O Lightweight Diretory Access Protocol (LDAP) é um protocolo de rede para consultar e modificar serviços de diretório que são executados no TCP/IP e no UDP. O LDAP é um mecanismo leve para acessar um servidor de diretório baseado em x.500. O RFC 2251 define o LDAP.
O Cisco Secure Access Control System (ACS) 5.x integra-se a um banco de dados externo LDAP (também chamado de armazenamento de identidade) usando o protocolo LDAP. Há dois métodos usados para se conectar ao servidor LDAP: texto simples (simples) e conexão SSL (criptografada). O ACS 5.x pode ser configurado para se conectar ao servidor LDAP usando ambos os métodos. Este documento fornece uma configuração de exemplo para conectar o ACS 5.x a um servidor LDAP usando uma conexão simples.
Este documento pressupõe que o ACS 5.x tenha uma conexão IP com o servidor LDAP e que a porta TCP 389 esteja aberta.
Por padrão, o servidor LDAP do Microsoft Ative Diretory está configurado para aceitar conexões LDAP na porta TCP 389. Se você estiver usando qualquer outro servidor LDAP, certifique-se de que ele esteja ativo, em execução e aceitando conexões na porta TCP 389.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco Secure ACS 5.x
Servidor LDAP do Microsoft Ative Diretory
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
O serviço de diretório é um aplicativo de software ou um conjunto de aplicativos usado para armazenar e organizar informações sobre os usuários e os recursos de rede de uma rede de computadores. Você pode usar o serviço de diretório para gerenciar o acesso do usuário a esses recursos.
O serviço de diretório LDAP é baseado em um modelo cliente-servidor. Um cliente se conecta a um servidor LDAP para iniciar uma sessão LDAP e envia solicitações de operação ao servidor. O servidor então envia suas respostas. Um ou mais servidores LDAP contêm dados da árvore de diretórios LDAP ou do banco de dados back-end LDAP.
O serviço de diretório gerencia o diretório, que é o banco de dados que contém as informações. Os serviços de diretório usam um modelo distribuído para armazenar informações e essas informações são geralmente replicadas entre servidores de diretório.
Um diretório LDAP é organizado em uma hierarquia de árvore simples e pode ser distribuído entre muitos servidores. Cada servidor pode ter uma versão replicada do diretório total sincronizado periodicamente.
Uma entrada na árvore contém um conjunto de atributos, onde cada atributo tem um nome (um tipo de atributo ou descrição de atributo) e um ou mais valores. Os atributos são definidos em um esquema.
Cada entrada tem um identificador exclusivo chamado DN (Distinguished Name - Nome Distinto). Esse nome contém o RDN (Relative Distinguished Name - Nome Distinto Relativo) construído a partir de atributos na entrada, seguido do DN da entrada pai. Você pode considerar o DN como um nome de arquivo completo e o RDN como um nome de arquivo relativo em uma pasta.
O ACS 5.x pode autenticar uma entidade de segurança em um armazenamento de identidade LDAP executando uma operação de vinculação no servidor de diretório para localizar e autenticar a entidade de segurança. Se a autenticação for bem-sucedida, o ACS poderá recuperar grupos e atributos que pertencem à entidade de segurança. Os atributos a recuperar podem ser configurados na interface da Web do ACS (páginas LDAP). Esses grupos e atributos podem ser usados pelo ACS para autorizar o principal.
Para autenticar um usuário ou consultar o repositório de identidades LDAP, o ACS se conecta ao servidor LDAP e mantém um pool de conexões. Consulte Gerenciamento de conexões LDAP.
O ACS 5.x suporta várias conexões LDAP simultâneas. As conexões são abertas sob demanda no momento da primeira autenticação LDAP. O número máximo de conexões é configurado para cada servidor LDAP. A abertura antecipada de conexões reduz o tempo de autenticação.
Você pode definir o número máximo de conexões a serem usadas para conexões de vinculação simultâneas. O número de conexões abertas pode ser diferente para cada servidor LDAP (primário ou secundário) e é determinado de acordo com o número máximo de conexões de administração configurado para cada servidor.
O ACS mantém uma lista de conexões LDAP abertas (incluindo as informações de ligação) para cada servidor LDAP configurado no ACS. Durante o processo de autenticação, o gerenciador de conexões tenta encontrar uma conexão aberta do pool.
Se não houver uma conexão aberta, uma nova será aberta. Se o servidor LDAP tiver fechado a conexão, o gerenciador de conexões reportará um erro durante a primeira chamada para procurar o diretório e tentará renovar a conexão.
