Configurar a autenticação LDAP da ACI

Opções de download

  • PDF     (1.3 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:17 de abril de 2024
ID do documento:221812

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar a autenticação do Lightweight Diretory Access Protocol (LDAP) da Application Centric Infrastructure (ACI).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Política de AAA (Authentication, Authorization, and Accounting) da ACI
    • LDAP

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco Application Policy Infrastructure Controller (APIC) versão 5.2(7f)
    • Ubuntu 20.04 com slapd e phpLDAPadmin

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Esta seção descreve como configurar o APIC para integrar com o servidor LDAP e usar LDAP como o método de autenticação padrão.

    Configurações

    Etapa 1. Criar grupos/usuários no Ubuntu phpLDAPadmin

    note-icon

    Observação: para configurar o Ubuntu como um servidor LDAP, consulte o site oficial do Ubuntu para obter diretrizes abrangentes. Se houver um servidor LDAP existente, comece com a Etapa 2.

    Neste documento, o DN base é dc=dclab,dc=com e dois usuários (Usuário1 e Usuário2) pertencem a Grupos (DCGroup).

    Usuários e grupos LDAP

    Etapa 2. Configurar provedores LDAP no APIC

    Na barra de menus do APIC, navegue até Admin > AAA > Authentication > LDAP > Providers conforme mostrado na imagem.

    Criar provedor LDAP

    DN de vinculação: o DN de vinculação é a credencial que você está usando para se autenticar em um LDAP. O APIC autentica usando essa conta para consultar o diretório.

    DN base: essa sequência de caracteres é empregada pelo APIC como um ponto de referência para pesquisar e identificar entradas de usuário no diretório.

    Senha: Esta é a senha necessária para o DN de vinculação necessário para acessar o servidor LDAP, correlacionando-se com a senha estabelecida em seu servidor LDAP.

    Habilitar SSL: se você usar uma CA interna ou um certificado autoassinado, escolha Permissivo.

    Filtro: A definição de filtro default é cn=$userid quando o usuário é definido como um objeto com um nome comum (CN), o filtro é usado para procurar os objetos dentro do DN de Base.

    Atributo: O atributo é usado para determinar a associação de grupo e as funções. A ACI oferece duas opções aqui: memberOf e CiscoAVPair.memberOf é um atributo RFC2307bis para identificar a associação de grupo. Atualmente, o OpenLDAP verifica o RFC2307, portanto title é usado.

    Grupo de endpoint de gerenciamento (EPG): a conectividade com o servidor LDAP é obtida por meio do EPG dentro da banda ou fora da banda, dependendo da abordagem de gerenciamento de rede escolhida.

    Etapa 3. Configurar regras de mapa de grupo LDAP

    Na barra de menus, navegue até Admin > AAA > Authentication > LDAP > LDAP Group Map Rules  conforme mostrado na imagem.

    Criar regras de mapa de grupo LDAP

    Os usuários no DCGroup têm privilégios de administrador. Portanto, o DN do grupo está cn=DCGroup, ou=Groups, dc=dclab, dc=com. Aatribuindo o domínio de segurança a All e alocando as funções de admin com write privilege .

    Etapa 4. Configurar mapas de grupo LDAP

    Na barra de menus, navegue até Admin > AAA > Authentication > LDAP > LDAP Group Maps  conforme mostrado na imagem.

    Criar mapas de grupo LDAP

    Crie um mapa de grupo LDAP que contenha regras de mapa de grupo LDAP criadas na Etapa 2.

    Etapa 5. Configurar a Política de Autenticação AAA

    Na barra de menus, navegue até Admin > AAA > Authentication > AAA > Policy > Create a login domainconforme mostrado na imagem.

    Criar domínio de logon

    Na barra de menus, navegue até Admin > AAA > Authentication > AAA > Policy > Default Authentication  conforme mostrado na imagem.

    Alterar Método de Autenticação Padrão

    Altere a autenticaçãoRealm padrão para LDAP e selecione LDAP Login Domain created.

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    Usuário de Teste1

    Resultado do login

    Verifique se o usuárioUser1 LDAP faz login no APIC com êxito com função de administrador e privilégio de gravação.

    Troubleshooting

    Esta seção disponibiliza informações para a solução de problemas de configuração.

    Quando o usuário não existir no banco de dados LDAP:

    Erro de login do APIC

    Quando a senha estiver incorreta:

    Autenticação negada do servidor LDAP/AD

    Quando o servidor LDAP estiver inacessível:

    Falha do LDAP/AD ao vincular a qualquer resposta

    Comandos para Troubleshooting:

    apic1# moquery -c aaaLdapProvider Total Objects shown: 1 # aaa.LdapProvider name : 10.124.3.6 SSLValidationLevel : strict annotation : attribute : title basedn : ou=Users,dc=dclab,dc=com childAction : descr : dn : uni/userext/ldapext/ldapprovider-10.124.3.6 enableSSL : no epgDn : uni/tn-mgmt/mgmtp-default/oob-default extMngdBy : filter : cn=$userid key : lcOwn : local modTs : 2024-03-26T07:01:51.868+00:00 monPolDn : uni/fabric/monfab-default monitorServer : disabled monitoringPassword : monitoringUser : default nameAlias : operState : unknown ownerKey : ownerTag : port : 389 retries : 1 rn : ldapprovider-10.124.3.6 rootdn : cn=admin,dc=dclab,dc=com snmpIndex : 1 status : timeout : 30 uid : 15374 userdom : :all: vrfName : apic1# show aaa authentication Default : ldap Console : local apic1# show aaa groups Total number of Groups: 1 RadiusGroups : RsaGroups : TacacsGroups : LdapGroups : LDAP apic1# show aaa sessions Username User Type Host Login Time ---------- ---------- --------------- ------------------------------ User1 remote 10.140.233.70 2024-04-08T07:51:09.004+00:00 User1 remote 10.140.233.70 2024-04-08T07:51:11.357+00:00

    Se precisar de mais ajuda, entre em contato com o Cisco TAC.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    17-Apr-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Zhengyi Li
      Engenheiro do Cisco TAC
    • Linus Li
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos