Protocolo de acceso a directorios lixeiro de Allied Telesis
Introdución
O protocolo de acceso ao directorio lixeiro (LDAP) é un protocolo de software usado para xestionar e acceder a varios recursos de TI, por exemplo. aplicacións, servidores, equipos de rede e file servidores. O uso común de LDAP é proporcionar un lugar central para a autenticación, o que significa que almacena nomes de usuario e contrasinais.
Como o nome indica, LDAP é unha versión lixeira do Protocolo de acceso ao directorio (DAP), que forma parte de X.500, un estándar para servizos de directorio nunha rede. LDAP usa directorios para manter a información da organización, a información de persoal e a información de recursos.
Os directorios da rede indican onde se atopa algo na rede. Nas redes TCP/IP, o sistema de nomes de dominio (DNS) é o sistema de directorio usado para relacionar o nome de dominio cun enderezo de rede específico. Non obstante, se non coñece o nome de dominio, LDAP permítelle buscar un individuo sen saber onde se atopa.
Podes usar LDAP para autenticar usuarios que se conectan a redes internas a través de OpenVPN. Aínda que os dispositivos AlliedWare Plus poden usar LDAP e RADIUS de forma intercambiable como protocolo de autenticación, LDAP ten a capacidade de interactuar con servizos de directorio como o Active Directory (AD) de Microsoft. AD é unha das pezas fundamentais dos ambientes de bases de datos de Windows. Almacena información de usuarios e contas e ofrece autorización e autenticación para ordenadores, usuarios e grupos, para facer cumprir as políticas de seguranza nos sistemas operativos Windows.
Esta guía proporciona información para configurar OpenVPN Access Server para autenticarse en Active Directory mediante LDAP
Versión de produtos e software que se aplican a esta guía
Esta guía aplícase aos produtos AlliedWare Plus™ que admiten LDAP, que executan a versión 5.5.2-1 ou posterior.
Para ver se o seu produto é compatible con LDAP, consulte os seguintes documentos:
- Ficha técnica do produto
- Referencia de comandos do produto
Estes documentos están dispoñibles nas ligazóns anteriores na nosa web websitio en alliedtelesis.com.
Os seguintes documentos ofrecen máis información sobre as funcións de autenticación dos produtos AlliedWare Plus:
- a función OpenVPN rematadaview e Guía de configuración
- a AAA e a función de autenticación portuariaview e Guía de configuración
- Referencia de comandos do produto
Estes documentos están dispoñibles nas ligazóns anteriores ou na nosa web websitio en alliedtelesis.com
LDAP rematadoview
O protocolo LDAP comunícase con Active Directory. É esencialmente unha forma de falar con Active Directory e transmitir mensaxes entre AD e outras partes da túa rede.
Como funciona a autenticación LDAP de Active Directory? Basicamente, cómpre configurar LDAP para autenticar as credenciais contra Active Directory. A operación 'BIND' úsase para establecer o estado de autenticación dunha sesión LDAP na que o cliente LDAP se conecta ao servidor.
Na maioría dos casos, este tipo de autenticación simple significa esencialmente que se usan un nome e un contrasinal para crear unha solicitude de vinculación ao servidor para a súa autenticación.
Comunicación básica de paquetes LDAP mediante Telnet
Cando usa Telnet para iniciar sesión nun dispositivo AlliedWare Plus, o proceso básico de autenticación LDAP é o seguinte:
- Telnet inicia unha solicitude de conexión e envía un nome de usuario e un contrasinal ao dispositivo.
- Despois de recibir a solicitude, o dispositivo (actuando como cliente LDAP) establece unha conexión TCP co servidor LDAP.
Para obter o dereito de buscar, o dispositivo utiliza o nome distinguido (DN) e o contrasinal do administrador para enviar unha solicitude de vinculación do administrador ao servidor LDAP. - O servidor LDAP procesa a solicitude. Se a operación de vinculación ten éxito, o servidor LDAP envía un acuse de recibo ao dispositivo.
- O dispositivo envía unha solicitude de busca de DN do usuario co nome de usuario ao servidor LDAP.
- Despois de recibir a solicitude, o servidor LDAP busca o DN do usuario polo DN base, o ámbito de busca e as condicións de filtrado. Se se atopa unha coincidencia, o servidor LDAP envía unha resposta para notificarlle ao dispositivo a busca correcta. É posible que se atopen un ou máis DN de usuario.
- O dispositivo usa o DN de usuario obtido e introduce o contrasinal do usuario como parámetros para enviar unha solicitude de vinculación de DN de usuario ao servidor LDAP, que comproba se o contrasinal de usuario é correcto.
- O servidor LDAP procesa a solicitude e envía unha resposta para notificar ao dispositivo o resultado da operación de vinculación. Se a operación de vinculación falla, o dispositivo utiliza outro DN de usuario obtido como parámetro para enviar unha solicitude de vinculación de DN de usuario ao servidor LDAP. Este proceso continúa ata que un DN se enlaza con éxito ou todos os DN non se enlazan. Se non se enlazan todos os DN do usuario, o dispositivo notificará ao usuario o fallo de inicio de sesión e denegará a solicitude de acceso do usuario.
- O dispositivo e o servidor realizan intercambios de autorización.
- Despois da autorización exitosa, o dispositivo notifica ao usuario o inicio de sesión exitoso.
Limitacións actuais de AlliedWare Plus
- Só se admite un punto de confianza para LDAP seguro.
- A busca recursiva de grupos non está implementada. Non obstante, con Active Directory, é posible establecer un OID específico como parte do filtro de busca que lle indicará que realice unha busca aniñada.
O OID pasa a formar parte da comprobación memberOf:
| memberOf:1.2.840.113556.1.4.1941:= Grupo DN> |
En lugar do habitual:
| memberOf = Grupo DN> |
Hai exampficheiros deste na sección de configuración de busca a continuación, consulte "Configuración da busca" en
Lista de verificación para iniciar sesión nun dispositivo AlliedWare Plus
Antes de configurar LDAP, inicie sesión en un AlliedWare Ademais, o dispositivo utiliza SSH/Telnet e comprobe que as seguintes configuracións son correctas.
Comproba que:
- Está en execución un servidor LDAP.
- Podes acceder ao dispositivo e o dispositivo pode chegar ao servidor LDAP.
- Para o dispositivo:
● SSH ou Telnet está activado
● O servidor LDAP está activado
● O servidor LDAP forma parte da lista de servidores do grupo LDAP AAA
● Engádese un grupo de servidores LDAP ás opcións de autenticación de inicio de sesión AAA
● O grupo de servidores LDAP engádese ás opcións de autenticación de inicio de sesión de liñas vty - Para o servidor LDAP:
● configúranse os seguintes atributos
| Atributo LDAP | Formato | Descrición |
| msRADIUSServiceType | número enteiro | Para iniciar sesión no dispositivo AlliedWare Plus, o usuario debe ter un dos seguintes valores: ■ 6 (Administrativo): o usuario está asignado ao privilexio máximo de usuario, 15, ■ 7 (Indicación NAS): o usuario está asignado ao privilexio mínimo de usuario, 1. Se este atributo non está configurado ou configurado con valores diferentes, o usuario non pode iniciar sesión. |
Acceso á rede a través de OpenVPN
Para permitir que un usuario se conecte a unha rede interna a través de OpenVPN, verifique que:
- Está en execución un servidor LDAP.
- O usuario pode acceder ao dispositivo e o dispositivo pode chegar ao servidor LDAP.
- Para o dispositivo:
● O servidor LDAP está activado
● O servidor LDAP forma parte da lista de servidores do grupo LDAP AAA
● Engádese un grupo de servidores LDAP ás opcións de autenticación OpenVPN AAA
● Está configurado e habilitado un túnel OpenVPN - Para o servidor LDAP:
● Os seguintes atributos de usuario configúranse e pásanse ao cliente OpenVPN:
| Atributo LDAP | Formato | Descrición |
| msRADIUSFramedIPAddress | Número enteiro | Enderezo IP estático do cliente. Este é un número enteiro de 4 bytes. Por exampo "-1062731519" é para "192.168.1.1". |
| msRADIUSFramedRoute | Corda | Rutas IP estáticas para o cliente (permite múltiples entradas). Espérase que a cadea teña o formato do atributo RADIUS "Framed-Route" descrito en RFC2865, (por exemplo, "10.1.1.0 255.255.255.0 192.168.1.1 1") |
| ms-RADIUS-FramedIpv6Prefix | Corda | Prefixo IPv6 estático para o cliente. Espérase que a cadea teña o formato "IPv6Address/PrefixLength", (por exemplo, "2001:1::/64"). |
| ms-RADIUS-FramedIpv6Route | Corda | Rutas IPv6 estáticas para o cliente (permite múltiples entradas). Espérase que a cadea teña o formato do atributo RADIUS "Framed-IPv6-Route" descrito en RFC3162, (por exemplo, "3001:1::/64 2001:1::1 1"). |
Configuración de LDAP
Esta sección describe como configurar LDAP, con algúns dos comandos dispoñibles de AlliedWare Plus:
Configuración do servidor LDAP
Paso 1: Cree un servidor LDAP co nome AD_server
awplus#configure terminal
awplus(config)# ldap-server AD_server
Paso 2: Configure un enderezo IP no servidor LDAP
awplus(config-ldap-server)# host 192.0.2.1
Paso 3: Establece o DN base predeterminado para usar nas buscas
awplus(config-ldap-server)# base-dn dc=foo,dc=bar
Paso 4: Establece o nome distinto co que se vincula ao servidor e as credenciais coas que se vincula
awplus(config-ldap-server)# bind authentication root-dn cn=Administrador, cn=Usuarios,dc=foo,dc=bar contrasinal P@ssw0rd
Configuración AAA
Paso 1: Cree un grupo de servidores LDAP chamado ldapServerGroup
awplus(config)# aaa group server ldap ldapServerGroup
Como alternativa, podes usar o grupo predeterminado "ldap" que contén todos os servidores LDAP .
Paso 2: Engade o servidor LDAP AD_server ao grupo
awplus(config-ldap-group)# servidor AD_server
Paso 3: Cree un método de inicio de sesión AAA usando o grupo de servidores LDAP para a autenticación de inicio de sesión de usuario
awplus(config)# aaa autenticación inicio de sesión grupo ldapLogin ldapServerGroup
Ou use o grupo predeterminado no seu lugar:
awplus(config)# aaa autenticación inicio de sesión ldapLogin grupo ldap
Configuración SSH/Telnet
Paso 1: Activar SSH
awplus(config)# servizo ssh
Asegúrese de que o servidor SSH estea configurado correctamente para que os usuarios inicien sesión.
awplus(config)# ssh server allow-users userA
Paso 2: Autentique as liñas VTY co método de autenticación AAA ldapLogin
awplus(config)# liña vty 0 3
awplus(config-line)# autenticación de inicio de sesión ldapLogin
Configuración de OpenVPN
Paso 1: Activa a autenticación LDAP dos túneles OpenVPN globalmente
De novo, pode usar o grupo LDAP predeterminado ou un grupo LDAP definido polo usuario.
awplus(config)# aaa autenticación openvpn grupo predeterminado ldap
Configuración do modo seguro: LDAPS usando cifrado TLS
LDAP ofrece un modo seguro chamado LDAPS, que usa o protocolo TLS para cifrar todas as comunicacións entre o cliente e o servidor. Para usar LDAP, debes configurar un porto seguro no servidor (o porto predeterminado é 636).
Unha vez que se configure LDAPS no lado do servidor, necesitará unha copia do certificado CA utilizado polo servidor. Primeiro hai que importar este certificado ao dispositivo en forma de punto de confianza seguro. Para obter máis información sobre PKI e trustpoints en AlliedWare Plus, consulte a PKI Feature Overview e Guía de configuración.
