Allied Telesis Lightweight Directory Access Protocol

Kontni kache
1 Entwodiksyon
1.1 Pwodwi ak vèsyon lojisyèl ki aplike nan gid sa a
1.2 Dokiman ki gen rapò
2 LDAP finiview
2.1 Pake kominikasyon LDAP debaz lè l sèvi avèk Telnet
3 Tcheke lis pou konekte ak yon aparèy AlliedWare Plus
3.1 Aksè rezo atravè OpenVPN
4 Konfigirasyon LDAP
4.1 Konfigirasyon sèvè LDAP
4.2 AAA konfigirasyon
4.3 SSH/Telnet konfigirasyon
4.4 Konfigirasyon OpenVPN
5 Konfigirasyon mòd sekirite - LDAPS lè l sèvi avèk chifreman TLS
6 Konfigirasyon koneksyon sèvè
7 Search konfigirasyon
7.1 Ki jan yo fè yon rechèch enbrike sou Active Directory
8 Siveyans LDAP
8.1 Pèmèt debug
9 Dokiman / Resous
9.1 Referans
10 Post ki gen rapò

Entwodiksyon

Pwotokòl Aksè Anyè Lejè (LDAP) se yon pwotokòl lojisyèl ki itilize pou jere ak jwenn aksè nan divès resous IT tankou aplikasyon, sèvè, ekipman rezo, ak file sèvè yo. Itilizasyon komen nan LDAP se bay yon plas santral pou otantifikasyon, sa vle di li estoke non itilizatè ak modpas.

Kòm non an sijere LDAP se yon vèsyon ki lejè nan Directory Access Protocol (DAP), ki se yon pati nan X.500, yon estanda pou sèvis anyè nan yon rezo. LDAP itilize anyè pou kenbe enfòmasyon òganizasyon an, enfòmasyon pèsonèl, ak enfòmasyon sou resous yo.

Anyè rezo di w ki kote yon bagay ye nan rezo a. Sou rezo TCP/IP, sistèm non domèn (DNS) se sistèm anyè ki itilize pou asosye non domèn ak yon adrès rezo espesifik. Sepandan, si ou pa konnen non domèn, LDAP pèmèt ou fè rechèch pou yon moun san yo pa konnen ki kote yo ye.

Ou ka itilize LDAP pou otantifye itilizatè ki konekte nan rezo entèn yo sou OpenVPN. Malgre ke aparèy AlliedWare Plus yo ka itilize tou de LDAP ak RADIUS kòm yon pwotokòl otantifikasyon, LDAP gen kapasite pou kominike avèk sèvis anyè tankou Microsoft's Active Directory (AD). AD se youn nan debaz yo nan anviwònman baz done Windows. Li estoke enfòmasyon sou itilizatè ak kont, epi li bay otorizasyon ak otantifikasyon pou òdinatè, itilizatè yo ak gwoup, pou aplike règleman sekirite atravè sistèm operasyon Windows yo.

Gid sa a bay enfòmasyon pou konfigirasyon OpenVPN Access Server pou otantifye kont Active Directory lè l sèvi avèk LDAP

Pwodwi ak vèsyon lojisyèl ki aplike nan gid sa a

Gid sa a aplike a pwodwi AlliedWare Plus™ ki sipòte LDAP, ki kouri vèsyon 5.5.2-1 oswa pita.

Pou wè si pwodwi ou a sipòte LDAP, gade dokiman sa yo:

  • Fichye done pwodwi a
  • Referans kòmand pwodwi a

Dokiman sa yo disponib nan lyen ki anwo yo sou nou an websit nan alliedtelesis.com.

Dokiman ki gen rapò

Dokiman sa yo bay plis enfòmasyon sou karakteristik otantifikasyon sou pwodwi AlliedWare Plus:

  • OpenVPN Feature Overview ak Gid Konfigirasyon
  • AAA ak Port Otantifikasyon Feature Overview ak Gid Konfigirasyon
  • Referans kòmand pwodwi a

Dokiman sa yo disponib nan lyen ki anwo yo oswa sou lyen nou an websit nan alliedtelesis.com

LDAP finiview

Pwotokòl LDAP kominike ak Active Directory. Se esansyèlman yon fason pou pale ak Active Directory epi transmèt mesaj ant AD ak lòt pati nan rezo w la.

Ki jan otantifikasyon LDAP Active Directory travay? Fondamantalman, ou bezwen mete kanpe LDAP pou otantifye kalifikasyon kont Active Directory. Yo itilize operasyon 'BIND' pou mete eta otantifikasyon an pou yon sesyon LDAP kote kliyan LDAP la konekte ak sèvè a.

Nan pifò ka yo, sa a ki kalite otantifikasyon senp esansyèlman vle di yon non ak modpas yo itilize pou kreye yon demann lyen nan sèvè a pou otantifikasyon.

Pake kominikasyon LDAP debaz lè l sèvi avèk Telnet

Lè ou itilize Telnet pou konekte ak yon aparèy AlliedWare Plus, pwosesis otantifikasyon LDAP debaz la se jan sa a:

  1. Telnet inisye yon demann koneksyon epi voye yon non itilizatè ak modpas nan aparèy la.
  2. Apre li fin resevwa demann lan, aparèy la (ki aji kòm kliyan LDAP), etabli yon koneksyon TCP ak sèvè LDAP la.
    Pou jwenn dwa pou fè rechèch, aparèy la sèvi ak non administratè distenge (DN) ak modpas pou voye yon demann administratè a bay sèvè LDAP la.
  3. Sèvè LDAP trete demann lan. Si operasyon lyen an reyisi, sèvè LDAP voye yon rekonesans bay aparèy la.
  4. Aparèy la voye yon demann rechèch DN itilizatè ak non itilizatè a sou sèvè LDAP la.
  5. Apre li fin resevwa demann lan, sèvè LDAP la chèche DN itilizatè a dapre DN de baz, sijè ki abòde rechèch la, ak kondisyon filtraj yo. Si yo jwenn yon match, sèvè LDAP voye yon repons pou notifye aparèy la sou rechèch la ki gen siksè. Ka gen youn oswa plizyè DN itilizatè yo jwenn.
  6. Aparèy la sèvi ak DN itilizatè a jwenn epi antre modpas itilizatè a kòm paramèt pou voye yon demann DN itilizatè a bay sèvè LDAP a, ki tcheke si modpas itilizatè a kòrèk.
  7. Sèvè LDAP a trete demann lan, epi li voye yon repons pou notifye aparèy la rezilta operasyon lye a. Si operasyon lyezon an echwe, aparèy la sèvi ak yon lòt DN itilizatè yo jwenn kòm paramèt pou voye yon demann DN itilizatè bay sèvè LDAP la. Pwosesis sa a ap kontinye jiskaske yon DN mare avèk siksè oswa tout DN yo echwe pou yo mare. Si tout DN itilizatè yo echwe pou yo mare, aparèy la notifye itilizatè a sou echèk koneksyon an epi li refize demann aksè itilizatè a.
  8. Aparèy la ak sèvè fè echanj otorizasyon.
  9. Apre otorizasyon siksè, aparèy la notifye itilizatè a sou koneksyon an siksè.

Aktyèl limit AlliedWare Plus

  • Yon sèl trustpoint sipòte pou LDAP an sekirite.
  • Rechèch gwoup rekursif pa aplike. Sepandan, ak Active Directory, li posib pou mete yon OID espesifik kòm yon pati nan filtè rechèch la ki pral enstwi li fè yon rechèch enbrike.

