Toegestane protocollen. Zorg ervoor dat de optie PAP/ASCII toestaan is ingeschakeld en klik vervolgens op Indienen.
Opmerking: u kunt andere verificatieprotocollen laten selecteren met de optie PAP/ASCII toestaan.
Klik op de service die in stap 1 is geïdentificeerd en klik vervolgens op Identity. Klik op Selecteer naast Identity Source.
Selecteer de nieuwe beveiligde LDAP-server (myLDAP in dit voorbeeld) en klik vervolgens op OK.
Klik op Wijzigingen opslaan.
Ga naar het gedeelte Autorisatie van de service die in stap 1 is geïdentificeerd en zorg ervoor dat er ten minste één regel is die verificatie toestaat.
ACS stuurt een bind verzoek om de gebruiker tegen een LDAP-server te verifiëren. Het bind verzoek bevat DN van de gebruiker en gebruikerswachtwoord in duidelijke tekst. Een gebruiker wordt geverifieerd wanneer de ISDN en het wachtwoord van de gebruiker overeenkomen met de gebruikersnaam en het wachtwoord in de map LDAP.
Verificatiefouten— ACS-logboekverificatiefouten in de ACS-logbestanden.
Initialisatiefouten— Gebruik de tijdelijke instellingen van de LDAP-server om het aantal seconden te configureren dat de ACS wacht op een reactie van een LDAP-server voordat de verbinding of verificatie op die server is mislukt. Mogelijke redenen voor een LDAP-server om een initialisatiefout te retourneren zijn:
LDAP wordt niet ondersteund
De server is uitgeschakeld
Het geheugen van de server is bijna leeg
De gebruiker heeft geen rechten
Onjuiste beheerdersreferenties worden geconfigureerd
Bind Fouten— Mogelijke redenen voor een LDAP-server om bind (authenticatie) fouten te retourneren zijn:
Filterfouten
Een zoekopdracht met filtercriteria mislukt
Parameterfouten
Er zijn ongeldige parameters ingevoerd
Gebruikersaccount is beperkt (uitgeschakeld, uitgesloten, verlopen, wachtwoord verlopen, enzovoort)
Deze fouten worden geregistreerd als externe resourcefouten, wat wijst op een mogelijk probleem met de LDAP-server:
Er is een verbindingsfout opgetreden
De time-out is verlopen
De server is uitgeschakeld
Het geheugen van de server is bijna leeg
Deze fout wordt geregistreerd als een Onbekende gebruikersfout: Een gebruiker bestaat niet in de database.
Deze fout wordt geregistreerd als een Ongeldige wachtwoordfout, waar de gebruiker bestaat, maar het verzonden wachtwoord is ongeldig: Er is een ongeldig wachtwoord ingevoerd.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
12-Mar-2012 |
Eerste vrijgave |