Após a conclusão do processo de autenticação, o gerenciador de conexões libera a conexão para o gerenciador de conexões. Para obter mais informações, consulte o Guia do usuário do ACS 5.X.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Conclua estas etapas para configurar o ACS 5.x para LDAP:
Escolha Users and Identity Stores > External Identity Stores > LDAP e clique em Create para criar uma nova conexão LDAP.
Na guia Geral, forneça o Nome e a Descrição (opcional) para o novo LDAP e clique em Próximo.
Na guia Conexão do servidor, na seção Servidor primário, forneça o Nome do host, a Porta, o DN do administrador e a Senha. Clique em Testar vinculação ao servidor.
Observação: o número da porta IANA atribuída para LDAP é TCP 389. No entanto, confirme o número da porta que o servidor LDAP está usando a partir do seu Administrador LDAP. O DN do administrador e a senha devem ser fornecidos a você pelo seu Administrador LDAP. Seu DN de administrador deve ter todas as permissões de leitura em todas as OUs no servidor LDAP.
Esta imagem mostra que a Ligação de Teste de Conexão com o servidor foi bem-sucedida.
Observação: se o Bind de Testes não for bem-sucedido, verifique novamente o Nome do Host, o Número da Porta, o DN do Administrador e a Senha do seu Administrador LDAP.
Clique em Next.
Forneça os detalhes necessários na guia Organização do diretório na seção Esquema. Da mesma forma, forneça as informações necessárias na seção Estrutura do diretório, conforme fornecido pelo administrador LDAP. Clique em Testar configuração.
Esta imagem mostra que o Teste de Configuração foi bem-sucedido.
Observação: Se o Teste de Configuração não for bem-sucedido, verifique novamente os parâmetros fornecidos no Esquema e na Estrutura de Diretório do Administrador LDAP.
Clique em Finish.
O servidor LDAP foi criado com êxito.
Conclua as etapas para configurar o Identity Store:
Escolha Access Policies > Access Services > Service Selection Rules e verifique qual serviço usará o servidor LDAP para autenticação. Neste exemplo, a Autenticação de servidor LDAP usa o serviço Acesso de rede padrão.
Depois de verificar o serviço na Etapa 1, vá até o serviço específico e clique em Allowed Protocols. Verifique se Allow PAP/ASCII (Permitir PAP/ASCII) está selecionado e clique em Submit.
Observação: você pode ter outros protocolos de autenticação selecionados junto com Permitir PAP/ASCII.
Clique no serviço identificado na Etapa 1 e clique em Identidade. Clique em Selecionar à direita do campo Origem da identidade.
Selecione o Servidor LDAP recém-criado (myLDAP, neste exemplo) e clique em OK.
Clique em Save Changes.
Vá para a seção de Autorização do serviço identificado na Etapa 1 e verifique se há pelo menos uma Regra que permita a Autenticação.
O ACS envia uma solicitação de ligação para autenticar o usuário em um servidor LDAP. A solicitação de ligação contém o DN do usuário e a senha do usuário em texto não criptografado. Um usuário é autenticado quando o DN e a senha do usuário correspondem ao nome de usuário e à senha no diretório LDAP.
Authentication Errors - O ACS registra erros de autenticação nos arquivos de log do ACS.
Erros de inicialização - Use as configurações de tempo limite do servidor LDAP para configurar o número de segundos que o ACS espera por uma resposta de um servidor LDAP antes de determinar que a conexão ou autenticação nesse servidor falhou. Os possíveis motivos para um servidor LDAP retornar um erro de inicialização são:
Não há suporte para LDAP
O servidor está inoperante
O servidor está sem memória
O usuário não tem privilégios
Credenciais de administrador incorretas estão configuradas
Erros de ligação - Os possíveis motivos para um servidor LDAP retornar erros de ligação (autenticação) são:
Erros de filtragem
Uma pesquisa usando critérios de filtragem falha
Erros de parâmetro
Parâmetros inválidos foram inseridos
A conta de usuário é restrita (desativada, bloqueada, expirada, senha expirada e assim por diante)
Esses erros são registrados como erros de recurso externo, indicando um possível problema com o servidor LDAP:
Ocorreu um erro de conexão
O tempo limite expirou
O servidor está inoperante
O servidor está sem memória
O erro A user does not exist in the database é registrado como um erro de usuário desconhecido.
O erro Uma senha inválida foi inserida é registrado como um erro de senha inválida, em que o usuário existe, mas a senha enviada é inválida.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
14-Mar-2012 |
Versão inicial |