Allied Telesis Lightweight Directory Access Protocol

Sadržaj sakriti
1 Uvod
1.1 Proizvodi i verzija softvera koji se odnose na ovaj vodič
1.2 Povezani dokumenti
2 LDAP je završenview
2.1 Osnovna LDAP paketna komunikacija koristeći Telnet
3 Lista za provjeru za prijavu na AlliedWare Plus uređaj
3.1 Pristup mreži putem OpenVPN-a
4 Konfiguriranje LDAP-a
4.1 Konfiguracija LDAP servera
4.2 AAA konfiguracija
4.3 SSH/Telnet konfiguracija
4.4 OpenVPN konfiguracija
5 Konfiguracija sigurnog načina rada – LDAPS koristeći TLS enkripciju
6 Konfiguracija serverske veze
7 Konfiguracija pretrage
7.1 Kako izvršiti ugniježđenu pretragu na Active Directory
8 Nadgledanje LDAP-a
8.1 Omogućavanje otklanjanja grešaka
9 Dokumenti / Resursi
9.1 Reference
10 Related Posts

Uvod

Lightweight Directory Access Protocol (LDAP) je softverski protokol koji se koristi za upravljanje i pristup različitim IT resursima, kao što su aplikacije, serveri, mrežna oprema i file serveri. Uobičajena upotreba LDAP-a je da obezbijedi centralno mjesto za autentifikaciju, što znači da pohranjuje korisnička imena i lozinke.

Kao što ime govori, LDAP je lagana verzija protokola za pristup direktoriju (DAP), koji je dio X.500, standarda za usluge imenika u mreži. LDAP koristi direktorije za održavanje informacija o organizaciji, informacija o osoblju i informacija o resursima.

Mrežni direktoriji vam govore gdje se u mreži nešto nalazi. Na TCP/IP mrežama, sistem imena domena (DNS) je sistem direktorija koji se koristi za povezivanje imena domene sa određenom mrežnom adresom. Međutim, ako ne znate naziv domene, LDAP vam omogućava da tražite osobu bez da znate gdje se ona nalazi.

Možete koristiti LDAP za autentifikaciju korisnika koji se povezuju na interne mreže preko OpenVPN-a. Iako AlliedWare Plus uređaji mogu koristiti i LDAP i RADIUS naizmjenično kao protokol za autentifikaciju, LDAP ima mogućnost interakcije sa uslugama direktorija kao što je Microsoftov Active Directory (AD). AD je jedan od ključnih delova Windows okruženja baza podataka. Pohranjuje informacije o korisnicima i nalogu, te obezbjeđuje autorizaciju i autentifikaciju za računare, korisnike i grupe, kako bi se nametnula sigurnosna pravila u svim Windows operativnim sistemima.

Ovaj vodič pruža informacije za konfiguriranje OpenVPN Access Servera za autentifikaciju u Active Directoryju pomoću LDAP-a

Proizvodi i verzija softvera koji se odnose na ovaj vodič

Ovaj vodič se odnosi na AlliedWare Plus™ proizvode koji podržavaju LDAP, koji koriste verziju 5.5.2-1 ili noviju.

Da vidite podržava li vaš proizvod LDAP, pogledajte sljedeće dokumente:

  • Tehnički list proizvoda
  • Referenca komandi proizvoda

Ovi dokumenti su dostupni na gornjim linkovima na našem webstranica na alliedtelesis.com.

Povezani dokumenti

Sljedeći dokumenti daju više informacija o funkcijama provjere autentičnosti na AlliedWare Plus proizvodima:

  • funkcija OpenVPN je završenaview i Vodič za konfiguraciju
  • funkcija AAA i provjere autentičnosti porta je završenaview i Vodič za konfiguraciju
  • Referenca komandi proizvoda

Ovi dokumenti su dostupni na gornjim linkovima ili na našem webstranica na alliedtelesis.com

LDAP je završenview

LDAP protokol komunicira sa Active Directoryjem. To je u suštini način da razgovarate sa aktivnim direktorijumom i prenosite poruke između AD i drugih delova vaše mreže.

Kako radi Active Directory LDAP autentifikacija? U osnovi, morate postaviti LDAP za autentifikaciju vjerodajnica za Active Directory. Operacija 'BIND' se koristi za postavljanje stanja provjere autentičnosti za LDAP sesiju u kojoj se LDAP klijent povezuje s poslužiteljem.

