ACS 5.x: Exemplo de configuração de servidor LDAP

Opções de download

  • PDF     (1.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (943.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (663.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:20 de março de 2012
ID do documento:113473

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

O Lightweight Diretory Access Protocol (LDAP) é um protocolo de rede para consultar e modificar serviços de diretório que são executados no TCP/IP e no UDP. O LDAP é um mecanismo leve para acessar um servidor de diretório baseado em x.500. O RFC 2251 define o LDAP.leavingcisco.com

O Cisco Secure Access Control System (ACS) 5.x integra-se a um banco de dados externo LDAP (também chamado de armazenamento de identidade) usando o protocolo LDAP. Há dois métodos usados para se conectar ao servidor LDAP: texto simples (simples) e conexão SSL (criptografada). O ACS 5.x pode ser configurado para se conectar ao servidor LDAP usando ambos os métodos. Este documento fornece uma configuração de exemplo para conectar o ACS 5.x a um servidor LDAP usando uma conexão simples.

Pré-requisitos

Requisitos

Este documento pressupõe que o ACS 5.x tenha uma conexão IP com o servidor LDAP e que a porta TCP 389 esteja aberta.

Por padrão, o servidor LDAP do Microsoft Ative Diretory está configurado para aceitar conexões LDAP na porta TCP 389. Se você estiver usando qualquer outro servidor LDAP, certifique-se de que ele esteja ativo, em execução e aceitando conexões na porta TCP 389.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Secure ACS 5.x

  • Servidor LDAP do Microsoft Ative Diretory

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Serviço de diretório

O serviço de diretório é um aplicativo de software ou um conjunto de aplicativos usado para armazenar e organizar informações sobre os usuários e os recursos de rede de uma rede de computadores. Você pode usar o serviço de diretório para gerenciar o acesso do usuário a esses recursos.

O serviço de diretório LDAP é baseado em um modelo cliente-servidor. Um cliente se conecta a um servidor LDAP para iniciar uma sessão LDAP e envia solicitações de operação ao servidor. O servidor então envia suas respostas. Um ou mais servidores LDAP contêm dados da árvore de diretórios LDAP ou do banco de dados back-end LDAP.

O serviço de diretório gerencia o diretório, que é o banco de dados que contém as informações. Os serviços de diretório usam um modelo distribuído para armazenar informações e essas informações são geralmente replicadas entre servidores de diretório.

Um diretório LDAP é organizado em uma hierarquia de árvore simples e pode ser distribuído entre muitos servidores. Cada servidor pode ter uma versão replicada do diretório total sincronizado periodicamente.

Uma entrada na árvore contém um conjunto de atributos, onde cada atributo tem um nome (um tipo de atributo ou descrição de atributo) e um ou mais valores. Os atributos são definidos em um esquema.

Cada entrada tem um identificador exclusivo chamado DN (Distinguished Name - Nome Distinto). Esse nome contém o RDN (Relative Distinguished Name - Nome Distinto Relativo) construído a partir de atributos na entrada, seguido do DN da entrada pai. Você pode considerar o DN como um nome de arquivo completo e o RDN como um nome de arquivo relativo em uma pasta.

Autenticação usando LDAP

O ACS 5.x pode autenticar uma entidade de segurança em um armazenamento de identidade LDAP executando uma operação de vinculação no servidor de diretório para localizar e autenticar a entidade de segurança. Se a autenticação for bem-sucedida, o ACS poderá recuperar grupos e atributos que pertencem à entidade de segurança. Os atributos a recuperar podem ser configurados na interface da Web do ACS (páginas LDAP). Esses grupos e atributos podem ser usados pelo ACS para autorizar o principal.

Para autenticar um usuário ou consultar o repositório de identidades LDAP, o ACS se conecta ao servidor LDAP e mantém um pool de conexões. Consulte Gerenciamento de conexões LDAP.

Gerenciamento de conexões LDAP

O ACS 5.x suporta várias conexões LDAP simultâneas. As conexões são abertas sob demanda no momento da primeira autenticação LDAP. O número máximo de conexões é configurado para cada servidor LDAP. A abertura antecipada de conexões reduz o tempo de autenticação.

Você pode definir o número máximo de conexões a serem usadas para conexões de vinculação simultâneas. O número de conexões abertas pode ser diferente para cada servidor LDAP (primário ou secundário) e é determinado de acordo com o número máximo de conexões de administração configurado para cada servidor.

O ACS mantém uma lista de conexões LDAP abertas (incluindo as informações de ligação) para cada servidor LDAP configurado no ACS. Durante o processo de autenticação, o gerenciador de conexões tenta encontrar uma conexão aberta do pool.

Se não houver uma conexão aberta, uma nova será aberta. Se o servidor LDAP tiver fechado a conexão, o gerenciador de conexões reportará um erro durante a primeira chamada para procurar o diretório e tentará renovar a conexão.

