Allied Telesis ቀላል ክብደት ማውጫ መዳረሻ ፕሮቶኮል

ይዘቶች መደበቅ
1 መግቢያ
1.1 በዚህ መመሪያ ላይ የሚተገበሩ ምርቶች እና የሶፍትዌር ስሪት
1.2 ተዛማጅ ሰነዶች
2 LDAP አልቋልview
2.1 Telnetን በመጠቀም መሰረታዊ የኤልዲኤፒ ፓኬት ግንኙነት
3 ወደ AlliedWare Plus መሣሪያ ለመግባት ዝርዝርን ያረጋግጡ
3.1 በOpenVPN በኩል የአውታረ መረብ መዳረሻ
4 ኤልዲኤፒን በማዋቀር ላይ
4.1 የኤልዲኤፒ አገልጋይ ውቅር
4.2 የ AAA ውቅር
4.3 SSH/Telnet ውቅር
4.4 የVPN ውቅር ክፈት
5 ደህንነቱ የተጠበቀ ሁነታ ውቅር - LDAPS TLS ምስጠራን በመጠቀም
6 የአገልጋይ ግንኙነት ውቅር
7 የፍለጋ ውቅረት
7.1 በActive Directory ላይ የጎጆ ፍለጋ እንዴት እንደሚሰራ
8 ኤልዲኤፒን መከታተል
8.1 ማረም በማንቃት ላይ
9 ሰነዶች / መርጃዎች
9.1 ዋቢዎች
10 ተዛማጅ ልጥፎች

መግቢያ

ቀላል ክብደት ያለው ማውጫ መዳረሻ ፕሮቶኮል (ኤልዲኤፒ) የተለያዩ የአይቲ ሃብቶችን ለማስተዳደር እና ለመድረስ የሚያገለግል የሶፍትዌር ፕሮቶኮል ነው ለምሳሌ አፕሊኬሽኖች፣ ሰርቨሮች፣ የአውታረ መረብ መሳሪያዎች እና file አገልጋዮች. የኤልዲኤፒ የተለመደው አጠቃቀም ለማረጋገጫ ማእከላዊ ቦታ መስጠት ነው፣ ይህ ማለት የተጠቃሚ ስሞችን እና የይለፍ ቃሎችን ያከማቻል።

ስሙ እንደሚያመለክተው ኤልዲኤፒ ቀላል ክብደት ያለው የማውጫ መዳረሻ ፕሮቶኮል (ዲኤፒ) ስሪት ነው፣ እሱም የ X.500 አካል የሆነው፣ በአውታረ መረብ ውስጥ የማውጫ አገልግሎቶች። LDAP የድርጅቱን መረጃ፣ የሰራተኞች መረጃ እና የንብረት መረጃ ለማቆየት ማውጫዎችን ይጠቀማል።

የአውታረ መረብ ማውጫዎች በአውታረ መረቡ ውስጥ የሆነ ነገር የት እንደሚገኝ ይነግሩዎታል። በTCP/IP ኔትወርኮች፣ የጎራ ስም ስርዓት (ዲ ኤን ኤስ) የጎራውን ስም ከአንድ የተወሰነ የአውታረ መረብ አድራሻ ጋር ለማዛመድ የሚያገለግል የማውጫ ስርዓት ነው። ነገር ግን፣ የጎራውን ስም የማያውቁት ከሆነ፣ LDAP የት እንዳሉ ሳያውቁ ግለሰብን እንዲፈልጉ ይፈቅድልዎታል።

በOpenVPN ላይ ከውስጥ አውታረ መረቦች ጋር የሚገናኙ ተጠቃሚዎችን ለማረጋገጥ LDAPን መጠቀም ትችላለህ። ምንም እንኳን AlliedWare Plus መሳሪያዎች ሁለቱንም LDAP እና RADIUS እንደ የማረጋገጫ ፕሮቶኮል ሊጠቀሙ ቢችሉም፣ ኤልዲኤፒ እንደ Microsoft Active Directory (AD) ካሉ የማውጫ አገልግሎቶች ጋር የመገናኘት ችሎታ አለው። AD ከዊንዶውስ የመረጃ ቋት አከባቢዎች ዋና ክፍሎች አንዱ ነው። የተጠቃሚ እና የመለያ መረጃን ያከማቻል፣ እና በዊንዶውስ ኦፐሬቲንግ ሲስተሞች ላይ የደህንነት ፖሊሲዎችን ለማስከበር ፍቃድ እና ማረጋገጫ ለኮምፒተሮች፣ ተጠቃሚዎች እና ቡድኖች ይሰጣል።