U većini slučajeva, ovaj tip jednostavne provjere autentičnosti u suštini znači da se ime i lozinka koriste za kreiranje zahtjeva za povezivanje serveru za autentifikaciju.

Osnovna LDAP paketna komunikacija koristeći Telnet

Kada koristite Telnet za prijavu na AlliedWare Plus uređaj, osnovni proces LDAP autentifikacije je sljedeći:

  1. Telnet pokreće zahtjev za povezivanje i šalje korisničko ime i lozinku uređaju.
  2. Nakon što primi zahtjev, uređaj (koji djeluje kao LDAP klijent) uspostavlja TCP vezu sa LDAP serverom.
    Da bi dobio pravo na pretragu, uređaj koristi razlikovno ime administratora (DN) i lozinku za slanje zahtjeva za povezivanje administratora LDAP serveru.
  3. LDAP server obrađuje zahtjev. Ako je operacija povezivanja uspješna, LDAP server šalje potvrdu uređaju.
  4. Uređaj šalje zahtjev za pretraživanje DN korisnika s korisničkim imenom na LDAP server.
  5. Nakon primanja zahtjeva, LDAP server traži DN korisnika prema osnovnom DN-u, opsegu pretraživanja i uvjetima filtriranja. Ako se pronađe podudaranje, LDAP server šalje odgovor kako bi obavijestio uređaj o uspješnom pretraživanju. Možda je pronađen jedan ili više korisničkih DN-ova.
  6. Uređaj koristi dobiveni korisnički DN i unosi korisničku lozinku kao parametre za slanje zahtjeva za povezivanje DN korisnika na LDAP server, koji provjerava da li je korisnička lozinka ispravna.
  7. LDAP server obrađuje zahtjev i šalje odgovor da obavijesti uređaj o rezultatu operacije vezivanja. Ako operacija povezivanja ne uspije, uređaj koristi drugi dobiveni korisnički DN kao parametar za slanje zahtjeva za povezivanje DN korisnika LDAP serveru. Ovaj proces se nastavlja sve dok se DN uspješno ne poveže ili dok svi DN ne budu vezani. Ako svi korisnički DN-ovi ne budu vezani, uređaj obavještava korisnika o neuspjehu prijave i odbija korisnikov zahtjev za pristup.
  8. Uređaj i server vrše razmjenu autorizacije.
  9. Nakon uspješne autorizacije, uređaj obavještava korisnika o uspješnoj prijavi.

Trenutna ograničenja AlliedWare Plus

  • Podržana je samo jedna pouzdana točka za siguran LDAP.
  • Rekurzivno pretraživanje grupe nije implementirano. Međutim, uz Active Directory, moguće je postaviti određeni OID kao dio filtera pretraživanja koji će ga uputiti da izvrši ugniježđenu pretragu.

OID postaje dio provjere memberOf:

memberOf:1.2.840.113556.1.4.1941:= Grupa DN>

Umjesto uobičajenog:

memberOf = Grupa DN>

Postoje exampZa detalje ovoga u odjeljku konfiguracije pretraživanja ispod, pogledajte “Konfiguracija pretraživanja” na

Lista za provjeru za prijavu na AlliedWare Plus uređaj

Prije nego što konfigurirate LDAP, prijavite se na AlliedWare Plus uređaj koji koristi SSH/Telnet i provjerite da li su sljedeće konfiguracije ispravne.

provjerite da:

  1. LDAP server je pokrenut.
  2. Možete doći do uređaja, a uređaj može doći do LDAP servera.
  3. Za uređaj:
    ● SSH ili Telnet je omogućen
    ● LDAP server je omogućen
    ● LDAP server je dio liste servera AAA LDAP grupe
    ● Grupa LDAP servera je dodana opcijama AAA provjere autentičnosti prijave
    ● LDAP grupa servera je dodana opcijama autentifikacije za prijavu na vty linije
  4. Za LDAP server:
    ● konfigurirani su sljedeći atributi
LDAP atribut Format Opis
msRADIUSServiceType nteger Za prijavu na AlliedWare Plus uređaj, korisnik mora imati jednu od sljedećih vrijednosti:
■ 6 (Administrativno): korisnik je mapiran na maksimalnu korisničku privilegiju, 15,
■ 7 (NAS prompt): korisnik je mapiran na minimalnu korisničku privilegiju, 1. Ako ovaj atribut nije konfiguriran ili konfiguriran s različitim vrijednostima, korisniku nije dozvoljeno da se prijavi.
Pristup mreži putem OpenVPN-a

