Protokolli i hyrjes në drejtorinë e lehtë të Telesis Telesis Allied
Hyrje
Lightweight Directory Access Protocol (LDAP) është një protokoll softuerësh që përdoret për të menaxhuar dhe aksesuar burime të ndryshme të TI-së, p.sh. aplikacione, serverë, pajisje rrjeti, dhe file serverët. Përdorimi i zakonshëm i LDAP është të sigurojë një vend qendror për vërtetimin, që do të thotë se ruan emrat e përdoruesve dhe fjalëkalimet.
Siç sugjeron emri, LDAP është një version i lehtë i Protokollit të Qasjes në Drejtori (DAP), i cili është pjesë e X.500, një standard për shërbimet e drejtorive në një rrjet. LDAP përdor drejtoritë për të ruajtur informacionin e organizatës, informacionin e personelit dhe informacionin e burimeve.
Drejtoritë e rrjetit ju tregojnë se ku ndodhet diçka në rrjet. Në rrjetet TCP/IP, sistemi i emrave të domenit (DNS) është sistemi i drejtorive që përdoret për të lidhur emrin e domenit me një adresë të caktuar rrjeti. Megjithatë, nëse nuk e dini emrin e domenit, LDAP ju lejon të kërkoni për një individ pa e ditur se ku ndodhet.
Ju mund të përdorni LDAP për të vërtetuar përdoruesit që lidhen me rrjetet e brendshme përmes OpenVPN. Edhe pse pajisjet AlliedWare Plus mund të përdorin të dyja LDAP dhe RADIUS në mënyrë të ndërsjellë si një protokoll vërtetimi, LDAP ka aftësinë të ndërveprojë me shërbimet e direktoriumit si Active Directory (AD) të Microsoft. AD është një nga pjesët thelbësore të mjediseve të bazës së të dhënave të Windows. Ai ruan informacionin e përdoruesve dhe të llogarisë, dhe siguron autorizim dhe vërtetim për kompjuterët, përdoruesit dhe grupet, për të zbatuar politikat e sigurisë nëpër sistemet operative Windows.
Ky udhëzues ofron informacion për konfigurimin e OpenVPN Access Server për të vërtetuar kundër Active Directory duke përdorur LDAP
Produktet dhe versioni i softuerit që zbatohen për këtë udhëzues
Ky udhëzues zbatohet për produktet AlliedWare Plus™ që mbështesin LDAP, me versionin 5.5.2-1 ose më të ri.
Për të parë nëse produkti juaj mbështet LDAP, shihni dokumentet e mëposhtme:
- Fleta e të dhënave të produktit
- Referenca e komandës së produktit
Këto dokumente janë në dispozicion nga lidhjet e mësipërme në faqen tonë webfaqe në alliedtelesis.com.
Dokumentet e mëposhtme japin më shumë informacion rreth veçorive të vërtetimit në produktet AlliedWare Plus:
- Përfundoi veçoria OpenVPNview dhe Udhëzuesi i konfigurimit
- Përfundoi veçoria AAA dhe Autentifikimi i Portitview dhe Udhëzuesi i konfigurimit
- Referenca e komandës së produktit
Këto dokumente janë në dispozicion nga lidhjet e mësipërme ose në faqen tonë webfaqe në alliedtelesis.com
LDAP mbaroiview
Protokolli LDAP komunikon me Active Directory. Është në thelb një mënyrë për të folur me Active Directory dhe për të transmetuar mesazhe midis AD dhe pjesëve të tjera të rrjetit tuaj.
Si funksionon vërtetimi LDAP i Active Directory? Në thelb, ju duhet të konfiguroni LDAP për të vërtetuar kredencialet kundër Active Directory. Operacioni 'BIND' përdoret për të vendosur gjendjen e vërtetimit për një sesion LDAP në të cilin klienti LDAP lidhet me serverin.