ይህ መመሪያ ኤልዲኤፒን በመጠቀም ከActive Directory ጋር ለማረጋገጥ የOpenVPN መዳረሻ አገልጋይን ለማዋቀር መረጃ ይሰጣል።

በዚህ መመሪያ ላይ የሚተገበሩ ምርቶች እና የሶፍትዌር ስሪት

ይህ መመሪያ ኤልዲኤፒን በሚደግፉ የAlliedWare Plus™ ምርቶች ላይ ተፈጻሚ ሲሆን ይህም ስሪት 5.5.2-1 ወይም ከዚያ በላይ ነው።

ምርትዎ LDAPን የሚደግፍ መሆኑን ለማየት የሚከተሉትን ሰነዶች ይመልከቱ፡-

  • የምርት የውሂብ ሉህ
  • የምርት ትዕዛዝ ማጣቀሻ

እነዚህ ሰነዶች ከላይ ካሉት ማገናኛዎች በእኛ ላይ ይገኛሉ webበ alliedtelesis.com ላይ ጣቢያ.

ተዛማጅ ሰነዶች

የሚከተሉት ሰነዶች በ AlliedWare Plus ምርቶች ላይ ስላሉት የማረጋገጫ ባህሪያት ተጨማሪ መረጃ ይሰጣሉ፡-

  • የ OpenVPN ባህሪ በላይview እና የማዋቀር መመሪያ
  • የAAA እና የወደብ ማረጋገጫ ባህሪ በላይview እና የማዋቀር መመሪያ
  • የምርት ትዕዛዝ ማጣቀሻ

እነዚህ ሰነዶች ከላይ ባሉት ማገናኛዎች ወይም በእኛ ላይ ይገኛሉ webበ alliedtelesis.com ላይ ጣቢያ

LDAP አልቋልview

የኤልዲኤፒ ፕሮቶኮል ከActive Directory ጋር ይገናኛል። ከActive Directory ጋር ለመነጋገር እና በ AD እና በሌሎች የአውታረ መረብዎ ክፍሎች መካከል መልዕክቶችን የሚያስተላልፉበት መንገድ ነው።

የActive Directory LDAP ማረጋገጥ እንዴት ነው የሚሰራው? በመሠረቱ፣ በActive Directory ላይ ምስክርነቶችን ለማረጋገጥ ኤልዲኤፒን ማዋቀር ያስፈልግዎታል። የ'BIND' ክዋኔ የLDAP ደንበኛ ከአገልጋዩ ጋር የሚገናኝበት የኤልዲኤፒ ክፍለ ጊዜ የማረጋገጫ ሁኔታን ለማዘጋጀት ይጠቅማል።

በአብዛኛዎቹ አጋጣሚዎች፣ የዚህ አይነት ቀላል ማረጋገጫ በመሠረቱ ስም እና የይለፍ ቃል ከአገልጋዩ ጋር የማረጋገጫ ጥያቄ ለመፍጠር ጥቅም ላይ ይውላሉ።