OID a vin yon pati nan chèk manm nan:

memberOf:1.2.840.113556.1.4.1941:= Gwoup DN>

Olye ke nòmal la:

memberOf = Gwoup DN>

Gen ansyenamples sa a nan seksyon konfigirasyon rechèch ki anba a, gade "Search configuration" sou

Tcheke lis pou konekte ak yon aparèy AlliedWare Plus

Anvan ou konfigirasyon LDAP, konekte nan yon AlliedWare Plis aparèy ki itilize SSH/Telnet, epi tcheke konfigirasyon sa yo kòrèk.

Tcheke sa:

  1. Yon sèvè LDAP ap kouri.
  2. Ou kapab rive jwenn aparèy la, epi aparèy la ka rive jwenn sèvè LDAP la.
  3. Pou aparèy la:
    ● SSH oswa Telnet aktive
    ● Sèvè LDAP aktive
    ● Sèvè LDAP se yon pati nan lis sèvè gwoup LDAP AAA
    ● Yo ajoute gwoup sèvè LDAP nan opsyon otantifikasyon koneksyon AAA yo
    ● Se gwoup sèvè LDAP ajoute nan opsyon otantifikasyon yo konekte liy vty
  4. Pou sèvè LDAP:
    ● atribi sa yo configuré
Atribi LDAP Fòma Deskripsyon
msRADIUSServiceType nteger Pou konekte ak aparèy AlliedWare Plus la, itilizatè a dwe genyen youn nan valè sa yo:
■ 6 (Administratif): itilizatè a trase ak privilèj maksimòm itilizatè a, 15,
■ 7 (NAS Prompt): itilizatè a trase sou privilèj itilizatè a minimòm, 1. Si atribi sa a pa configuré oswa konfigirasyon ak diferan valè, itilizatè a pa gen dwa konekte.
Aksè rezo atravè OpenVPN

Pou pèmèt yon itilizatè konekte nan yon rezo entèn atravè OpenVPN, tcheke sa:

  1. Yon sèvè LDAP ap kouri.
  2. Itilizatè a kapab rive jwenn aparèy la, epi aparèy la ka rive jwenn sèvè LDAP la.
  3. Pou aparèy la:
    ● Sèvè LDAP aktive
    ● Sèvè LDAP se yon pati nan lis sèvè gwoup LDAP AAA
    ● Yo ajoute gwoup sèvè LDAP nan opsyon otantifikasyon OpenVPN AAA yo
    ● Yon tinèl OpenVPN configuré ak pèmèt
  4. Pou sèvè LDAP:
    ● atribi itilizatè sa yo konfigirasyon epi yo pase nan kliyan OpenVPN la:
Atribi LDAP Fòma Deskripsyon
msRADIUSFramedIPAddress Nonb antye relatif Adrès IP estatik kliyan an. Sa a se nonb antye relatif 4-byte. Pou egzanpample "-1062731519" se pou "192.168.1.1".
msRADIUSFramedRoute Fisèl Wout IP estatik pou kliyan an (pèmèt plizyè antre). Yo espere fisèl la nan fòma atribi RADIUS "Framed-Route" ki dekri nan RFC2865, (egzanp "10.1.1.0 255.255.255.0 192.168.1.1 1").
ms-RADIUS-FramedIpv6Prefix Fisèl Estatik IPv6 prefiks pou kliyan an. Yo espere fisèl la nan fòma "IPv6Address/PrefixLength", (egzanp "2001:1::/64").
ms-RADIUS-FramedIpv6Route Fisèl Wout estatik IPv6 pou kliyan an (pèmèt plizyè antre). Yo espere fisèl la nan fòma atribi RADIUS "Framed-IPv6-Route" ki dekri nan RFC3162, (egzanp "3001:1::/64 2001:1::1 1").

