Allied Telesis Lightweight Directory Access Protocol
Inleiding
Lightweight Directory Access Protocol (LDAP) is 'n sagtewareprotokol wat gebruik word om verskeie IT-bronne te bestuur en toegang te verkry, bv. toepassings, bedieners, netwerktoerusting, en file bedieners. Die algemene gebruik van LDAP is om 'n sentrale plek vir verifikasie te verskaf, wat beteken dat dit gebruikersname en wagwoorde stoor.
Soos die naam aandui, is LDAP 'n liggewig weergawe van Directory Access Protocol (DAP), wat deel is van X.500, 'n standaard vir gidsdienste in 'n netwerk. LDAP gebruik gidse om die organisasie-inligting, personeelinligting en hulpbroninligting in stand te hou.
Netwerkgidse vertel jou waar in die netwerk iets geleë is. Op TCP/IP-netwerke is die domeinnaamstelsel (DNS) die gidsstelsel wat gebruik word om die domeinnaam met 'n spesifieke netwerkadres in verband te bring. As u egter nie die domeinnaam ken nie, laat LDAP u toe om na 'n individu te soek sonder om te weet waar hulle geleë is.
U kan LDAP gebruik om gebruikers te verifieer wat aan interne netwerke oor OpenVPN koppel. Alhoewel AlliedWare Plus-toestelle beide LDAP en RADIUS uitruilbaar as 'n verifikasieprotokol kan gebruik, het LDAP die vermoë om met gidsdienste soos Microsoft se Active Directory (AD) te kommunikeer. AD is een van die kernstukke van Windows-databasisomgewings. Dit stoor gebruiker- en rekeninginligting, en verskaf magtiging en verifikasie vir rekenaars, gebruikers en groepe, om sekuriteitsbeleide oor Windows-bedryfstelsels af te dwing.
Hierdie gids verskaf inligting vir die konfigurasie van OpenVPN Access Server om te verifieer teen Active Directory met LDAP
Produkte en sagteware weergawe wat van toepassing is op hierdie gids
Hierdie gids is van toepassing op AlliedWare Plus™-produkte wat LDAP ondersteun, met weergawe 5.5.2-1 of later.
Sien die volgende dokumente om te sien of jou produk LDAP ondersteun:
- Die produk se datablad
- Die produk se opdragverwysing
Hierdie dokumente is beskikbaar vanaf die bogenoemde skakels op ons webwebwerf by alliedtelesis.com.
Die volgende dokumente gee meer inligting oor die verifikasiekenmerke op AlliedWare Plus-produkte:
- die OpenVPN-funksie verbyview en Konfigurasiegids
- die AAA en Port Authentication Feature verbyview en Konfigurasiegids
- Die produk se opdragverwysing
Hierdie dokumente is beskikbaar vanaf die skakels hierbo of op ons webwebwerf by alliedtelesis.com
LDAP verbyview
Die LDAP-protokol kommunikeer met Active Directory. Dit is in wese 'n manier om met Active Directory te praat en boodskappe tussen AD en ander dele van jou netwerk oor te dra.
Hoe werk Active Directory LDAP-verifikasie? Basies moet u LDAP opstel om geloofsbriewe teen Active Directory te verifieer. Die 'BIND'-operasie word gebruik om die stawingstoestand te stel vir 'n LDAP-sessie waarin die LDAP-kliënt aan die bediener koppel.
In die meeste gevalle beteken hierdie tipe eenvoudige verifikasie in wese dat 'n naam en wagwoord gebruik word om 'n bindversoek aan die bediener te skep vir verifikasie.
Basiese LDAP-pakkiekommunikasie met behulp van Telnet
Wanneer jy Telnet gebruik om by 'n AlliedWare Plus-toestel aan te meld, is die basiese LDAP-verifikasieproses soos volg:
- Telnet begin 'n verbindingsversoek en stuur 'n gebruikersnaam en wagwoord na die toestel.
- Nadat die versoek ontvang is, vestig die toestel (wat as die LDAP-kliënt optree), 'n TCP-verbinding met die LDAP-bediener.
Om die reg om te soek te verkry, gebruik die toestel die administrateur onderskeie naam (DN) en wagwoord om 'n administrateur-bindversoek na die LDAP-bediener te stuur. - Die LDAP-bediener verwerk die versoek. As die bindbewerking suksesvol is, stuur die LDAP-bediener 'n erkenning aan die toestel.
- Die toestel stuur 'n gebruiker-DN-soektogversoek met die gebruikernaam na die LDAP-bediener.
- Nadat die versoek ontvang is, soek die LDAP-bediener na die gebruiker-DN volgens die basis-DN, soekomvang en filtervoorwaardes. As 'n passing gevind word, stuur die LDAP-bediener 'n antwoord om die toestel in kennis te stel van die suksesvolle soektog. Daar is dalk een of meer gebruiker-DN'e gevind.
- Die toestel gebruik die verkrygde gebruiker-DN en voer die gebruiker se wagwoord as parameters in om 'n gebruiker-DN-bindingsversoek na die LDAP-bediener te stuur, wat kontroleer of die gebruikerwagwoord korrek is.
- Die LDAP-bediener verwerk die versoek en stuur 'n antwoord om die toestel in kennis te stel van die resultaat van die bindbewerking. As die bindbewerking misluk, gebruik die toestel 'n ander verkrygde gebruiker-DN as die parameter om 'n gebruiker-DN-bindversoek na die LDAP-bediener te stuur. Hierdie proses gaan voort totdat 'n DN suksesvol gebind is of alle DN's nie gebind word nie. As alle gebruiker-DN's nie gebind word nie, stel die toestel die gebruiker in kennis van die aanmeldmislukking en weier die gebruiker se toegangsversoek.
- Die toestel en bediener voer magtigingsuitruilings uit.
- Na suksesvolle magtiging stel die toestel die gebruiker in kennis van die suksesvolle aanmelding.
Huidige AlliedWare Plus-beperkings
- Slegs een vertrouenspunt word vir veilige LDAP ondersteun.
- Rekursiewe groepsoektog word nie geïmplementeer nie. Met Active Directory is dit egter moontlik om 'n spesifieke OID as deel van die soekfilter te stel wat dit sal opdrag gee om 'n geneste soektog uit te voer.
Die OID word deel van die tjeklid:
| memberOf:1.2.840.113556.1.4.1941:= Groep DN> |
Eerder as die gewone:
| memberOf = Groep DN> |
Daar is examples hiervan in die soekkonfigurasie-afdeling hieronder, sien "Soekkonfigurasie" op
Kontrolelys om by 'n AlliedWare Plus-toestel aan te meld
Voordat jy LDAP instel, meld aan by 'n AlliedWare Plus toestel wat SSH/Telnet gebruik, en maak seker dat die volgende konfigurasies korrek is.
Kontroleer dat:
- 'n LDAP-bediener loop.
- Jy kan die toestel bereik, en die toestel kan die LDAP-bediener bereik.
- Vir die toestel:
● SSH of Telnet is geaktiveer
● LDAP-bediener is geaktiveer
● LDAP-bediener is deel van die AAA LDAP-groepbedienerlys
● LDAP-bedienergroep word by die AAA-aanmeldingstawingopsies gevoeg
● LDAP-bedienergroep word by die vty lines-aanmelding-verifikasie-opsies gevoeg - Vir die LDAP-bediener:
● die volgende eienskappe is gekonfigureer
| LDAP-kenmerk | Formaat | Beskrywing |
| msRADIUSDienstipe | nteger | Om by die AlliedWare Plus-toestel aan te meld, moet die gebruiker een van die volgende waardes hê: ■ 6 (Administratief): die gebruiker word gekarteer na die maksimum gebruikervoorreg, 15, ■ 7 (NAS Prompt): die gebruiker word gekarteer na die minimum gebruikervoorreg, 1. As hierdie kenmerk nie gekonfigureer of gekonfigureer is met verskillende waardes nie, word die gebruiker nie toegelaat om aan te meld nie. |
Netwerktoegang via OpenVPN
Om 'n gebruiker in staat te stel om deur OpenVPN aan 'n interne netwerk te koppel, maak seker dat:
- 'n LDAP-bediener loop.
- Die gebruiker kan die toestel bereik, en die toestel kan die LDAP-bediener bereik.
- Vir die toestel:
● LDAP-bediener is geaktiveer
● LDAP-bediener is deel van die AAA LDAP-groepbedienerlys
● LDAP-bedienergroep word by die OpenVPN AAA-verifikasie-opsies gevoeg
● 'n OpenVPN-tonnel is gekonfigureer en geaktiveer - Vir die LDAP-bediener:
● die volgende gebruikerskenmerke word gekonfigureer en na die OpenVPN-kliënt oorgedra:
| LDAP-kenmerk | Formaat | Beskrywing |
| msRADIUSFramedIPAddress | Heelgetal | Statiese IP-adres van die kliënt. Dit is 4-grepe heelgetal. Byvoorbeeldample “-1062731519” is vir “192.168.1.1”. |
| msRADIUSFramedRoute | Snaar | Statiese IP-roetes vir die kliënt (laat veelvuldige inskrywings toe). Die string sal na verwagting in die formaat wees van die RADIUS-kenmerk “Framed-Route” wat in RFC2865 beskryf word, (bv. “10.1.1.0 255.255.255.0 192.168.1.1 1”) |
| ms-RADIUS-FramedIpv6Voorvoegsel | Snaar | Statiese IPv6-voorvoegsel vir die kliënt. Die string sal na verwagting in die formaat van “IPv6Address/PrefixLength” wees (bv. “2001:1::/64”). |
| ms-RADIUS-FramedIpv6Route | Snaar | Statiese IPv6-roetes vir die kliënt (laat veelvuldige inskrywings toe). Die string sal na verwagting in die formaat wees van die RADIUS-kenmerk “Framed-IPv6-Route” beskryf in RFC3162, (bv. “3001:1::/64 2001:1::1 1”). |
Konfigureer LDAP
Hierdie afdeling beskryf hoe om LDAP op te stel, met sommige van die beskikbare AlliedWare Plus-opdragte:
LDAP-bedienerkonfigurasie
Stap 1: Skep 'n LDAP-bediener met die naam AD_server
awplus#konfigureer terminaal
awplus(config)# ldap-bediener AD_bediener
Stap 2: Stel 'n IP-adres op die LDAP-bediener op
awplus(config-ldap-bediener)# gasheer 192.0.2.1
Stap 3: Stel die verstekbasis-DN om vir soektogte te gebruik
awplus(config-ldap-bediener)# basis-dn dc=foo,dc=bar
Stap 4: Stel die onderskeie naam waarmee om aan die bediener te bind en die geloofsbriewe waarmee om te bind
awplus(config-ldap-bediener)# bind-verifikasie root-dn cn=Administrateur, cn=Gebruikers,dc=foo,dc=barwagwoord P@ssw0rd
AAA-konfigurasie
Stap 1: Skep 'n LDAP-bedienergroep genaamd ldapServerGroup
awplus(config)# aaa groepbediener ldap ldapServerGroup
Alternatiewelik kan jy die verstekgroep 'ldap' gebruik wat alle LDAP-bedieners bevat.
Stap 2: Voeg die LDAP-bediener AD_server by die groep
awplus(config-ldap-groep)# bediener AD_bediener
Stap 3: Skep 'n AAA-aanmeldingmetode deur die LDAP-bedienergroep vir gebruikersaanmeldingstawing te gebruik
awplus(config)# aaa verifikasie aanmeld ldapLogin groep ldapServerGroup
Of gebruik eerder die verstekgroep:
awplus(config)# aaa verifikasie aanmeld ldapLogin groep ldap
SSH/Telnet-konfigurasie
Stap 1: Aktiveer SSH
awplus(config)# diens ssh
Maak seker dat die SSH-bediener behoorlik gekonfigureer is vir gebruikers om aan te meld.
awplus(config)# ssh-bediener toelaat-gebruikers gebruikerA
Stap 2: Bevestig VTY-lyne met die AAA-verifikasiemetode ldapLogin
awplus(config)# lyn vty 0 3
awplus(config-line)# aanmeldverifikasie ldapLogin
OpenVPN-konfigurasie
Stap 1: Aktiveer LDAP-verifikasie van OpenVPN-tonnels wêreldwyd
Weereens, jy kan óf die verstek LDAP-groep óf 'n gebruikergedefinieerde LDAP-groep gebruik.
awplus(config)# aaa verifikasie openvpn verstek groep ldap
Veilige modus-konfigurasie – LDAPS wat TLS-kodering gebruik
LDAP bied 'n veilige modus genaamd LDAPS, wat die TLS-protokol gebruik om alle kommunikasie tussen die kliënt en bediener te enkripteer. Om LDAP te gebruik, moet jy 'n veilige poort op die bediener opstel (die verstekpoort is 636).
Sodra LDAPS aan die bedienerkant opgestel is, sal jy 'n afskrif van die CA-sertifikaat benodig wat deur die bediener gebruik word. Eerstens moet hierdie sertifikaat in die vorm van 'n veilige trustpunt op die toestel ingevoer word. Vir meer inligting oor PKI en trustpoints op AlliedWare Plus, sien die PKI Feature Overview en Konfigurasiegids.