Da biste omogućili korisniku da se poveže na internu mrežu putem OpenVPN-a, provjerite sljedeće:

  1. LDAP server je pokrenut.
  2. Korisnik može doći do uređaja, a uređaj može doći do LDAP servera.
  3. Za uređaj:
    ● LDAP server je omogućen
    ● LDAP server je dio liste servera AAA LDAP grupe
    ● Grupa LDAP servera je dodata OpenVPN AAA opcijama autentifikacije
    ● OpenVPN tunel je konfigurisan i omogućen
  4. Za LDAP server:
    ● sljedeći korisnički atributi su konfigurirani i proslijeđeni OpenVPN klijentu:
LDAP atribut Format Opis
msRADIUSFramedIPAddress Integer Statička IP adresa klijenta. Ovo je 4-bajtni cijeli broj. Za nprample “-1062731519” je za “192.168.1.1”.
msRADIUSFramedRoute String Statičke IP rute za klijenta (dozvoljava više unosa). Očekuje se da će niz biti u formatu RADIUS atributa “Framed-Route” opisanog u RFC2865, (npr. “10.1.1.0 255.255.255.0 192.168.1.1 1”)
ms-RADIUS-FramedIpv6Prefix String Statički IPv6 prefiks za klijenta. Očekuje se da će string biti u formatu “IPv6Address/PrefixLength” (npr. “2001:1::/64”).
ms-RADIUS-FramedIpv6Route String Statičke IPv6 rute za klijenta (dozvoljava višestruke unose). Očekuje se da će niz biti u formatu RADIUS atributa “Framed-IPv6-Route” opisanog u RFC3162, (npr. “3001:1::/64 2001:1::1 1”).

Konfiguriranje LDAP-a

Ovaj odjeljak opisuje kako konfigurirati LDAP, s nekim od dostupnih AlliedWare Plus naredbi:

Konfiguracija LDAP servera

Korak 1: Kreirajte LDAP server s imenom AD_server
awplus#configure terminal
awplus(config)# ldap-server AD_server
Korak 2: Konfigurišite IP adresu na LDAP serveru
awplus(config-ldap-server)# host 192.0.2.1
Korak 3: Postavite zadani osnovni DN koji će se koristiti za pretraživanja
awplus(config-ldap-server)# base-dn dc=foo,dc=bar
Korak 4: Postavite razlikovno ime s kojim ćete se povezati sa serverom i vjerodajnice s kojima ćete se povezati
awplus(config-ldap-server)# bind autentikacija root-dn cn=Administrator, cn=Korisnici,dc=foo,dc=bar lozinka P@ssw0rd

AAA konfiguracija

Korak 1: Kreirajte grupu LDAP servera pod nazivom ldapServerGroup
awplus(config)# aaa grupni server ldap ldapServerGroup
Alternativno, možete koristiti zadanu grupu 'ldap' koja sadrži sve LDAP servere.
Korak 2: Dodajte LDAP server AD_server u grupu
awplus(config-ldap-group)# server AD_server
Korak 3: Kreirajte AAA metodu prijave koristeći grupu LDAP poslužitelja za provjeru autentičnosti za prijavu korisnika
awplus(config)# aaa prijava autentifikacije ldapLogin grupa ldapServerGroup
Ili umjesto toga koristite zadanu grupu:
awplus(config)# aaa prijava autentifikacije ldapLogin grupa ldap

SSH/Telnet konfiguracija

Korak 1: Omogući SSH
awplus(config)# usluga ssh
Uvjerite se da je SSH server ispravno konfiguriran za prijavu korisnika.
awplus(config)# ssh server dozvoljava korisnicima korisnikaA
Korak 2: Ovjerite VTY linije pomoću AAA metode provjere autentičnosti ldapLogin
awplus(config)# red vty 0 3
awplus(config-line)# provjera autentičnosti prijave ldapLogin

OpenVPN konfiguracija

Korak 1: Omogućite LDAP autentifikaciju OpenVPN tunela globalno
Opet, možete koristiti ili zadanu LDAP grupu ili korisnički definiranu LDAP grupu.
awplus(config)# aaa autentifikacija openvpn default group ldap

Konfiguracija sigurnog načina rada – LDAPS koristeći TLS enkripciju

LDAP nudi siguran način rada nazvan LDAPS, koji koristi TLS protokol za šifriranje svih komunikacija između klijenta i servera. Da biste koristili LDAP, morate konfigurirati siguran port na serveru (podrazumevani port je 636).

Nakon što je LDAPS konfiguriran na strani servera, trebat će vam kopija CA certifikata koji poslužitelj koristi. Prvo ovaj certifikat treba uvesti na uređaj u obliku sigurne točke povjerenja. Za više informacija o PKI-ju i pouzdanim tačkama na AlliedWare Plus, pogledajte PKI Feature Overview i Vodič za konfiguraciju.

Korak 1: Kreirajte novu PKI točku povjerenja pod nazivom AD_trustpoint
awplus(config)# crypto pki trustpoint AD_trustpoint
Korak 2: Navedite da će ova pouzdana točka koristiti vanjski certifikat koji je kopija i
zalijepljen u terminal
awplus(ca-trustpoint)# terminal za upis
Korak 3: Vratite se u privilegirani EXEC mod
awplus(ca-trustpoint)# kraj
Korak 4: Uvezite eksterni certifikat u točku povjerenja
awplus# kripto pki autentikacija AD_trustpoint

Sistem će zatražiti da se certifikat zalijepi u terminal, u PEM formatu. Kopirajte i zalijepite certifikat.

Zalijepite certifikat PEM file u terminal.
Upišite “abort” da biste otkazali.

Provjerite podatke o otisku prsta i izdavaocu, i ako sve izgleda ispravno, prihvatite certifikat.

Certifikat je uspješno potvrđen.
Prihvatiti ovaj certifikat? (d/n): g

Korak 5: Nakon prihvaćanja certifikata, vratite se na konfiguracijski terminal
awplus#configure terminal
Korak 6: Uđite u konfiguracijski način za ime LDAP poslužitelja AD_server
awplus(config)# ldap-server AD_server
Korak 7: Postavite ime hosta LDAP servera
Za siguran način rada, morat ćete koristiti FQDN kao ime hosta, a ono mora odgovarati imenu na CA certifikatu koji ste ranije uvezli. LDAP server će izvršiti provjeru imena kako bi osigurao da se ova imena podudaraju prije nego što TLS sesija može biti pokrenuta.
awplus(config-ldap-server)# host example-FQDN.com
Korak 8: Omogućite LDAPS sa TLS-om
awplus(config-ldap-server)# siguran način rada
Korak 9: Dodajte točku povjerenja LDAP servera kreiranu iznad
awplus(config-ldap-server)# sigurna tačka povjerenja AD_trustpoint
Korak 10: Opciono, navedite šifre koje će se koristiti za TLS
awplus(config-ldap-server)# sigurna šifra DHE-DSS-AES256-GCM-SHA384
AES128-GCM-SHA256

Konfiguracija serverske veze

Korak 1: Podešavanje vremenskog ograničenja
Prilikom povezivanja na poslužitelj direktorija i kada čekate da se pretrage završe, maksimalno vrijeme čekanja je 50 sekundi.
awplus(config-ldap-server)# vremensko ograničenje 50
Korak 2: Ponovni pokušaji
Kada se povezujete na aktivne servere, pokušajte maksimalno 5 pokušaja. awplus(config-ldap-server)# retransmit 5
Korak 3: Deadtime
Uređaj neće poslati nijedan zahtjev serveru 5 minuta ako nije uspio odgovoriti na prethodni zahtjev.
awplus(config-ldap-server)# mrtvo vrijeme 5

Konfiguracija pretrage

Korak 1: Postavke DN grupe
Da bi autentifikacija korisnika bila uspješna, korisnik mora pripadati grupi sa Distinguished
Ime (DN) string: cn=Korisnici,dc=test. Podrazumevano će to utvrditi provjeravanjem atributa uniquemember grupe, da vidi da li sadrži DN niz korisnika.
awplus(config-ldap-server)# group-dn cn=Korisnici,dc=test
Korak 2: Postavke članova grupe atributa Active Directory
Za Active Directory, umjesto toga želite provjeriti unutar atributa člana grupe, koji se može konfigurirati pomoću CLI atributa grupe. awplus(config-ldap-server)# član atributa grupe
Uz konfigurirane te dvije opcije, pretraga bi testirala članstvo korisnika u grupi cn=Korisnici,dc=test provjeravanjem atributa člana za DN korisnika. Ovo je korisno kada LDAP server pruža informacije o autentifikaciji grupi klijenata, ali uređaj bi trebao autorizirati samo grupu korisnika.
Korak 3: Postavke korisničkog imena za prijavu
Ime za prijavu će pripadati atributu 'username'. Da bi provjera autentičnosti korisnika bila uspješna, direktorij mora imati unos sa korisničkim imenom=, npr. korisničko ime=jdoe.
awplus(config-ldap-server)# korisničko ime atributa grupe
Korak 4: Postavke filtera pretraživanja
Prilikom preuzimanja korisničkih informacija, objektna klasa korisnika mora sadržavati, nprample, 'testAccount' da bi autentifikacija korisnika bila uspješna. Opcija filtera pretraživanja je vrlo prilagodljiva i može se koristiti za provjeru bilo kojeg atributa. Dodatno, logički operatori se mogu koristiti za dalje poboljšanje specifičnosti pretraživanja.
awplus(config-ldap-server)# search-filter objectclass=testAccount