Paso 1: cree un novo punto de confianza PKI chamado AD_trustpoint
awplus(config)# crypto pki trustpoint AD_trustpoint
Paso 2: especifique que este punto de confianza utilizará un certificado externo que é copia e
pegado no terminal
awplus(ca-trustpoint)# terminal de inscrición
Paso 3: Volve ao modo EXEC privilexiado
awplus(ca-trustpoint)# fin
Paso 4: importa o certificado externo ao punto de confianza
awplus# crypto pki autenticación AD_trustpoint
O sistema solicitará que se pegue o certificado no terminal, en formato PEM. Copia e pega o certificado.
| Pega o certificado PEM file no terminal. Escribe "abortar" para cancelar. |
Comproba a impresión dixital e a información do emisor e, se todo parece correcto, acepta o certificado.
| O certificado foi validado correctamente. Aceptar este certificado? (i/n): e |
Paso 5: Despois de aceptar o certificado, volva ao terminal de configuración
awplus#configure terminal
Paso 6: Introduza o modo de configuración para o nome do servidor LDAP AD_server
awplus(config)# ldap-server AD_server
Paso 7: Establece o nome de host do servidor LDAP
Para o modo seguro, terás que usar un FQDN como nome de host, e este debe coincidir co nome do certificado de CA que importou antes. O servidor LDAP realizará unha comprobación de nomes para asegurarse de que estes nomes coinciden antes de que se poida iniciar a sesión TLS.
awplus (config-ldap-server) # host example-FQDN.com
Paso 8: Activa LDAPS con TLS
awplus(config-ldap-server)# modo seguro
Paso 9: Engade o punto de confianza do servidor LDAP creado anteriormente
awplus(config-ldap-server)# punto de confianza seguro AD_punto de confianza
Paso 10: Opcionalmente, especifique os cifrados a usar para TLS
awplus (config-ldap-server) # cifrado seguro DHE-DSS-AES256-GCM-SHA384
AES128-GCM-SHA256
Configuración da conexión do servidor
Paso 1: Configuración do tempo de espera
Cando se conecta ao servidor de directorios e se agarda a que se completen as buscas, o tempo máximo de espera é de 50 segundos.
awplus(config-ldap-server)# tempo de espera 50
Paso 2: Reintentos
Cando se conecte a servidores activos, intente 5 reintentos como máximo. awplus(config-ldap-server)# retransmitir 5
Paso 3: Tempo morto
O dispositivo non enviará ningunha solicitude ao servidor durante 5 minutos se non respondeu a unha solicitude anterior.
awplus (config-ldap-server) # tempo morto 5
Configuración de busca
Paso 1: Configuración do grupo DN
Para que a autenticación do usuario teña éxito, o usuario debe pertencer ao grupo co Distinguido
Cadea de nome (DN): cn=Usuarios,dc=test. Por defecto determinará isto comprobando o atributo uniquemember do grupo, para ver se contén a cadea DN dos usuarios.
awplus(config-ldap-server)# group-dn cn=Usuarios,dc=test
Paso 2: Configuración de membros de atributos de grupo de Active Directory
Para o Active Directory, quererá comprobar o atributo de membro do grupo, que se pode configurar coa CLI do atributo de grupo. awplus(config-ldap-server)# membro do atributo do grupo
Con esas dúas opcións configuradas, unha busca probaría a pertenza dun usuario ao grupo cn=Users,dc=test comprobando o atributo de membro para o DN do usuario. Isto é útil cando un servidor LDAP proporciona información de autenticación a un grupo de clientes, pero o dispositivo só debe autorizar a un grupo de usuarios.