Telnetን በመጠቀም መሰረታዊ የኤልዲኤፒ ፓኬት ግንኙነት

ወደ AlliedWare Plus መሣሪያ ለመግባት ቴልኔትን ሲጠቀሙ ዋናው የኤልዲኤፒ ማረጋገጫ ሂደት እንደሚከተለው ነው።

  1. ቴልኔት የግንኙነት ጥያቄን ይጀምራል እና የተጠቃሚ ስም እና የይለፍ ቃል ወደ መሳሪያው ይልካል።
  2. ጥያቄውን ከተቀበለ በኋላ መሣሪያው (እንደ ኤልዲኤፒ ደንበኛ ሆኖ እየሰራ) ከኤልዲኤፒ አገልጋይ ጋር የ TCP ግንኙነትን ይፈጥራል።
    የመፈለግ መብትን ለማግኘት መሳሪያው የአስተዳዳሪውን ማሰር ጥያቄ ወደ LDAP አገልጋይ ለመላክ የአስተዳዳሪውን መለያ ስም (ዲኤን) እና የይለፍ ቃል ይጠቀማል።
  3. የኤልዲኤፒ አገልጋይ ጥያቄውን ያስኬዳል። የማሰር ክዋኔው ከተሳካ፣ የኤልዲኤፒ አገልጋይ ለመሳሪያው እውቅና ይልካል።
  4. መሳሪያው የተጠቃሚውን የዲኤን ፍለጋ ጥያቄ ከተጠቃሚ ስም ጋር ወደ LDAP አገልጋይ ይልካል።
  5. ጥያቄውን ከተቀበለ በኋላ የኤልዲኤፒ አገልጋይ የተጠቃሚውን ዲኤን በመሠረታዊ ዲኤን ፣ የፍለጋ ወሰን እና የማጣሪያ ሁኔታዎች ይፈልጋል። ተዛማጅ ከተገኘ የኤልዲኤፒ አገልጋይ የተሳካ ፍለጋውን ለመሣሪያው ለማሳወቅ ምላሽ ይልካል። አንድ ወይም ከዚያ በላይ ተጠቃሚ ዲኤንኤዎች ሊኖሩ ይችላሉ።
  6. መሣሪያው የተገኘውን ተጠቃሚ ዲኤን ይጠቀማል እና የተጠቃሚውን የይለፍ ቃል እንደ ግቤቶች ያስገባዋል የተጠቃሚውን ዲኤን ማሰር ጥያቄን ወደ LDAP አገልጋይ ለመላክ የተጠቃሚው የይለፍ ቃል ትክክል መሆኑን ያረጋግጣል።
  7. የኤልዲኤፒ አገልጋዩ ጥያቄውን ያስኬዳል፣ እና የቢንዲ ኦፕሬሽን ውጤቱን ለመሣሪያው ለማሳወቅ ምላሽ ይልካል። የማሰር ክዋኔው ካልተሳካ፣ መሳሪያው ሌላ የተገኘ ተጠቃሚ ዲኤን እንደ መለኪያ ይጠቀማል የተጠቃሚውን የዲኤን ማሰር ጥያቄ ወደ LDAP አገልጋይ ለመላክ። ይህ ሂደት ዲኤን በተሳካ ሁኔታ እስኪታሰር ድረስ ወይም ሁሉም ዲኤንኤዎች መያያዝ እስካልቻሉ ድረስ ይቀጥላል። ሁሉም ተጠቃሚ ዲኤንኤዎች መያያዝ ካልቻሉ መሣሪያው ለተጠቃሚው የመግባት አለመሳካቱን ያሳውቃል እና የተጠቃሚውን የመዳረሻ ጥያቄ ይከለክላል።
  8. መሳሪያው እና አገልጋዩ የፈቃድ ልውውጦችን ያከናውናሉ።
  9. ከተሳካ ፍቃድ በኋላ መሳሪያው የተሳካውን መግቢያ ለተጠቃሚው ያሳውቃል።

የአሁን የAlliedWare Plus ገደቦች

  • ለአስተማማኝ ኤልዲኤፒ አንድ የእምነት ነጥብ ብቻ ነው የሚደገፈው።
  • ተደጋጋሚ የቡድን ፍለጋ አልተተገበረም። ነገር ግን፣ በActive Directory፣ የጎጆ ፍለጋን እንዲያደርግ የሚያስተምረውን የተወሰነ OID እንደ የፍለጋ ማጣሪያ አካል አድርጎ ማዋቀር ይቻላል።

OID የቼክ አባል ይሆናል፡-

አባልኦፍ፡1.2.840.113556.1.4.1941፡= ቡድን ዲኤን>

ከተለመደው ይልቅ፡-

memberOf = ቡድን ዲኤን>

የቀድሞዎቹ አሉ።ampከዚህ በታች ባለው የፍለጋ ውቅር ክፍል ውስጥ “የፍለጋ ውቅረት” የሚለውን ይመልከቱ

ወደ AlliedWare Plus መሣሪያ ለመግባት ዝርዝርን ያረጋግጡ

ኤልዲኤፒን ከማዋቀርዎ በፊት ወደ አንድ ይግቡ AlliedWare የፕላስ መሣሪያ SSH/Telnet በመጠቀም፣ እና የሚከተሉት ውቅሮች ትክክል መሆናቸውን ያረጋግጡ።