Në shumicën e rasteve, ky lloj vërtetimi i thjeshtë në thelb do të thotë që një emër dhe fjalëkalim përdoren për të krijuar një kërkesë bind për serverin për vërtetim.
Komunikimi bazë i paketave LDAP duke përdorur Telnet
Kur përdorni Telnet për t'u identifikuar në një pajisje AlliedWare Plus, procesi bazë i vërtetimit LDAP është si më poshtë:
- Telnet fillon një kërkesë për lidhje dhe dërgon një emër përdoruesi dhe fjalëkalim në pajisje.
- Pas marrjes së kërkesës, pajisja (duke vepruar si klient LDAP), krijon një lidhje TCP me serverin LDAP.
Për të marrë të drejtën e kërkimit, pajisja përdor emrin e dalluar të administratorit (DN) dhe fjalëkalimin për të dërguar një kërkesë për lidhje administratori te serveri LDAP. - Serveri LDAP përpunon kërkesën. Nëse operacioni i lidhjes është i suksesshëm, serveri LDAP dërgon një konfirmim në pajisje.
- Pajisja dërgon një kërkesë kërkimi DN të përdoruesit me emrin e përdoruesit te serveri LDAP.
- Pas marrjes së kërkesës, serveri LDAP kërkon për përdoruesin DN sipas bazës DN, fushës së kërkimit dhe kushteve të filtrimit. Nëse gjendet një përputhje, serveri LDAP dërgon një përgjigje për të njoftuar pajisjen për kërkimin e suksesshëm. Mund të gjenden një ose më shumë DN të përdoruesve.
- Pajisja përdor DN-në e marrë të përdoruesit dhe fut fjalëkalimin e përdoruesit si parametra për të dërguar një kërkesë për lidhjen DN të përdoruesit te serveri LDAP, i cili kontrollon nëse fjalëkalimi i përdoruesit është i saktë.
- Serveri LDAP përpunon kërkesën dhe dërgon një përgjigje për të njoftuar pajisjen për rezultatin e operacionit të lidhjes. Nëse operacioni i lidhjes dështon, pajisja përdor një përdorues tjetër DN të marrë si parametër për të dërguar një kërkesë për lidhjen DN të përdoruesit te serveri LDAP. Ky proces vazhdon derisa një DN të lidhet me sukses ose të gjitha DN-të nuk arrijnë të lidhen. Nëse të gjitha DN-të e përdoruesve nuk arrijnë të lidhen, pajisja njofton përdoruesin për dështimin e hyrjes dhe refuzon kërkesën e përdoruesit për akses.
- Pajisja dhe serveri kryejnë shkëmbime autorizimi.
- Pas autorizimit të suksesshëm, pajisja njofton përdoruesin për hyrjen e suksesshme.
Kufizimet aktuale të AlliedWare Plus
- Vetëm një pikë besimi mbështetet për LDAP të sigurt.
- Kërkimi i grupeve rekursive nuk zbatohet. Megjithatë, me Active Directory, është e mundur të vendosni një OID të veçantë si pjesë e filtrit të kërkimit që do ta udhëzojë atë të kryejë një kërkim të ndërlidhur.
OID bëhet pjesë e çekut të anëtarit:
| MemberOf:1.2.840.113556.1.4.1941:= Grupi DN> |
Në vend se zakonisht:
| anëtarOf = Grupi DN> |
Ka ishampPër më tepër në seksionin e konfigurimit të kërkimit më poshtë, shihni "Konfigurimi i kërkimit" në
Kontrolloni listën për hyrjen në një pajisje AlliedWare Plus
Përpara se të konfiguroni LDAP, identifikohuni në një AlliedWare Pajisja Plus duke përdorur SSH/Telnet dhe kontrolloni se konfigurimet e mëposhtme janë të sakta.
Kontrolloni që:
- Një server LDAP po funksionon.
- Ju mund të arrini pajisjen dhe pajisja mund të arrijë te serveri LDAP.
- Për pajisjen:
● SSH ose Telnet është i aktivizuar
● Serveri LDAP është i aktivizuar
● Serveri LDAP është pjesë e listës së serverëve të grupit AAA LDAP
● Grupi i serverit LDAP shtohet në opsionet e vërtetimit të identifikimit AAA
● Grupi i serverëve LDAP shtohet në opsionet e vërtetimit të identifikimit të linjave vty - Për serverin LDAP:
● janë konfiguruar atributet e mëposhtme
| Atributi LDAP | Formati | Përshkrimi |
| msRADIUSServiceLloji | nteger | Për t'u identifikuar në pajisjen AlliedWare Plus, përdoruesi duhet të ketë një nga vlerat e mëposhtme: ■ 6 (Administrativ): përdoruesi është përcaktuar me privilegjin maksimal të përdoruesit, 15, ■ 7 (NAS Prompt): përdoruesi është përcaktuar me privilegjin minimal të përdoruesit, 1. Nëse ky atribut nuk është konfiguruar ose konfiguruar me vlera të ndryshme, përdoruesi nuk lejohet të identifikohet. |
Qasja në rrjet përmes OpenVPN
Për të mundësuar një përdorues të lidhet me një rrjet të brendshëm përmes OpenVPN, kontrolloni që:
- Një server LDAP po funksionon.
- Përdoruesi është në gjendje të arrijë pajisjen dhe pajisja mund të arrijë te serveri LDAP.
- Për pajisjen:
● Serveri LDAP është i aktivizuar
● Serveri LDAP është pjesë e listës së serverëve të grupit AAA LDAP
● Grupi i serverëve LDAP shtohet në opsionet e vërtetimit të OpenVPN AAA
● Një tunel OpenVPN është konfiguruar dhe aktivizuar - Për serverin LDAP:
● atributet e mëposhtme të përdoruesit janë konfiguruar dhe i kalohen klientit OpenVPN:
| Atributi LDAP | Formati | Përshkrimi |
| msRADIUSFramedIPAdresa | Numër i plotë | Adresa IP statike e klientit. Ky është një numër i plotë 4 bajt. Për shembullample "-1062731519" është për "192.168.1.1". |
| msRADIUSFramedRoute | Vargu | Rrugët IP statike për klientin (lejon hyrje të shumta). Vargu pritet të jetë në formatin e atributit RADIUS "Rruga e kornizës" e përshkruar në RFC2865, (p.sh. "10.1.1.0 255.255.255.0 192.168.1.1 1") |
| ms-RADIUS-FramedIpv6Prefiks | Vargu | Prefiksi statik IPv6 për klientin. Vargu pritet të jetë në formatin "IPv6Address/PrefixLength", (p.sh. "2001:1::/64"). |
| ms-RADIUS-FramedIpv6Route | Vargu | Rrugët statike IPv6 për klientin (lejon hyrje të shumta). Vargu pritet të jetë në formatin e atributit RADIUS "Framed-IPv6-Route" i përshkruar në RFC3162, (p.sh. "3001:1::/64 2001:1::1 1"). |
Konfigurimi i LDAP
Ky seksion përshkruan se si të konfiguroni LDAP, me disa nga komandat e disponueshme AlliedWare Plus:
Konfigurimi i serverit LDAP
Hapi 1: Krijo një server LDAP me emrin AD_server
awplus#konfiguro terminalin
awplus(config)# ldap-server AD_server
Hapi 2: Konfiguro një adresë IP në serverin LDAP
awplus (config-ldap-server)# host 192.0.2.1
Hapi 3: Caktoni bazën e paracaktuar DN për t'u përdorur për kërkime
awplus(config-ldap-server)# base-dn dc=foo,dc=bar
Hapi 4: Vendosni emrin e dalluar me të cilin do të lidhet me serverin dhe kredencialet me të cilat do të lidhen
awplus(config-ldap-server)# autentifikimi bind root-dn cn=Administrator, cn=Përdoruesit,dc=foo,dc=fjalëkalimi i shiritit P@ssw0rd
Konfigurimi AAA
Hapi 1: Krijoni një grup serverësh LDAP të quajtur ldapServerGroup
awplus(config)# aaa server grupi ldap ldapServerGroup
Përndryshe, mund të përdorni grupin e paracaktuar 'ldap' i cili përmban të gjithë serverët LDAP.
Hapi 2: Shtoni serverin LDAP AD_server në grup
awplus(config-ldap-group)# server AD_server
Hapi 3: Krijoni një metodë identifikimi AAA duke përdorur grupin e serverit LDAP për vërtetimin e hyrjes së përdoruesit
awplus(config)# aaa identifikimi identifikimi ldapGrupi i hyrjes ldapServerGroup
Ose përdorni grupin e paracaktuar në vend të kësaj:
awplus(config)# aaa identifikimi identifikimi ldapGrupi i hyrjes ldap
Konfigurimi SSH/Telnet
Hapi 1: Aktivizo SSH
awplus(config)# shërbim ssh
Sigurohuni që serveri SSH është i konfiguruar siç duhet që përdoruesit të identifikohen.
awplus(config)# server ssh lejon përdoruesit e përdoruesitA
Hapi 2: Vërtetoni linjat VTY me metodën e vërtetimit AAA ldapLogin
awplus(config)# rreshti vty 0 3
awplus(config-line)# autentifikimi i hyrjes ldapLogin
Konfigurimi i OpenVPN
Hapi 1: Aktivizo vërtetimin LDAP të tuneleve OpenVPN globalisht
Përsëri, mund të përdorni ose grupin e paracaktuar LDAP ose një grup LDAP të përcaktuar nga përdoruesi.
awplus(config)# aaa authentication openvpn ldap grupi i paracaktuar
Konfigurimi i modalitetit të sigurt - LDAPS duke përdorur kriptim TLS
LDAP ofron një mënyrë të sigurt të quajtur LDAPS, e cila përdor protokollin TLS për të kriptuar të gjitha komunikimet midis klientit dhe serverit. Për të përdorur LDAP, duhet të konfiguroni një port të sigurt në server (porta e parazgjedhur është 636).
Pasi LDAPS të jetë konfiguruar në anën e serverit, do t'ju duhet një kopje e certifikatës CA të përdorur nga serveri. Së pari kjo certifikatë duhet të importohet në pajisje në formën e një pike besimi të sigurt. Për më shumë informacion mbi PKI dhe pikat e besimit në AlliedWare Plus, shihni Veçorinë PKI Mbiview dhe Udhëzuesi i konfigurimit.
Hapi 1: Krijoni një pikë të re besimi PKI të quajtur AD_trustpoint
awplus(config)# kripto pki pikë besimi AD_trustpoint
Hapi 2: Specifikoni që kjo pikë besimi do të përdorë një certifikatë të jashtme që është kopje dhe
ngjitur në terminal
awplus(ca-trustpoint)# terminali i regjistrimit
Hapi 3: Kthehuni në modalitetin e privilegjuar EXEC
awplus(ca-trustpoint)# fund
Hapi 4: Importoni certifikatën e jashtme në pikën e besimit
awplus# vërtetimi kripto pki AD_trustpoint
Sistemi do të kërkojë që certifikata të ngjitet në terminal, në formatin PEM. Kopjoni dhe ngjisni certifikatën.
| Ngjit certifikatën PEM file në terminal. Shkruani "abort" për të anuluar. |
Kontrolloni gjurmën e gishtit dhe informacionin e lëshuesit dhe nëse gjithçka duket e saktë, pranoni certifikatën.
| Certifikata është vërtetuar me sukses. E pranoni këtë certifikatë? (y/n): y |
Hapi 5: Pas pranimit të certifikatës, kthehuni në terminalin e konfigurimit
awplus#konfiguro terminalin
Hapi 6: Hyni në modalitetin e konfigurimit për emrin e serverit LDAP AD_server
awplus(config)# ldap-server AD_server
Hapi 7: Cakto emrin e hostit të serverit LDAP
Për Secure Mode, do t'ju duhet të përdorni një FQDN si emër hosti dhe ky duhet të përputhet me emrin në certifikatën CA që keni importuar më parë. Serveri LDAP do të kryejë një kontroll emri për të siguruar që këta emra të përputhen, përpara se të fillojë sesioni TLS.
awplus(config-ldap-server)# host example-FQDN.com
Hapi 8: Aktivizo LDAPS me TLS
awplus(config-ldap-server)# modaliteti i sigurt
Hapi 9: Shtoni pikën e besimit të serverit LDAP të krijuar më sipër
awplus(config-ldap-server)# pikë besimi e sigurt AD_trustpoint
Hapi 10: Opsionale, specifikoni shifrat që do të përdoren për TLS
awplus(config-ldap-server)# shifra e sigurt DHE-DSS-AES256-GCM-SHA384
AES128-GCM-SHA256
Konfigurimi i lidhjes së serverit
Hapi 1: Cilësimi i afatit
Kur lidheni me serverin e drejtorive dhe kur prisni që kërkimet të përfundojnë, koha maksimale e pritjes është 50 sekonda.
awplus(config-ldap-server)# timeout 50
Hapi 2: Riprovon
Kur lidheni me serverë aktivë, provoni 5 përsëritje maksimale. awplus(config-ldap-server)# ritransmetim 5
Hapi 3: Kohë e vdekur
Pajisja nuk do të dërgojë asnjë kërkesë te serveri për 5 minuta nëse nuk i përgjigjet një kërkese të mëparshme.
awplus (config-ldap-server)# deadtime 5
Konfigurimi i kërkimit
Hapi 1: Cilësimet e DN të grupit
Që vërtetimi i përdoruesit të jetë i suksesshëm, përdoruesi duhet t'i përkasë grupit me të dalluarit
Vargu i emrit (DN): cn=Përdoruesit,dc=test. Si parazgjedhje ai do ta përcaktojë këtë duke kontrolluar atributin unik anëtar të grupit, për të parë nëse ai përmban vargun DN të përdoruesve.
awplus(config-ldap-server)# group-dn cn=Përdoruesit,dc=test
Hapi 2: Cilësimet e anëtarëve të atributeve të grupit Active Directory
Për Active Directory, në vend të kësaj do të dëshironi të kontrolloni brenda atributit anëtar të grupit, i cili mund të konfigurohet me atributin e grupit CLI. awplus(config-ldap-server)# anëtar i atributit të grupit
Me këto dy opsione të konfiguruara, një kërkim do të testonte anëtarësimin e një përdoruesi në grupin cn=Users,dc=test duke kontrolluar atributin e anëtarit për DN-në e përdoruesit. Kjo është e dobishme kur një server LDAP ofron informacione vërtetimi për një grup klientësh, por pajisja duhet të autorizojë vetëm një grup përdoruesish.
Hapi 3: Identifikohu cilësimet e emrit të përdoruesit
Emri i hyrjes do t'i përkasë atributit 'username'. Që vërtetimi i përdoruesit të jetë i suksesshëm, drejtoria duhet të ketë një hyrje me username=, p.sh. username=jdoe.
awplus(config-ldap-server)# emri i përdoruesit të atributit të grupit
Hapi 4: Kërkoni cilësimet e filtrit
Gjatë marrjes së informacionit të përdoruesit, klasa e objektit të përdoruesve duhet të përmbajë, p.shample, 'testAccount' që vërtetimi i përdoruesit të jetë i suksesshëm. Opsioni i filtrit të kërkimit është shumë i personalizueshëm dhe mund të përdoret për të kontrolluar çdo atribut. Për më tepër, operatorët boolean mund të përdoren për të përmirësuar më tej specifikat e kërkimit.
awplus(config-ldap-server)# search-filter objectclass=testAccount
Examples:
- Kjo do të kontrollonte nëse klasa e objektit të përdoruesve është testAccount OSE Roli organizativ
awplus(config-ldap-server)# search-filter
(objectclass=testAccount)(objectclass=roli organizativ) - Kjo do të kontrollonte këdo që është përdorues DHE JO kompjuter
awplus(config-ldap-server)# filtër kërkimi &(objectclass=user)(!(objectClass=kompjuter)
Si të kryeni një kërkim të mbivendosur në Active Directory
Merrni parasysh shembullin e mëposhtëmampe:
- Pa një kërkim të ndërlidhur – duke përdorur këtë filtër kërkimi më poshtë, çdo përdorues brenda grupit A do të jetë në gjendje të identifikohet me sukses, por përdoruesi3 brenda grupit B do të dështojë.
awplus(config-ldap-server)# search-filter MemberOf=CN=groupA,OU=exampleOrg,DC=example,DC=test - Duke shtuar OID 1.2.840.113556.1.4.1941 në check MemberOf në filtrin e kërkimit, Active Directory do të kontrollojë në mënyrë rekursive të gjitha grupet brenda grupit A për përdoruesin e specifikuar. Tani çdo përdorues brenda çdo grupi që është pjesë e grupit A do të kontrollohet, kështu që përdoruesi ynë3 në grupin e mbivendosur mund të identifikohet.
awplus(config-ldap-server)# search-filter MemberOf:1.2.840.113556.1.4.1941:=CN=groupA,OU=exampleOrg,DC=example,DC=test
Monitorimi i LDAP
Seksioni në vijim ofron disa p.shample dalje nga komanda show ldap server group.
Dalja tregon se ka dy serverë LDAP: Server_A dhe Server_B.
Për Server_A, komanda show specifikon se:
- Server_A është i gjallë
- Server_A është një server LDAP
- Server_A është pjesë e menaxhimit të grupit të serverëve
Për Server_B, komanda show specifikon se: - Server_B nuk përdoret kurrë ose gjendja është e panjohur.
- Server_B është një server LDAP
- Server_B nuk është pjesë e asnjë grupi serverësh
Ekziston gjithashtu një grup i dytë serverësh 'RandD' që nuk ka asnjë server LDAP.
Dy gjendjet e tjera të statusit të serverit nuk shfaqen në ish-in tonëamprezultatet janë:
- I vdekur – serveri zbulohet si i vdekur dhe nuk do të përdoret për periudhën e fundit.
- Gabim - Serveri nuk po përgjigjet.
Po aktivizon korrigjimin
Meqenëse LDAP është konfiguruar nën nënsistemin AAA, korrigjimi ekzistues për vërtetimin AAA do të gjenerojë informacion të dobishëm për funksionimin LDAP.
awplus# debug aaa vërtetimi
Për korrigjimin e detajuar të klientit LDAP, me opsione të ndryshme korrigjimi, përdorni komandën:
awplus# korrigjon klientin ldap
Vini re se aktivizimi i të gjitha korrigjimeve të klientëve LDAP mund të ndikojë në performancën e sistemit me një sasi të madhe mesazhesh regjistri.
Selia e Amerikës së Veriut | 19800 North Creek Parkway | Suite 100 | Bothell | WA 98011 | SHBA |T: +1 800 424 4284 | F: +1 425 481 3895
Selia e Azi-Paqësorit | 11 Lidhja Tai Seng | Singapor | 534182 | T: +65 6383 3832 | F: +65 6383 3830
Operacionet EMEA dhe CSA | Incheonweg 7 | 1437 EK Rozenburg | Holanda | T: +31 20 7950020 | F: +31 20 7950021
Dokumentet / Burimet
 |
Protokolli i hyrjes në drejtorinë e lehtë të Telesis Telesis Allied [pdfUdhëzuesi i përdoruesit Protokolli i lehtë i hyrjes në drejtori, direktori, protokoll aksesi |