Konfigirasyon LDAP

Seksyon sa a dekri kijan pou konfigirasyon LDAP, ak kèk nan kòmandman AlliedWare Plus ki disponib:

Konfigirasyon sèvè LDAP

Etap 1: Kreye yon sèvè LDAP ak non AD_server
awplus#configure tèminal
awplus(config)# ldap-server AD_server
Etap 2: Konfigure yon adrès IP sou sèvè LDAP la
awplus(config-ldap-server)# host 192.0.2.1
Etap 3: Mete DN de baz defo pou itilize pou rechèch
awplus(config-ldap-server)# baz-dn dc=foo,dc=bar
Etap 4: Mete non distenge ak ki pou mare nan sèvè a ak kalifikasyon yo ak ki pou mare
awplus(config-ldap-server)# bind otantifikasyon root-dn cn=Administratè, cn=Itilizatè,dc=foo,dc=bar modpas P@ssw0rd

AAA konfigirasyon

Etap 1: Kreye yon gwoup sèvè LDAP ki rele ldapServerGroup
awplus(config)# aaa gwoup sèvè ldap ldapServerGroup
Altènativman, ou ka itilize gwoup default 'ldap' ki gen tout sèvè LDAP.
Etap 2: Ajoute sèvè LDAP AD_server nan gwoup la
awplus(config-ldap-group)# sèvè AD_server
Etap 3: Kreye yon metòd konekte AAA lè l sèvi avèk gwoup sèvè LDAP pou otantifikasyon itilizatè
awplus(config)# aaa otantifikasyon konekte gwoup ldapLogin ldapServerGroup
Oswa itilize gwoup default la pito:
awplus(config)# aaa otantifikasyon login ldapLogin gwoup ldap

SSH/Telnet konfigirasyon

Etap 1: Pèmèt SSH
awplus(config)# sèvis ssh
Asire w ke sèvè SSH la byen configuré pou itilizatè yo konekte.
awplus(config)# ssh sèvè pèmèt-itilizatè itilizatèA
Etap 2: Otantifye liy VTY ak metòd otantifikasyon AAA ldapLogin
awplus(config)# liy vty 0 3
awplus(config-line)# login otantifikasyon ldapLogin

Konfigirasyon OpenVPN

Etap 1: Pèmèt otantifikasyon LDAP nan tinèl OpenVPN globalman
Ankò, ou ka swa itilize gwoup LDAP default oswa yon gwoup LDAP itilizatè defini.
awplus (config) # aaa otantifikasyon openvpn gwoup default ldap

Konfigirasyon mòd sekirite - LDAPS lè l sèvi avèk chifreman TLS

LDAP ofri yon mòd an sekirite ki rele LDAPS, ki itilize pwotokòl TLS pou ankripte tout kominikasyon ant kliyan an ak sèvè a. Pou itilize LDAP, ou dwe configured yon pò an sekirite sou sèvè a (pò default la se 636).

Yon fwa LDAPS te configuré sou bò sèvè a, w ap bezwen yon kopi sètifika CA sèvè a itilize. Premyèman, sètifika sa a bezwen enpòte sou aparèy la nan fòm yon trustpoint an sekirite. Pou plis enfòmasyon sou PKI ak trustpoints sou AlliedWare Plus, gade PKI Feature Overview ak Gid Konfigirasyon.

Etap 1: Kreye yon nouvo PKI trustpoint ki rele AD_trustpoint
awplus(config)# crypto pki trustpoint AD_trustpoint
Etap 2: Espesifye ke trustpoint sa a pral sèvi ak yon sètifika ekstèn ki se kopi ak
kole nan tèminal la
awplus(ca-trustpoint)# tèminal enskripsyon
Etap 3: Retounen nan mòd EXEC privilejye
awplus(ca-trustpoint)# fen
Etap 4: Enpòte sètifika ekstèn nan trustpoint la
awplus# crypto pki otantifikasyon AD_trustpoint

Sistèm nan pral mande pou sètifika a dwe kole nan tèminal la, nan fòma PEM. Kopi epi kole sètifika a.

Kole sètifika PEM la file nan tèminal la.
Tape "avòte" pou anile.

Tcheke anprent ak enfòmasyon sou konpayi an, epi si tout bagay sanble kòrèk, aksepte sètifika a.