ያንን ያረጋግጡ፡-

  1. የኤልዲኤፒ አገልጋይ እያሄደ ነው።
  2. መሣሪያውን መድረስ ይችላሉ፣ እና መሣሪያው የኤልዲኤፒ አገልጋይ መድረስ ይችላል።
  3. ለመሳሪያው፡-
    ● SSH ወይም Telnet ነቅቷል።
    ● የኤልዲኤፒ አገልጋይ ነቅቷል።
    ● LDAP አገልጋይ የ AAA LDAP ቡድን አገልጋይ ዝርዝር አካል ነው።
    ● የኤልዲኤፒ አገልጋይ ቡድን ወደ AAA የመግቢያ ማረጋገጫ አማራጮች ታክሏል።
    ● የኤልዲኤፒ አገልጋይ ቡድን ወደ vty መስመሮች የመግቢያ ማረጋገጫ አማራጮች ተጨምሯል።
  4. ለኤልዲኤፒ አገልጋይ፡-
    ● የሚከተሉት ባህሪያት ተዋቅረዋል።
የኤልዲኤፒ ባህሪ ቅርጸት መግለጫ
msRADIUSአገልግሎት ዓይነት ንቴገር ወደ AlliedWare Plus መሣሪያ ለመግባት ተጠቃሚው ከሚከተሉት እሴቶች ውስጥ አንዱ ሊኖረው ይገባል።
■ 6 (አስተዳዳሪ)፡ ተጠቃሚው ወደ ከፍተኛው የተጠቃሚ መብት፣ 15፣
■ 7 (NAS Prompt)፡ ተጠቃሚው በትንሹ የተጠቃሚ ልዩ መብት ላይ ተቀርጿል፣ 1. ይህ ባህሪ ካልተዋቀረ ወይም በተለያየ እሴት ካልተዋቀረ ተጠቃሚው እንዲገባ አይፈቀድለትም።
በOpenVPN በኩል የአውታረ መረብ መዳረሻ

አንድ ተጠቃሚ በOpenVPN በኩል ከውስጥ አውታረ መረብ ጋር እንዲገናኝ ለማስቻል የሚከተሉትን ያረጋግጡ፡-

  1. የኤልዲኤፒ አገልጋይ እያሄደ ነው።
  2. ተጠቃሚው መሣሪያውን መድረስ ይችላል፣ እና መሣሪያው የኤልዲኤፒ አገልጋይ ላይ መድረስ ይችላል።
  3. ለመሳሪያው፡-
    ● የኤልዲኤፒ አገልጋይ ነቅቷል።
    ● LDAP አገልጋይ የ AAA LDAP ቡድን አገልጋይ ዝርዝር አካል ነው።
    ● የኤልዲኤፒ አገልጋይ ቡድን ወደ OpenVPN AAA የማረጋገጫ አማራጮች ታክሏል።
    ● የOpenVPN ዋሻ ተዋቅሮ ነቅቷል።
  4. ለኤልዲኤፒ አገልጋይ፡-
    ● የሚከተሉት የተጠቃሚ ባህሪያት ተዋቅረው ለOpenVPN ደንበኛ ተላልፈዋል።
የኤልዲኤፒ ባህሪ ቅርጸት መግለጫ
msRADIUSFramedIPAddress ኢንቲጀር የደንበኛው የማይንቀሳቀስ አይፒ አድራሻ። ይህ ባለ 4-ባይት ኢንቲጀር ነው። ለ example "-1062731519" ለ "192.168.1.1" ነው.
msRADIUSFramedRoute ሕብረቁምፊ ለደንበኛው የማይለዋወጥ የአይፒ መስመሮች (በርካታ ግቤቶችን ይፈቅዳል)። ሕብረቁምፊው በ RFC2865 ውስጥ በተገለጸው የ RADIUS አይነታ "Framed-Route" ቅርጸት ይጠበቃል (ለምሳሌ "10.1.1.0 255.255.255.0 192.168.1.1 1")
ms-RADIUS-FramedIpv6ቅድመ ቅጥያ ሕብረቁምፊ የማይንቀሳቀስ IPv6 ቅድመ ቅጥያ ለደንበኛው። ሕብረቁምፊው በ"IPv6Address/PrefixLength" (ለምሳሌ "2001:1::/64") ቅርጸት እንዲሆን ይጠበቃል።
ms-RADIUS-FramedIpv6Route ሕብረቁምፊ የማይለዋወጥ IPv6 መስመሮች ለደንበኛው (በርካታ ግቤቶችን ይፈቅዳል)። ሕብረቁምፊው በRADIUS አይነታ "Framed-IPv6-Route" በRFC3162 ውስጥ በተገለጸው (ለምሳሌ "3001:1::/64 2001:1::1 1") እንዲሆን ይጠበቃል።