Stap 1: Skep 'n nuwe PKI-trustpunt genaamd AD_trustpoint
awplus(config)# crypto pki trustpoint AD_trustpoint
Stap 2: Spesifiseer dat hierdie trustpunt 'n eksterne sertifikaat sal gebruik wat kopie en
in die terminale geplak
awplus(ca-trustpoint)# inskrywingsterminaal
Stap 3: Keer terug na bevoorregte EXEC-modus
awplus(ca-trustpoint)# end
Stap 4: Voer die eksterne sertifikaat in na die trustpunt
awplus# crypto pki-verifikasie AD_trustpoint
Die stelsel sal vra dat die sertifikaat in die terminaal geplak word, in PEM-formaat. Kopieer en plak die sertifikaat.
| Plak die sertifikaat PEM file in die terminaal. Tik "aborteer" om te kanselleer. |
Gaan die vingerafdruk en uitreikerinligting na, en as alles reg lyk, aanvaar die sertifikaat.
| Die sertifikaat is suksesvol bekragtig. Aanvaar hierdie sertifikaat? (j/n): j |
Stap 5: Nadat u die sertifikaat aanvaar het, keer terug na die konfigurasieterminaal
awplus#konfigureer terminaal
Stap 6: Voer konfigurasiemodus in vir die LDAP-bedienernaam AD_bediener
awplus(config)# ldap-bediener AD_bediener
Stap 7: Stel die LDAP-bedienergasheernaam in
Vir Veilige modus sal jy 'n FQDN as die gasheernaam moet gebruik, en dit moet ooreenstem met die naam op die CA-sertifikaat wat jy voorheen ingevoer het. Die LDAP-bediener sal 'n naamkontrole uitvoer om te verseker dat hierdie name ooreenstem, voordat die TLS-sessie begin kan word.
awplus(config-ldap-bediener)# gasheer bvample-FQDN.com
Stap 8: Aktiveer LDAPS met TLS
awplus(config-ldap-bediener)# veilige modus
Stap 9: Voeg die LDAP-bediener vertrouepunt by wat hierbo geskep is
awplus(config-ldap-bediener)# veilige vertrouepunt AD_trustpunt
Stap 10: Opsioneel, spesifiseer die syfers om vir TLS te gebruik
awplus(config-ldap-bediener)# veilige syfer DHE-DSS-AES256-GCM-SHA384
AES128-GCM-SHA256
Bedienerverbindingkonfigurasie
Stap 1: Time-out instelling
Wanneer u aan die gidsbediener koppel en wag vir soektogte om voltooi te wees, is die maksimum wagtyd 50 sekondes.
awplus (config-ldap-bediener) # uitteltyd 50
Stap 2: Herprobeer
Wanneer u aan aktiewe bedieners koppel, probeer maksimum 5 herproberings. awplus (config-ldap-bediener) # herversend 5
Stap 3: Doodstyd
Die toestel sal vir 5 minute geen versoeke na die bediener stuur as dit nie op 'n vorige versoek gereageer het nie.
awplus(config-ldap-bediener)# spertyd 5
Soek konfigurasie
Stap 1: Groep DN instellings
Vir gebruikerstawing om suksesvol te wees, moet die gebruiker aan die groep met die Distinguished behoort
Naam (DN) string: cn=Gebruikers,dc=toets. By verstek sal dit dit bepaal deur die unieke lid-kenmerk van die groep na te gaan, om te sien of dit die gebruikers-DN-string bevat.
awplus(config-ldap-bediener)# group-dn cn=Gebruikers,dc=toets
Stap 2: Active Directory groep-kenmerk lid instellings
Vir Active Directory, sal jy eerder binne die lid-kenmerk van die groep wil kontroleer, wat gekonfigureer kan word met die groep-kenmerk CLI. awplus(config-ldap-bediener)# groep-kenmerk lid
Met daardie twee opsies gekonfigureer, sal 'n soektog 'n gebruiker se lidmaatskap van groep cn=Gebruikers,dc=toets toets deur die lidkenmerk vir die gebruiker se DN na te gaan. Dit is nuttig wanneer 'n LDAP-bediener stawinginligting aan 'n poel kliënte verskaf, maar die toestel moet slegs op 'n groep gebruikers magtig.
Stap 3: Teken in gebruikernaam instellings
Die aanmeldnaam sal aan die kenmerk 'gebruikersnaam' behoort. Vir gebruikersverifikasie om suksesvol te wees, moet die gids 'n inskrywing met gebruikersnaam= hê, bv. gebruikersnaam=jdoe.
awplus (config-ldap-bediener) # groep-kenmerk gebruikersnaam
Stap 4: Soek filterinstellings
Wanneer gebruikersinligting herwin word, moet die gebruikersobjekklas bvample, 'testAccount' vir gebruikersverifikasie om suksesvol te wees. Die soekfilter-opsie is hoogs aanpasbaar en kan gebruik word om enige kenmerk na te gaan. Boonop kan Boolese operateurs gebruik word om die besonderhede van die soektog verder te verbeter.
awplus(config-ldap-bediener)# soekfilter objekklas=toetsrekening
Examples:
- Dit sal kontroleer dat die gebruikers se objekklas toetsrekening OF organisatoriese rol is
awplus(config-ldap-bediener)# soekfilter
(voorwerpklas=toetsrekening)(voorwerpklas=organisasierol) - Dit sal enigiemand nagaan wat 'n gebruiker is EN NIE 'n rekenaar nie
awplus(config-ldap-bediener)# soekfilter &(objectclass=user)(!(objectClass=rekenaar)
Hoe om 'n geneste soektog op Active Directory uit te voer
Oorweeg die volgende bvample:
- Sonder 'n geneste soektog – deur hierdie soekfilter hieronder te gebruik, sal enige van die gebruikers binne groepA suksesvol kan aanmeld, maar gebruiker3 binne groepB sal misluk.
awplus(config-ldap-bediener)# search-filter memberOf=CN=groupA,OU=exampleOrg,DC=bvample,DC=toets - Deur die OID 1.2.840.113556.1.4.1941 by die memberOf-tjek in die soekfilter by te voeg, sal Active Directory alle groepe binne groepA rekursief nagaan vir die gespesifiseerde gebruiker. Nou sal enige gebruikers binne enige groepe wat deel is van groepA nagegaan word, sodat ons gebruiker3 in die geneste groepB kan aanmeld.
awplus(config-ldap-bediener)# search-filter memberOf:1.2.840.113556.1.4.1941:=CN=groupA,OU=exampleOrg,DC=bvample,DC=toets
Monitering van LDAP
Die volgende afdeling verskaf 'n paar example uitvoer van die opdrag wys ldap-bedienergroep.
Die uitset wys dat daar twee LDAP-bedieners is: Server_A en Server_B.
Vir Server_A, die show-opdrag spesifiseer dat:
- Server_A is lewendig
- Server_A is 'n LDAP-bediener
- Server_A is deel van die bedienergroepbestuur
Vir Server_B, die show-opdrag spesifiseer dat: - Server_B word nooit gebruik nie of die toestand is onbekend.
- Server_B is 'n LDAP-bediener
- Server_B is nie deel van enige bedienergroep nie
Daar is ook 'n tweede bedienergroep 'RandD' wat geen LDAP-bedieners het nie.
Die twee ander bedienerstatusstate wat nie in ons eks getoon word nieample uitset is:
- Dood – die bediener word bespeur as dood en dit sal nie vir die spertyd gebruik word nie.
- Fout – Die bediener reageer nie.
Aktiveer ontfouting
Aangesien LDAP onder die AAA-substelsel opgestel is, sal die bestaande ontfouting vir AAA-verifikasie nuttige inligting oor LDAP-werking genereer.
awplus# ontfout aaa-verifikasie
Vir gedetailleerde LDAP-kliëntontfouting, met verskeie ontfoutingsopsies, gebruik die opdrag:
awplus# ontfout ldap-kliënt
Let daarop dat die aanskakel van alle LDAP-kliëntontfouting die stelselwerkverrigting kan beïnvloed met 'n groot hoeveelheid logboodskappe.
Noord-Amerika Hoofkwartier | 19800 North Creek Parkway | Suite 100 | Bothell | WA 98011 | VSA |T: +1 800 424 4284 | F: +1 425 481 3895
Asië-Pasifiese hoofkwartier | 11 Tai Seng Skakel | Singapoer | 534182 | T: +65 6383 3832 | F: +65 6383 3830
EMEA & CSA Bedrywighede | Incheonweg 7 | 1437 EK Rozenburg | Nederland | T: +31 20 7950020 | F: +31 20 7950021
Dokumente / Hulpbronne
 |
Allied Telesis Lightweight Directory Access Protocol [pdf] Gebruikersgids Liggewig Directory Access Protocol, Directory, Access Protocol |