Sètifika a te valide avèk siksè.
Aksepte sètifika sa a? (ou/non): y

Etap 5: Apre w fin aksepte sètifika a, retounen nan tèminal konfigirasyon an
awplus#configure tèminal
Etap 6: Antre nan mòd konfigirasyon pou non sèvè LDAP AD_server
awplus(config)# ldap-server AD_server
Etap 7: Mete non host sèvè LDAP la
Pou Mode Secure, w ap bezwen sèvi ak yon FQDN kòm non host la, epi sa a dwe matche ak non ki sou sètifika CA ou te enpòte anvan an. Sèvè LDAP a pral fè yon chèk non pou asire non sa yo matche, anvan sesyon TLS la ka kòmanse.
awplus(config-ldap-server)# host example-FQDN.com
Etap 8: Pèmèt LDAPS ak TLS
awplus(config-ldap-server)# mòd sekirite
Etap 9: Ajoute trustpoint sèvè LDAP ki te kreye pi wo a
awplus(config-ldap-server)# secure trustpoint AD_trustpoint
Etap 10: Si ou vle, presize chifreman yo itilize pou TLS
awplus (config-ldap-server) # chifreman an sekirite DHE-DSS-AES256-GCM-SHA384
AES128-GCM-SHA256

Konfigirasyon koneksyon sèvè

Etap 1: Anviwònman delè
Lè w konekte ak sèvè anyè a epi lè w ap tann pou rechèch yo fini, tan an ap tann maksimòm se 50 segonn.
awplus(config-ldap-server)# timeout 50
Etap 2: Eseye
Lè w konekte ak sèvè aktif yo, eseye 5 reesye maksimòm. awplus(config-ldap-server)# retransmèt 5
Etap 3: Deadtime
Aparèy la pa pral voye okenn demann bay sèvè a pou 5 minit si li te echwe pou pou reponn a yon demann anvan.
awplus(config-ldap-server)# deadtime 5

Search konfigirasyon

Etap 1: Gwoup DN paramèt
Pou otantifikasyon itilizatè a reyisi, itilizatè a dwe fè pati gwoup ki gen Distenge a
Non (DN) fisèl: cn = Itilizatè, dc = tès. Pa default li pral detèmine sa a pa tcheke atribi uniquemember nan gwoup la, yo wè si li gen itilizatè yo DN fisèl.
awplus(config-ldap-server)# group-dn cn=Itilizatè,dc=tès
Etap 2: Anyè aktif gwoup-atribi manm anviwònman
Pou anyè aktif, ou pral pito vle tcheke nan atribi manm nan gwoup la, ki ka configuré ak gwoup-atribi CLI a. awplus(config-ldap-server)# manm gwoup-atribi
Avèk de opsyon sa yo configuré, yon rechèch ta teste manm yon itilizatè nan gwoup cn = Itilizatè, dc = tès lè w tcheke atribi manm pou DN itilizatè a. Sa a itil lè yon sèvè LDAP bay enfòmasyon otantifikasyon bay yon gwoup kliyan, men aparèy la ta dwe otorize sèlman sou yon gwoup itilizatè.
Etap 3: Anviwònman non itilizatè konekte
Non login la pral fè pati atribi 'username'. Pou otantifikasyon itilizatè a gen siksè, anyè a dwe gen yon antre ak username=, pa egzanp username=jdoe.
awplus(config-ldap-server)# non itilizatè gwoup-atribi
Etap 4: Rechèch anviwònman filtre
Lè w ap rekipere enfòmasyon itilizatè yo, klas objè itilizatè yo dwe genyen, pa egzanpample, 'testAccount' pou otantifikasyon itilizatè a gen siksè. Opsyon rechèch-filtre a trè customizable, epi yo ka itilize pou tcheke nenpòt atribi. Anplis de sa, operatè boolean yo ka itilize pou plis amelyore spesifik rechèch la.
awplus(config-ldap-server)# search-filter objectclass=testAccount

Examples:

  •  Sa a ta tcheke si klas objè itilizatè yo se testAccount OSWA wòl òganizasyonèl
    awplus(config-ldap-server)# rechèch-filtre
    (objectclass=testAccount)(objectclass=ròl òganizasyon)
  • Sa a ta tcheke nenpòt moun ki se yon itilizatè AK PA yon òdinatè
    awplus(config-ldap-server)# search-filter &(objectclass=itilizatè)(!(objectClass=òdinatè)
Ki jan yo fè yon rechèch enbrike sou Active Directory

Konsidere egzanp sa aample:

  • San yo pa yon rechèch anbrike - lè l sèvi avèk rechèch-filtre sa a ki anba a, nenpòt nan itilizatè yo nan groupA yo pral kapab konekte avèk siksè, men itilizatè3 nan groupB ap echwe.
    awplus(config-ldap-server)# search-filter memberOf=CN=groupA,OU=ansyenampleOrg,DC=egample,DC=tès
  • Lè w ajoute OID 1.2.840.113556.1.4.1941 nan chèk memberOf nan filtè rechèch la, Active Directory ap tcheke tout gwoup ki nan groupA pou itilizatè a espesifye. Koulye a, nenpòt itilizatè ki nan nenpòt gwoup ki fè pati groupA yo pral tcheke, kidonk itilizatè nou an3 nan gwoup B nan enbrike ka konekte.
    awplus(config-ldap-server)# search-filter memberOf:1.2.840.113556.1.4.1941:=CN=groupA,OU=exampleOrg,DC=egample,DC=tès

Siveyans LDAP

Seksyon sa a bay kèk egzanpample pwodiksyon soti nan gwoup la sèvè ldap montre lòd.
Pwodiksyon an montre ke gen de sèvè LDAP: Server_A ak Server_B.

Pou Server_A, lòd show a espesifye ke:

  • Server_A vivan
  • Server_A se yon sèvè LDAP
  • Server_A fè pati Jesyon gwoup sèvè
    Pou Server_B, lòd show a espesifye ke:
  • Server_B pa janm itilize oswa eta a se enkoni.
  • Server_B se yon sèvè LDAP
  • Server_B pa fè pati okenn gwoup sèvè

Genyen tou yon dezyèm gwoup sèvè 'RandD' ki pa gen okenn serveurs LDAP.

De lòt eta sèvè estati yo pa montre nan ansyen nou anamppwodiksyon yo se:

  • Mouri - se sèvè a detekte kòm mouri epi li pa pral itilize pou peryòd deadtime.
  • Erè - Sèvè a pa reponn.
Pèmèt debug

Kòm LDAP configuré anba subsistèm AAA, debogaj ki egziste deja pou otantifikasyon AAA pral jenere enfòmasyon itil sou operasyon LDAP.
awplus# debug aaa otantifikasyon
Pou debogaj detaye kliyan LDAP, ak divès opsyon debogaj, sèvi ak lòd la:
awplus# debug kliyan ldap
Remake byen ke vire sou tout debogaj kliyan LDAP ka afekte pèfòmans sistèm nan ak yon gwo kantite mesaj boutèy demi lit.

Katye Jeneral Amerik di Nò | 19800 North Creek Parkway | Suite 100 | Bothell | WA 98011 | USA |T: +1 800 424 4284 | F: +1 425 481 3895
Katye Jeneral Azi Pasifik la | 11 Tai Seng Link | Singapore | 534182 | T: +65 6383 3832 | F: +65 6383 3830
Operasyon EMEA & CSA | Incheonweg 7 | 1437 EK Rozenburg | Netherlands | T: +31 20 7950020 | F: +31 20 7950021

Dokiman / Resous

Allied Telesis Lightweight Directory Access Protocol [pdfGid Itilizatè
Pwotokòl Aksè Anyè ki lejè, Anyè, Pwotokòl Aksè

Referans

Post ki gen rapò

Kite yon kòmantè

Adrès imel ou p ap pibliye. Jaden obligatwa yo make *