ኤልዲኤፒን በማዋቀር ላይ

ይህ ክፍል ኤልዲኤፒን እንዴት ማዋቀር እንደሚቻል ያብራራል፣ ከተወሰኑት የAlliedWare Plus ትዕዛዞች ጋር፡-

የኤልዲኤፒ አገልጋይ ውቅር

ደረጃ 1፡ AD_server በሚለው ስም የኤልዲኤፒ አገልጋይ ይፍጠሩ
awplus # ማዋቀር ተርሚናል
awplus(config)# ldap-server AD_server
ደረጃ 2፡ በኤልዲኤፒ አገልጋይ ላይ የአይፒ አድራሻን ያዋቅሩ
awplus(config-ldap-server)# አስተናጋጅ 192.0.2.1
ደረጃ 3፡ ለፍለጋዎች ለመጠቀም ነባሪውን መሠረት ዲኤን ያዘጋጁ
awplus(config-ldap-server)# base-dn dc=foo,dc=bar
ደረጃ 4፡ ከአገልጋዩ ጋር የሚያያዝበት ልዩ ስም እና መታሰር ያለበትን ምስክርነቶችን ያዘጋጁ
awplus(config-ldap-server)# bind authentication root-dn cn=Administrator, cn=Users,dc=foo,dc=bar password P@ssw0rd

የ AAA ውቅር

ደረጃ 1፡ ldapServerGroup የሚባል የLDAP አገልጋይ ቡድን ይፍጠሩ
awplus(config)# aaa ቡድን አገልጋይ ldap ldapServerGroup
እንደአማራጭ፣ ሁሉንም የኤልዲኤፒ አገልጋዮች የያዘውን ነባሪ ቡድን 'ldap' መጠቀም ትችላለህ።
ደረጃ 2፡ የLDAP አገልጋይ AD_አገልጋዩን ወደ ቡድኑ ያክሉ
awplus(config-ldap-group)# አገልጋይ AD_server
ደረጃ 3፡ የተጠቃሚ መግቢያ ማረጋገጫ የኤልዲኤፒ አገልጋይ ቡድንን በመጠቀም የAAA መግቢያ ዘዴ ይፍጠሩ
awplus(config)# aaa የማረጋገጫ መግቢያ ldapLogin ቡድን ldapServerGroup
ወይም በምትኩ ነባሪውን ቡድን ይጠቀሙ፡-
awplus(config)# aaa የማረጋገጫ መግቢያ ldapLogin group ldap

SSH/Telnet ውቅር

ደረጃ 1፡ SSH ን አንቃ
awplus(config)# አገልግሎት ssh
ተጠቃሚዎች እንዲገቡ የኤስኤስኤች አገልጋይ በትክክል መዋቀሩን ያረጋግጡ።
awplus(config)# ssh አገልጋይ መፍቀድ-ተጠቃሚዎች ተጠቃሚA
ደረጃ 2፡ የVTY መስመሮችን በ AAA የማረጋገጫ ዘዴ ldapLogin ያረጋግጡ
awplus(config)# መስመር vty 0 3
awplus(config-line)# የመግቢያ ማረጋገጫ ldapLogin

የVPN ውቅር ክፈት

ደረጃ 1፡ የ LDAP የOpenVPN ዋሻዎች በዓለም አቀፍ ደረጃ ማረጋገጥን አንቃ
እንደገና፣ ነባሪውን የኤልዲኤፒ ቡድን ወይም በተጠቃሚ የተገለጸ የኤልዲኤፒ ቡድን መጠቀም ትችላለህ።
awplus(config)# aaa ማረጋገጫ openvpn ነባሪ ቡድን ldap

ደህንነቱ የተጠበቀ ሁነታ ውቅር - LDAPS TLS ምስጠራን በመጠቀም

LDAP በደንበኛው እና በአገልጋዩ መካከል ያሉትን ሁሉንም ግንኙነቶች ለማመስጠር TLS ፕሮቶኮልን የሚጠቀም LDAPS የሚባል ደህንነቱ የተጠበቀ ሁነታን ያቀርባል። ኤልዲኤፒን ለመጠቀም በአገልጋዩ ላይ ደህንነቱ የተጠበቀ ወደብ ማዋቀር አለብዎት (ነባሪው ወደብ 636 ነው)።

አንዴ LDAPS በአገልጋዩ በኩል ከተዋቀረ በአገልጋዩ ጥቅም ላይ የዋለው የCA ሰርተፍኬት ቅጂ ያስፈልግዎታል። በመጀመሪያ ይህ የእውቅና ማረጋገጫ በአስተማማኝ የእምነት ነጥብ መልክ ወደ መሳሪያው ማስመጣት አለበት። ስለ PKI ተጨማሪ መረጃ እና በ AlliedWare Plus ላይ ያሉ የመታመን ነጥቦች፣ የPKI ባህሪ በላይ ይመልከቱview እና የማዋቀር መመሪያ.

ደረጃ 1 AD_trustpoint የሚባል አዲስ የPKI እምነት ነጥብ ይፍጠሩ
awplus(config)# crypto pki trustpoint AD_trustpoint
ደረጃ 2፡ ይህ እምነት ነጥብ ቅጂ እና ውጫዊ ሰርተፍኬት እንደሚጠቀም ይግለጹ
ወደ ተርሚናል ተለጥፏል
awplus(ca-trustpoint)# የምዝገባ ተርሚናል
ደረጃ 3፡ ወደ ልዩ EXEC ሁነታ ተመለስ
awplus(ca-trustpoint)# መጨረሻ
ደረጃ 4፡ የውጪውን ሰርተፍኬት ወደ ታማኝ ቦታ አስመጣ
awplus# crypto pki ማረጋገጫ AD_trustpoint

ስርዓቱ የምስክር ወረቀቱ ወደ ተርሚናል፣ በPEM ቅርጸት እንዲለጠፍ ይጠይቃል። የምስክር ወረቀቱን ይቅዱ እና ይለጥፉ።

PEM የምስክር ወረቀቱን ለጥፍ file ወደ ተርሚናል.
ለመሰረዝ “ማስወረድ” ብለው ይተይቡ።

የጣት አሻራውን እና የሰጪውን መረጃ ያረጋግጡ እና ሁሉም ነገር ትክክል ከሆነ የምስክር ወረቀቱን ይቀበሉ።

የምስክር ወረቀቱ በተሳካ ሁኔታ ተረጋግጧል።
ይህን የምስክር ወረቀት ተቀበል? (y/n): y

ደረጃ 5፡ የምስክር ወረቀቱን ከተቀበሉ በኋላ ወደ ውቅረት ተርሚናል ይመለሱ
awplus # ማዋቀር ተርሚናል
ደረጃ 6፡ ለኤልዲኤፒ አገልጋይ ስም AD_server የውቅር ሁነታን አስገባ
awplus(config)# ldap-server AD_server
ደረጃ 7፡ የኤልዲኤፒ አገልጋይ አስተናጋጅ ስም ያዘጋጁ
ለአስተማማኝ ሁነታ፣ FQDN እንደ የአስተናጋጅ ስም መጠቀም ያስፈልግዎታል፣ እና ይህ ከዚህ በፊት ካስገቡት የCA ሰርተፍኬት ስም ጋር መዛመድ አለበት። የኤልዲኤፒ አገልጋዩ የTLS ክፍለ ጊዜ ከመጀመሩ በፊት እነዚህ ስሞች የሚዛመዱ መሆናቸውን ለማረጋገጥ የስም ፍተሻ ያደርጋል።
awplus(config-ldap-server)# አስተናጋጅ example-FQDN.com
ደረጃ 8፡ LDAPSን በTLS አንቃ
awplus(config-ldap-server)# ደህንነቱ የተጠበቀ ሁነታ
ደረጃ 9፡ ከላይ የተፈጠረውን የኤልዲኤፒ አገልጋይ እምነት ነጥብ ያክሉ
awplus(config-ldap-server)# ደህንነቱ የተጠበቀ የትረስት ነጥብ AD_trustpoint
ደረጃ 10፡ እንደ አማራጭ፣ ለTLS የሚጠቀሙባቸውን ምስጢሮች ይጥቀሱ
awplus(config-ldap-server)# ደህንነቱ የተጠበቀ ምስጥር DHE-DSS-AES256-GCM-SHA384
AES128-GCM-SHA256

የአገልጋይ ግንኙነት ውቅር

ደረጃ 1፡ የጊዜ ማብቂያ ቅንብር
ከማውጫ አገልጋዩ ጋር ሲገናኙ እና ፍለጋዎች እስኪጠናቀቁ ድረስ ሲጠብቁ ከፍተኛው የጥበቃ ጊዜ 50 ሴኮንድ ነው።
awplus(config-ldap-server)# ጊዜው አልቋል 50
ደረጃ 2፡ እንደገና ይሞክራል።
ከገባሪ አገልጋዮች ጋር ሲገናኙ፣ ቢበዛ 5 ሙከራዎችን ይሞክሩ። awplus(config-ldap-server)# እንደገና ማስተላለፍ 5
ደረጃ 3፡ የመጨረሻ ጊዜ
መሣሪያው ለቀድሞ ጥያቄ ምላሽ ካልሰጠ ለ 5 ደቂቃዎች ምንም ጥያቄዎችን ወደ አገልጋዩ አይልክም።
awplus(config-ldap-server)# የጊዜ ገደብ 5

የፍለጋ ውቅረት

ደረጃ 1፡ የቡድን ዲኤን ቅንብሮች
የተጠቃሚ ማረጋገጥ ስኬታማ እንዲሆን ተጠቃሚው የልዩ ቡድን አባል መሆን አለበት።
ስም (ዲኤን) ሕብረቁምፊ፡ cn=ተጠቃሚዎች፣dc=ሙከራ። በነባሪነት ይህንን የሚወስነው የቡድኑን ልዩ አባል ባህሪ በመፈተሽ የተጠቃሚዎቹን ዲኤን ሕብረቁምፊ እንደያዘ ለማየት ነው።
awplus(config-ldap-server)# group-dn cn=Users,dc=test
ደረጃ 2፡ የንቁ ማውጫ ቡድን-ባህሪ አባል ቅንብሮች
ለአክቲቭ ዳይሬክተሩ በምትኩ የቡድኑ አባል ባህሪ ውስጥ መፈተሽ ይፈልጋሉ፣ ይህም ከቡድን-ባህሪ CLI ጋር ሊዋቀር ይችላል። awplus(config-ldap-server)# የቡድን-ባህሪ አባል
እነዚያ ሁለት አማራጮች ከተዋቀሩ አንድ ፍለጋ የተጠቃሚውን ዲኤን አባልነት በማጣራት የተጠቃሚውን የቡድን አባልነት cn=Users,dc=test ይፈትሻል። ይህ ጠቃሚ የሚሆነው የኤልዲኤፒ አገልጋይ የማረጋገጫ መረጃን ለደንበኞች ስብስብ ሲያቀርብ ነው፣ ነገር ግን መሳሪያው ለተጠቃሚዎች ቡድን ብቻ ​​መፍቀድ አለበት።
ደረጃ 3፡ የተጠቃሚ ስም ቅንብሮችን ይግቡ
የመግቢያ ስሙ የ'ተጠቃሚ ስም' መለያ ባህሪ ይሆናል። የተጠቃሚ ማረጋገጥ ስኬታማ እንዲሆን ዳይሬክተሩ የተጠቃሚ ስም = ለምሳሌ የተጠቃሚ ስም=jdoe ያለው ግቤት ሊኖረው ይገባል።
awplus(config-ldap-server)# የቡድን-ባህሪ የተጠቃሚ ስም
ደረጃ 4፡ የማጣሪያ ቅንብሮችን ፈልግ
የተጠቃሚ መረጃን በሚወጣበት ጊዜ፣ ተጠቃሚዎቹ objectclass መያዝ አለባቸው፣ ለምሳሌample, 'testAccount' የተጠቃሚ ማረጋገጥ ስኬታማ እንዲሆን። የፍለጋ-ማጣሪያ አማራጩ በጣም ሊበጅ የሚችል ነው፣ እና ማንኛውንም ባህሪ ለመፈተሽ ሊያገለግል ይችላል። በተጨማሪም፣ የቦሊያን ኦፕሬተሮች የፍለጋውን ልዩ ነገሮች የበለጠ ለማሻሻል ጥቅም ላይ ሊውሉ ይችላሉ።
awplus(config-ldap-server)# search-filter objectclass=testAccount

Exampያነሰ፡

  •  ይህ የተጠቃሚው ነገር ክፍል testAccount OR ድርጅታዊ ሚና መሆኑን ያረጋግጣል
    awplus(config-ldap-server)# ፍለጋ-ማጣሪያ
    (objectclass=testAccount)(objectclass=organizationalRole)
  • ይሄ ማንኛውም ተጠቃሚ እና ኮምፒውተር ያልሆነውን ይፈትሻል
    awplus(config-ldap-server)# search-filter &(objectclass=user)(!(objectClass=computer)
በActive Directory ላይ የጎጆ ፍለጋ እንዴት እንደሚሰራ

እስቲ የሚከተለውን ተመልከትampላይ:

  • ያለ ጎጆ ፍለጋ - ከዚህ በታች ያለውን የፍለጋ ማጣሪያ በመጠቀም ማንኛውም በቡድንA ውስጥ ያሉ ተጠቃሚዎች በተሳካ ሁኔታ መግባት ይችላሉ፣ ነገር ግን በቡድን B ውስጥ ያለው ተጠቃሚ3 አይሳካም።
    awplus(config-ldap-server)# search-filter memberOf=CN=groupA,OU=exampleOrg,DC=example,DC=ሙከራ
  • በፍለጋ ማጣሪያው ውስጥ OID 1.2.840.113556.1.4.1941ን ወደ የቼክ አባል በማከል፣ አክቲቭ ዳይሬክተሩ ለተጠቀሰው ተጠቃሚ በቡድንA ውስጥ ያሉትን ሁሉንም ቡድኖች በየጊዜው ያረጋግጣል። አሁን ማንኛዉም የቡድን ኤ አካል የሆኑ ተጠቃሚዎች ይጣራሉ፣ ስለዚህ የእኛ ተጠቃሚ3 በጎጆ ግሩፕ ቢ መግባት ይችላል።
    awplus(config-ldap-server)# search-filter memberOf:1.2.840.113556.1.4.1941:=CN=groupA,OU=exampleOrg,DC=example,DC=ሙከራ

ኤልዲኤፒን መከታተል

የሚከተለው ክፍል አንዳንድ የቀድሞ ያቀርባልampከትዕዛዙ የኤልዳፕ አገልጋይ ቡድንን ያሳያል።
ውጤቱ የሚያሳየው ሁለት የኤልዲኤፒ አገልጋዮች እንዳሉ ነው፡- Server_A እና Server_B።

ለServer_A፣ የትዕይንት ትዕዛዙ ይህንን ይገልጻል፡-

  • አገልጋይ_ኤ በህይወት አለ።
  • Server_A የኤልዲኤፒ አገልጋይ ነው።
  • Server_A የአገልጋይ ቡድን አስተዳደር አካል ነው።
    ለServer_B፣ የማሳያ ትዕዛዙ የሚከተለውን ይገልጻል፡-
  • Server_B በጭራሽ ስራ ላይ አይውልም ወይም ግዛቱ አይታወቅም።
  • Server_B የኤልዲኤፒ አገልጋይ ነው።
  • Server_B የማንኛውም አገልጋይ ቡድን አካል አይደለም።

ምንም የኤልዲኤፒ አገልጋይ የሌለው ሁለተኛ የአገልጋይ ቡድን 'RandD' አለ።

ሁለቱ ሌሎች የአገልጋይ ሁኔታ ሁኔታዎች በእኛ የቀድሞ ውስጥ አይታዩም።ampየሚወጡት ውጤቶች፡-

  • ሞቷል - አገልጋዩ እንደሞተ ታወቀ እና ለመጨረሻ ጊዜ ጥቅም ላይ አይውልም።
  • ስህተት - አገልጋዩ ምላሽ እየሰጠ አይደለም.
ማረም በማንቃት ላይ

ኤልዲኤፒ በ AAA ንኡስ ሲስተም እንደተዋቀረ፣ ለ AAA ማረጋገጫ ያለው ማረም ጠቃሚ የኤልዲኤፒ አሠራር መረጃን ይፈጥራል።
awplus# ማረም aaa ማረጋገጥ
ለዝርዝር የኤልዲኤፒ ደንበኛ ማረም፣ ከተለያዩ የማረሚያ አማራጮች ጋር፣ ትዕዛዙን ይጠቀሙ፡-
awplus# ማረም ldap ደንበኛ
ሁሉንም የኤልዲኤፒ ደንበኛ ማረም ማብራት እጅግ በጣም ብዙ በሆነ የምዝግብ ማስታወሻ መልእክቶች የስርዓቱን አፈጻጸም ሊጎዳ እንደሚችል ልብ ይበሉ።

የሰሜን አሜሪካ ዋና መሥሪያ ቤት | 19800 ሰሜን ክሪክ ፓርክዌይ | ስዊት 100 | ጫጫታ | ዋ 98011 | አሜሪካ | ቲ፡ +1 800 424 4284 | ረ፡ +1 425 481 3895
እስያ-ፓስፊክ ዋና መሥሪያ ቤት | 11 ታይ ሴንግ አገናኝ | ሲንጋፖር | 534182 | ቲ፡ +65 6383 3832 | ረ፡ +65 6383 3830
EMEA እና CSA ክወናዎች | ኢንቼዌግ 7 | 1437 EK Rozenburg | ኔዘርላንድ | ቲ፡ +31 20 7950020 | ረ፡ +31 20 7950021

ሰነዶች / መርጃዎች

Allied Telesis ቀላል ክብደት ማውጫ መዳረሻ ፕሮቶኮል [pdf] የተጠቃሚ መመሪያ
ቀላል ክብደት ያለው ማውጫ መዳረሻ ፕሮቶኮል፣ ማውጫ፣ የመዳረሻ ፕሮቶኮል

ዋቢዎች

ተዛማጅ ልጥፎች

አስተያየት ይስጡ

የኢሜል አድራሻዎ አይታተምም። አስፈላጊ መስኮች ምልክት ተደርጎባቸዋል *