Após a conclusão do processo de autenticação, o gerenciador de conexões libera a conexão para o gerenciador de conexões. Para obter mais informações, consulte o Guia do usuário do ACS 5.X.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Configurar o ACS 5.x para LDAP

Conclua estas etapas para configurar o ACS 5.x para LDAP:

  1. Escolha Users and Identity Stores > External Identity Stores > LDAP e clique em Create para criar uma nova conexão LDAP.

    acs-simple-ldap-01.gif

  2. Na guia Geral, forneça o Nome e a Descrição (opcional) para o novo LDAP e clique em Próximo.

    acs-simple-ldap-02.gif

  3. Na guia Conexão do servidor, na seção Servidor primário, forneça o Nome do host, a Porta, o DN do administrador e a Senha. Clique em Testar vinculação ao servidor.

    Observação: o número da porta IANA atribuída para LDAP é TCP 389. No entanto, confirme o número da porta que o servidor LDAP está usando a partir do seu Administrador LDAP. O DN do administrador e a senha devem ser fornecidos a você pelo seu Administrador LDAP. Seu DN de administrador deve ter todas as permissões de leitura em todas as OUs no servidor LDAP.

    acs-simple-ldap-03.gif

  4. Esta imagem mostra que a Ligação de Teste de Conexão com o servidor foi bem-sucedida.

    acs-simple-ldap-04.gif

    Observação: se o Bind de Testes não for bem-sucedido, verifique novamente o Nome do Host, o Número da Porta, o DN do Administrador e a Senha do seu Administrador LDAP.

  5. Clique em Next.

    acs-simple-ldap-05.gif

  6. Forneça os detalhes necessários na guia Organização do diretório na seção Esquema. Da mesma forma, forneça as informações necessárias na seção Estrutura do diretório, conforme fornecido pelo administrador LDAP. Clique em Testar configuração.

    acs-simple-ldap-06.gif

  7. Esta imagem mostra que o Teste de Configuração foi bem-sucedido.

    acs-simple-ldap-07.gif

    Observação: Se o Teste de Configuração não for bem-sucedido, verifique novamente os parâmetros fornecidos no Esquema e na Estrutura de Diretório do Administrador LDAP.

  8. Clique em Finish.

    acs-simple-ldap-08.gif

  9. O servidor LDAP foi criado com êxito.

    acs-simple-ldap-09.gif

Configurar o Repositório de Identidades

Conclua as etapas para configurar o Identity Store:

  1. Escolha Access Policies > Access Services > Service Selection Rules e verifique qual serviço usará o servidor LDAP para autenticação. Neste exemplo, a Autenticação de servidor LDAP usa o serviço Acesso de rede padrão.

    acs-simple-ldap-10.gif

  2. Depois de verificar o serviço na Etapa 1, vá até o serviço específico e clique em Allowed Protocols. Verifique se Allow PAP/ASCII (Permitir PAP/ASCII) está selecionado e clique em Submit.

    Observação: você pode ter outros protocolos de autenticação selecionados junto com Permitir PAP/ASCII.

    acs-simple-ldap-11.gif

  3. Clique no serviço identificado na Etapa 1 e clique em Identidade. Clique em Selecionar à direita do campo Origem da identidade.

    acs-simple-ldap-12.gif

  4. Selecione o Servidor LDAP recém-criado (myLDAP, neste exemplo) e clique em OK.

    acs-simple-ldap-13.gif

  5. Clique em Save Changes.

    acs-simple-ldap-14.gif

  6. Vá para a seção de Autorização do serviço identificado na Etapa 1 e verifique se há pelo menos uma Regra que permita a Autenticação.

    acs-simple-ldap-15.gif

Troubleshooting

O ACS envia uma solicitação de ligação para autenticar o usuário em um servidor LDAP. A solicitação de ligação contém o DN do usuário e a senha do usuário em texto não criptografado. Um usuário é autenticado quando o DN e a senha do usuário correspondem ao nome de usuário e à senha no diretório LDAP.

  • Authentication Errors - O ACS registra erros de autenticação nos arquivos de log do ACS.

  • Erros de inicialização - Use as configurações de tempo limite do servidor LDAP para configurar o número de segundos que o ACS espera por uma resposta de um servidor LDAP antes de determinar que a conexão ou autenticação nesse servidor falhou. Os possíveis motivos para um servidor LDAP retornar um erro de inicialização são:

    • Não há suporte para LDAP

    • O servidor está inoperante

    • O servidor está sem memória

    • O usuário não tem privilégios

    • Credenciais de administrador incorretas estão configuradas

  • Erros de ligação - Os possíveis motivos para um servidor LDAP retornar erros de ligação (autenticação) são:

    • Erros de filtragem

    • Uma pesquisa usando critérios de filtragem falha

    • Erros de parâmetro

    • Parâmetros inválidos foram inseridos

    • A conta de usuário é restrita (desativada, bloqueada, expirada, senha expirada e assim por diante)

Esses erros são registrados como erros de recurso externo, indicando um possível problema com o servidor LDAP:

  • Ocorreu um erro de conexão

  • O tempo limite expirou

  • O servidor está inoperante

  • O servidor está sem memória

O erro A user does not exist in the database é registrado como um erro de usuário desconhecido.

O erro Uma senha inválida foi inserida é registrado como um erro de senha inválida, em que o usuário existe, mas a senha enviada é inválida.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
14-Mar-2012
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos