Allied Telesis Lightweight Directory Access Protocol Uživatelská příručka

Lightweight Directory Access Protocol (LDAP) je softwarový protokol používaný ke správě a přístupu k různým IT zdrojům, jako jsou aplikace, servery, síťová zařízení a file servery. Běžné použití LDAP je poskytovat centrální místo pro autentizaci, což znamená, že ukládá uživatelská jména a hesla.

Jak název napovídá, LDAP je odlehčená verze Directory Access Protocol (DAP), která je součástí X.500, standardu pro adresářové služby v síti. LDAP používá adresáře k udržování informací o organizaci, personálních informací a informací o zdrojích.

Síťové adresáře vám řeknou, kde se v síti něco nachází. V sítích TCP/IP je systém názvů domén (DNS) systém adresářů používaný ke spojení názvu domény s konkrétní síťovou adresou. Pokud však neznáte název domény, LDAP vám umožní vyhledat jednotlivce, aniž byste věděli, kde se nachází.

LDAP můžete použít k ověření uživatelů připojujících se k interním sítím přes OpenVPN. Ačkoli zařízení AlliedWare Plus mohou používat LDAP i RADIUS jako ověřovací protokol zaměnitelně, LDAP má schopnost komunikovat s adresářovými službami, jako je Microsoft Active Directory (AD). AD je jednou ze základních částí databázových prostředí Windows. Ukládá informace o uživatelích a účtech a poskytuje autorizaci a ověřování pro počítače, uživatele a skupiny, aby prosazoval zásady zabezpečení napříč operačními systémy Windows.

Tato příručka poskytuje informace pro konfiguraci OpenVPN Access Server pro ověřování proti Active Directory pomocí LDAP

Produkty a verze softwaru, které se vztahují k této příručce

Tato příručka platí pro produkty AlliedWare Plus™, které podporují LDAP a používají verzi 5.5.2-1 nebo novější.

Chcete-li zjistit, zda váš produkt podporuje LDAP, prohlédněte si následující dokumenty:

Technický list produktu
Referenční příručka k produktu

Tyto dokumenty jsou k dispozici na výše uvedených odkazech na našem webu webna adrese alliedtelesis.com.

Související dokumenty

Následující dokumenty poskytují další informace o funkcích ověřování u produktů AlliedWare Plus:

přes funkci OpenVPNview a Průvodce konfigurací
funkce AAA a autentizace portu skončilaview a Průvodce konfigurací

Referenční příručka k produktu

Tyto dokumenty jsou k dispozici na výše uvedených odkazech nebo na našem webu webna adrese alliedtelesis.com

Konec LDAPview

Protokol LDAP komunikuje s Active Directory. Je to v podstatě způsob, jak komunikovat s Active Directory a přenášet zprávy mezi AD a dalšími částmi vaší sítě.

Jak funguje ověřování Active Directory LDAP? V zásadě musíte nastavit LDAP pro ověřování přihlašovacích údajů proti Active Directory. Operace 'BIND' se používá k nastavení stavu ověřování pro relaci LDAP, ve které se klient LDAP připojuje k serveru.

Ve většině případů tento typ jednoduché autentizace v podstatě znamená, že jméno a heslo se používají k vytvoření požadavku na vazbu na server pro ověření.

Základní paketová komunikace LDAP pomocí Telnetu

Když používáte Telnet k přihlášení k zařízení AlliedWare Plus, základní proces ověřování LDAP je následující:

Telnet zahájí požadavek na připojení a odešle uživatelské jméno a heslo do zařízení.
Po obdržení požadavku naváže zařízení (jako klient LDAP) TCP spojení se serverem LDAP.
Aby zařízení získalo právo vyhledávat, použije rozlišovací jméno (DN) a heslo správce k odeslání požadavku správce na spojení na server LDAP.

Server LDAP požadavek zpracuje. Pokud je operace vazby úspěšná, server LDAP odešle zařízení potvrzení.
Zařízení odešle požadavek na vyhledání DN uživatele s uživatelským jménem na server LDAP.

Po přijetí požadavku server LDAP vyhledá DN uživatele podle základního DN, rozsahu vyhledávání a podmínek filtrování. Pokud je nalezena shoda, server LDAP odešle odpověď, aby zařízení informoval o úspěšném hledání. Může být nalezeno jedno nebo více DN uživatelů.
Zařízení použije získané DN uživatele a zadá heslo uživatele jako parametry k odeslání požadavku na vazbu DN uživatele na server LDAP, který zkontroluje, zda je heslo uživatele správné.

Server LDAP zpracuje požadavek a odešle odpověď, aby zařízení informoval o výsledku operace vazby. Pokud operace vazby selže, zařízení použije jiné získané DN uživatele jako parametr k odeslání požadavku na vazbu uživatele na server LDAP. Tento proces pokračuje, dokud není DN úspěšně svázáno nebo dokud se nepodaří svázat všechna DN. Pokud se nepodaří svázat všechna uživatelská DN, zařízení upozorní uživatele na selhání přihlášení a zamítne žádost uživatele o přístup.
Zařízení a server provádějí výměnu oprávnění.

Po úspěšné autorizaci zařízení upozorní uživatele na úspěšné přihlášení.

Aktuální omezení AlliedWare Plus

Pro zabezpečený LDAP je podporován pouze jeden bod důvěryhodnosti.
Rekurzivní skupinové vyhledávání není implementováno. S Active Directory je však možné nastavit konkrétní OID jako součást vyhledávacího filtru, který mu dá pokyn k provedení vnořeného vyhledávání.

OID se stává součástí kontroly MemberOf:

memberOf:1.2.840.113556.1.4.1941:= Group DN>

Spíše než obvykle:

memberOf = DN skupiny>

Jsou tam exampvíce v sekci konfigurace vyhledávání níže, viz „Konfigurace vyhledávání“ na

Kontrolní seznam pro přihlášení k zařízení AlliedWare Plus

Před konfigurací LDAP se přihlaste k AlliedWare Zařízení Plus používající SSH/Telnet a zkontrolujte, zda jsou následující konfigurace správné.

Zkontrolujte, zda:

Je spuštěn server LDAP.
Jste schopni dosáhnout zařízení a zařízení může dosáhnout serveru LDAP.
Pro zařízení:
● Je povoleno SSH nebo Telnet
● Server LDAP je povolen
● Server LDAP je součástí seznamu skupinových serverů AAA LDAP
● Skupina serverů LDAP je přidána k možnostem ověření přihlášení AAA
● Skupina serverů LDAP je přidána k možnostem ověřování přihlášení vty linek
Pro server LDAP:
● jsou nakonfigurovány následující atributy

Atribut LDAP	Formát	Popis
msRADIUSServiceType	číslo	Pro přihlášení k zařízení AlliedWare Plus musí mít uživatel jednu z následujících hodnot: ■ 6 (administrativní): uživatel je namapován na maximální uživatelská oprávnění, 15, ■ 7 (NAS Prompt): uživatel je namapován na minimální uživatelská oprávnění, 1. Pokud tento atribut není nakonfigurován nebo nakonfigurován s jinými hodnotami, uživatel se nebude moci přihlásit.

Přístup k síti přes OpenVPN

Chcete-li uživateli umožnit připojení k interní síti prostřednictvím OpenVPN, zkontrolujte, zda:

Je spuštěn server LDAP.
Uživatel se může dostat k zařízení a zařízení se může dostat k serveru LDAP.
Pro zařízení:
● Server LDAP je povolen
● Server LDAP je součástí seznamu skupinových serverů AAA LDAP
● Skupina serverů LDAP je přidána k možnostem ověřování OpenVPN AAA
● Je nakonfigurován a povolen tunel OpenVPN
Pro server LDAP:
● jsou nakonfigurovány a předány klientovi OpenVPN následující uživatelské atributy:

Atribut LDAP	Formát	Popis
msRADIUSFramedIPAddress	Celé číslo	Statická IP adresa klienta. Toto je 4bajtové celé číslo. Napřample „-1062731519“ je pro „192.168.1.1“.
msRADIUSFramedRoute	Řetězec	Statické IP cesty pro klienta (umožňuje více vstupů). Očekává se, že řetězec bude ve formátu atributu RADIUS „Framed-Route“ popsaného v RFC2865 (např. „10.1.1.0 255.255.255.0 192.168.1.1 1“).
ms-RADIUS-FramedIpv6Prefix	Řetězec	Statická předpona IPv6 pro klienta. Předpokládá se, že řetězec bude ve formátu „IPv6Address/PrefixLength“ (např. „2001:1::/64“).
ms-RADIUS-FramedIpv6Route	Řetězec	Statické trasy IPv6 pro klienta (umožňují více vstupů). Předpokládá se, že řetězec bude ve formátu atributu RADIUS „Framed-IPv6-Route“ popsaného v RFC3162 (např. „3001:1::/64 2001:1::1 1“).

Konfigurace LDAP

Tato část popisuje, jak nakonfigurovat LDAP pomocí některých dostupných příkazů AlliedWare Plus:

Konfigurace serveru LDAP

Krok 1: Vytvořte server LDAP s názvem AD_server
awplus#configure terminálu
awplus(config)# ldap-server AD_server
Krok 2: Nakonfigurujte IP adresu na serveru LDAP
awplus(config-ldap-server)# hostitel 192.0.2.1
Krok 3: Nastavte výchozí základní DN pro vyhledávání
awplus(config-ldap-server)# base-dn dc=foo,dc=bar
Krok 4: Nastavte rozlišující název, se kterým se chcete svázat se serverem, a pověření, se kterými se chcete svázat
awplus(config-ldap-server)# autentizace vazby root-dn cn=Administrátor, cn=Users,dc=foo,dc=bar password P@ssw0rd

Konfigurace AAA

Krok 1: Vytvořte skupinu serverů LDAP s názvem ldapServerGroup
awplus(config)# aaa skupinový server ldap ldapServerGroup
Alternativně můžete použít výchozí skupinu 'ldap', která obsahuje všechny servery LDAP.
Krok 2: Přidejte do skupiny server LDAP AD_server
awplus(config-ldap-group)# server AD_server
Krok 3: Vytvořte metodu přihlášení AAA pomocí skupiny serverů LDAP pro ověřování přihlášení uživatele
awplus(config)# aaa přihlášení k autentizaci ldapLogin skupina ldapServerGroup
Nebo místo toho použijte výchozí skupinu:
awplus(config)# aaa autentizační přihlášení ldapLogin skupina ldap

Konfigurace SSH/Telnet

Krok 1: Povolit SSH
awplus(config)# služba ssh
Ujistěte se, že je server SSH správně nakonfigurován pro přihlášení uživatelů.
awplus(config)# ssh server allow-users userA
Krok 2: Ověřte řádky VTY pomocí autentizační metody AAA ldapLogin
awplus(config)# řádek vty 0 3
awplus(config-line)# přihlašovací autentizace ldapLogin

Konfigurace OpenVPN

Krok 1: Globálně povolit ověřování LDAP tunelů OpenVPN
Opět můžete použít výchozí skupinu LDAP nebo uživatelem definovanou skupinu LDAP.
awplus(config)# aaa autentizace openvpn výchozí skupina ldap

Konfigurace zabezpečeného režimu – LDAPS pomocí šifrování TLS

LDAP nabízí zabezpečený režim zvaný LDAPS, který používá protokol TLS k šifrování veškeré komunikace mezi klientem a serverem. Chcete-li používat LDAP, musíte nakonfigurovat zabezpečený port na serveru (výchozí port je 636).

Jakmile bude LDAPS nakonfigurován na straně serveru, budete potřebovat kopii certifikátu CA používaného serverem. Nejprve je potřeba tento certifikát naimportovat do zařízení ve formě zabezpečeného bodu důvěry. Další informace o PKI a bodech důvěry na AlliedWare Plus najdete v části PKI Feature Overview a Průvodce konfigurací.

Krok 1: Vytvořte nový bod důvěryhodnosti PKI s názvem AD_trustpoint
awplus(config)# crypto pki trustpoint AD_trustpoint
Krok 2: Určete, že tento bod důvěryhodnosti bude používat externí certifikát, který je kopie a
vloženo do terminálu
awplus(ca-trustpoint)# registrační terminál
Krok 3: Návrat do privilegovaného režimu EXEC
awplus(ca-trustpoint)# konec
Krok 4: Importujte externí certifikát do bodu důvěry
awplus# crypto pki autentizace AD_trustpoint

Systém vyzve k vložení certifikátu do terminálu ve formátu PEM. Zkopírujte a vložte certifikát.

Vložte certifikát PEM file do terminálu.
Pro zrušení napište „přerušit“.

Zkontrolujte otisk prstu a informace o vydavateli, a pokud vše vypadá správně, přijměte certifikát.

Certifikát byl úspěšně ověřen.
Přijmout tento certifikát? (y/n): y

Krok 5: Po přijetí certifikátu se vraťte do konfiguračního terminálu
awplus#configure terminálu
Krok 6: Zadejte konfigurační režim pro název serveru LDAP AD_server
awplus(config)# ldap-server AD_server
Krok 7: Nastavte název hostitele serveru LDAP
V zabezpečeném režimu budete muset jako název hostitele použít úplný název domény, který se musí shodovat s názvem na certifikátu CA, který jste předtím importovali. Před zahájením relace TLS provede server LDAP kontrolu názvů, aby se ujistil, že se tato jména shodují.
awplus(config-ldap-server)# hostitel example-FQDN.com
Krok 8: Povolit LDAPS s TLS
awplus(config-ldap-server)# zabezpečený režim
Krok 9: Přidejte bod důvěryhodnosti serveru LDAP vytvořený výše
awplus(config-ldap-server)# secure trustpoint AD_trustpoint
Krok 10: Volitelně zadejte šifry, které se mají použít pro TLS
awplus(config-ldap-server)# zabezpečená šifra DHE-DSS-AES256-GCM-SHA384
AES128-GCM-SHA256

Konfigurace připojení k serveru

Krok 1: Nastavení časového limitu
Při připojování k adresářovému serveru a při čekání na dokončení vyhledávání je maximální doba čekání 50 sekund.
awplus(config-ldap-server)# časový limit 50
Krok 2: Opakování
Při připojování k aktivním serverům zkuste maximálně 5 pokusů. awplus(config-ldap-server)# opětovné odeslání 5
Krok 3: Mrtvý čas
Zařízení nebude odesílat žádné požadavky na server po dobu 5 minut, pokud se mu nepodařilo odpovědět na předchozí požadavek.
awplus(config-ldap-server)# deadtime 5

Konfigurace vyhledávání

Krok 1: Nastavení DN skupiny
Aby byla autentizace uživatele úspěšná, musí uživatel patřit do skupiny s Distinguished
Řetězec názvu (DN): cn=Users,dc=test. Ve výchozím nastavení to určí kontrolou atributu uniquemember skupiny, aby zjistil, zda obsahuje řetězec DN uživatele.
awplus(config-ldap-server)# group-dn cn=Users,dc=test
Krok 2: Nastavení člena atributu skupiny služby Active Directory
Pro Active Directory budete místo toho chtít zkontrolovat atribut člena skupiny, který lze nakonfigurovat pomocí CLI atributu skupiny. awplus(config-ldap-server)# člen atributu skupiny
S těmito dvěma konfigurovanými možnostmi by vyhledávání otestovalo členství uživatele ve skupině cn=Users,dc=test kontrolou atributu člena pro DN uživatele. To je užitečné, když server LDAP poskytuje ověřovací informace skupině klientů, ale zařízení by mělo autorizovat pouze skupinu uživatelů.
Krok 3: Nastavení přihlašovacího uživatelského jména
Přihlašovací jméno bude patřit do atributu 'username'. Aby byla autentizace uživatele úspěšná, musí mít adresář záznam s username=, např. username=jdoe.
awplus(config-ldap-server)# uživatelské jméno s atributem skupiny
Krok 4: Nastavení filtru vyhledávání
Při získávání informací o uživateli musí třída user objectclass obsahovat napřample, 'testAccount' pro úspěšné ověření uživatele. Možnost vyhledávacího filtru je vysoce přizpůsobitelná a lze ji použít ke kontrole jakéhokoli atributu. K dalšímu vylepšení specifik vyhledávání lze navíc použít booleovské operátory.
awplus(config-ldap-server)# search-filter objectclass=testAccount

Examples:

 Tím by se zkontrolovalo, že třída objektu uživatele je testAccount NEBO OrganizationRole
awplus(config-ldap-server)# vyhledávací-filtr
(objectclass=testAccount)(objectclass=organizationalRole)
To by zkontrolovalo každého, kdo je uživatel A NE počítač
awplus(config-ldap-server)# vyhledávací-filtr &(objectclass=user)(!(objectClass=computer)

Jak provést vnořené vyhledávání ve službě Active Directory

Zvažte následující příkladampten:

Bez vnořeného vyhledávání – pomocí tohoto vyhledávacího filtru níže se bude moci úspěšně přihlásit kterýkoli z uživatelů ve skupině A, ale uživatel3 ve skupině B selže.
awplus(config-ldap-server)# search-filter memberOf=CN=groupA,OU=exampleOrg,DC=přample,DC=test
Přidáním OID 1.2.840.113556.1.4.1941 do kontroly memberOf ve vyhledávacím filtru služba Active Directory rekurzivně zkontroluje všechny skupiny ve skupině A na zadaného uživatele. Nyní budou zkontrolováni všichni uživatelé ve všech skupinách, které jsou součástí skupiny A, takže se náš uživatel3 ve vnořené skupiněB může přihlásit.
awplus(config-ldap-server)# search-filter memberOf:1.2.840.113556.1.4.1941:=CN=groupA,OU=exampleOrg,DC=přample,DC=test

Monitorování LDAP

Následující část poskytuje některé exampvýstup souboru z příkazu show ldap server group.
Výstup ukazuje, že existují dva servery LDAP: Server_A a Server_B.

Pro Server_A příkaz show určuje, že:

Server_A žije

Server_A je server LDAP
Server_A je součástí správy skupiny serverů
Pro Server_B příkaz show určuje, že:
Server_B není nikdy použit nebo je stav neznámý.

Server_B je server LDAP
Server_B není součástí žádné skupiny serverů

Existuje také druhá skupina serverů 'RandD', která nemá žádné servery LDAP.

Dva další stavy serveru nejsou uvedeny v našem exampvýstupy jsou:

Mrtvý – server je detekován jako mrtvý a nebude používán po dobu nefunkčnosti.

Chyba – server neodpovídá.

Povolení ladění

Protože je LDAP konfigurován pod subsystémem AAA, stávající ladění pro ověřování AAA bude generovat užitečné informace o provozu LDAP.
awplus# debug aaa autentizace
Pro podrobné ladění klienta LDAP s různými možnostmi ladění použijte příkaz:
awplus# ladícího klienta ldap
Pamatujte, že zapnutí veškerého ladění klientů LDAP může ovlivnit výkon systému s velkým množstvím zpráv protokolu.

Dokumenty / zdroje

Allied Telesis Lightweight Directory Access Protocol [pdfUživatelská příručka
Lightweight Directory Access Protocol, Directory, Access Protocol

Reference

Uživatelská příručka

Zavedení