Paso 3: Configuración do nome de usuario de inicio de sesión
O nome de inicio de sesión pertencerá ao atributo "nome de usuario". Para que a autenticación do usuario teña éxito, o directorio debe ter unha entrada con username=, p. nome de usuario=jdoe.
awplus(config-ldap-server)# nome de usuario do atributo do grupo
Paso 4: busca a configuración do filtro
Ao recuperar información do usuario, a clase de obxecto dos usuarios debe conter, por exemploample, 'testAccount' para que a autenticación do usuario teña éxito. A opción de filtro de busca é altamente personalizable e pódese usar para comprobar calquera atributo. Ademais, pódense usar operadores booleanos para mellorar aínda máis os detalles específicos da busca.
awplus(config-ldap-server)# search-filter objectclass=testAccount
Examples:
- Isto comprobaría que a clase de obxectos dos usuarios é testAccount OU organizationalRole
awplus (config-ldap-server) # filtro de busca
(objectclass=testAccount)(objectclass=organizationalRole) - Isto comprobaría quen sexa usuario E NON un ordenador
awplus(config-ldap-server)# filtro de busca &(objectclass=usuario)(!(objectClass=ordenador)
Como realizar unha busca aniñada en Active Directory
Considere o seguinte exampLe:
- Sen unha busca aniñada: usando este filtro de busca a continuación, calquera dos usuarios do grupo A poderá iniciar sesión correctamente, pero o usuario3 do grupo B fallará.
awplus(config-ldap-server)# search-filter memberOf=CN=groupA,OU=exampleOrg,DC=example,DC=proba - Ao engadir o OID 1.2.840.113556.1.4.1941 á verificación memberOf no filtro de busca, Active Directory comprobará recursivamente todos os grupos do grupo A para o usuario especificado. Agora comprobarase calquera usuario dentro de calquera grupo que forme parte do grupo A, polo que o noso usuario3 do grupo B aniñado pode iniciar sesión.
awplus(config-ldap-server)# search-filter memberOf:1.2.840.113556.1.4.1941:=CN=groupA,OU=exampleOrg,DC=example,DC=proba
Monitorización LDAP
A seguinte sección ofrece algúns exampsaída do ficheiro do comando show ldap server group.
A saída mostra que hai dous servidores LDAP: Server_A e Server_B.
Para Server_A, o comando show especifica que:
- Server_A está vivo
- Server_A é un servidor LDAP
- Server_A forma parte do grupo de servidores Xestión
Para Server_B, o comando show especifica que: - Server_B nunca se usa ou o estado é descoñecido.
- Server_B é un servidor LDAP
- Server_B non forma parte de ningún grupo de servidores
Tamén hai un segundo grupo de servidores "RandD" que non ten ningún servidor LDAP.
Os outros dous estados de estado do servidor non se mostran no noso exampa saída do ficheiro son:
- Morto: o servidor detéctase como morto e non se utilizará durante o período de tempo morto.
- Erro: o servidor non responde.
Activando a depuración
Como LDAP está configurado no subsistema AAA, a depuración existente para a autenticación AAA xerará información útil sobre o funcionamento de LDAP.
awplus# depurar aaa autenticación
Para unha depuración detallada do cliente LDAP, con varias opcións de depuración, use o comando:
awplus# depurar o cliente ldap
Teña en conta que activar toda a depuración do cliente LDAP pode afectar o rendemento do sistema cunha gran cantidade de mensaxes de rexistro.
Sede Norteamérica | 19800 North Creek Parkway | Suite 100 | Bothell | WA 98011 | EUA |T: +1 800 424 4284 | Teléfono: +1 425 481 3895
Sede Asia-Pacífico | 11 Ligazón Tai Seng | Singapur | 534182 | Teléfono: +65 6383 3832 | Teléfono: +65 6383 3830
Operacións EMEA e CSA | Incheonweg 7 | 1437 EK Rozenburg | Países Baixos | Teléfono: +31 20 7950020 | Teléfono: +31 20 7950021
Documentos/Recursos
 |
Protocolo de acceso a directorios lixeiro de Allied Telesis [pdfGuía do usuario Protocolo lixeiro de acceso ao directorio, directorio, protocolo de acceso |