Examples:

  •  Time bi se provjerilo da li je objektna klasa korisnika testAccount ILI organizacijskaRole
    awplus(config-ldap-server)# filter pretrage
    (objectclass=testAccount)(objectclass=organizationalRole)
  • Ovo bi provjerilo svakoga ko je korisnik A NE kompjuter
    awplus(config-ldap-server)# filter za pretraživanje &(objectclass=user)(!(objectClass=computer)
Kako izvršiti ugniježđenu pretragu na Active Directory

Razmotrite sljedeće nprample:

  • Bez ugniježđene pretrage – koristeći ovaj filter za pretragu ispod, bilo koji od korisnika unutar grupe A moći će se uspješno prijaviti, ali korisnik 3 unutar grupe B neće uspjeti.
    awplus(config-ldap-server)# search-filter memberOf=CN=groupA,OU=exampleOrg,DC=prample,DC=test
  • Dodavanjem OID-a 1.2.840.113556.1.4.1941 u provjeru memberOf u filteru pretraživanja, Active Directory će rekurzivno provjeriti sve grupe unutar grupe A za navedenog korisnika. Sada će svi korisnici unutar bilo koje grupe koje su dio grupe A biti provjereni, tako da se naš korisnik3 u ugniježđenoj grupi B može prijaviti.
    awplus(config-ldap-server)# search-filter memberOf:1.2.840.113556.1.4.1941:=CN=groupA,OU=exampleOrg,DC=prample,DC=test

Nadgledanje LDAP-a

Sljedeći odjeljak pruža neke nprample izlaz iz naredbe show ldap server group.
Izlaz pokazuje da postoje dva LDAP servera: Server_A i Server_B.

Za Server_A, naredba show navodi da:

  • Server_A je živ
  • Server_A je LDAP server
  • Server_A je dio Upravljanje grupom servera
    Za Server_B, naredba show navodi da:
  • Server_B se nikada ne koristi ili je stanje nepoznato.
  • Server_B je LDAP server
  • Server_B nije dio nijedne grupe servera

Postoji i druga grupa servera 'RandD' koja nema nijedan LDAP server.

Druga dva statusa servera nisu prikazana u našem exampizlaz su:

  • Mrtav – server je detektovan kao mrtav i neće se koristiti za period mrtvih.
  • Greška – server ne reaguje.
Omogućavanje otklanjanja grešaka

Kako je LDAP konfigurisan pod AAA podsistemom, postojeće otklanjanje grešaka za AAA autentifikaciju će generisati korisne informacije o LDAP radu.
awplus# debug aaa autentikacija
Za detaljno otklanjanje grešaka LDAP klijenta, sa raznim opcijama za otklanjanje grešaka, koristite naredbu:
awplus# debug ldap klijent
Imajte na umu da uključivanje svih LDAP klijentskih otklanjanja grešaka može uticati na performanse sistema sa ogromnom količinom dnevnik poruka.

Sjedište Sjeverne Amerike | 19800 North Creek Parkway | Apartman 100 | Bothell | WA 98011 | SAD |T: +1 800 424 4284 | F: +1 425 481 3895
Azijsko-pacifičko sjedište | 11 Tai Seng Link | Singapur | 534182 | T: +65 6383 3832 | F: +65 6383 3830
EMEA & CSA operacije | Incheonweg 7 | 1437 EK Rozenburg | Holandija | T: +31 20 7950020 | F: +31 20 7950021

Dokumenti / Resursi

Allied Telesis Lightweight Directory Access Protocol [pdf] Korisnički priručnik
Lagani protokol za pristup imeniku, imenik, pristupni protokol

Reference

Related Posts

Ostavite komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *