Allied Telesis Lightweight Directory Access Protocol Gabay sa Gumagamit

Ang Lightweight Directory Access Protocol (LDAP) ay isang software protocol na ginagamit upang pamahalaan at i-access ang iba't ibang mga mapagkukunan ng IT hal. mga application, server, kagamitan sa networking, at file mga server. Ang karaniwang paggamit ng LDAP ay upang magbigay ng isang sentral na lugar para sa pagpapatunay, ibig sabihin, nag-iimbak ito ng mga username at password.

Gaya ng ipinahihiwatig ng pangalan, ang LDAP ay isang magaan na bersyon ng Directory Access Protocol (DAP), na bahagi ng X.500, isang pamantayan para sa mga serbisyo ng direktoryo sa isang network. Gumagamit ang LDAP ng mga direktoryo upang mapanatili ang impormasyon ng organisasyon, impormasyon ng tauhan, at impormasyon ng mapagkukunan.

Sinasabi sa iyo ng mga direktoryo ng network kung saan matatagpuan ang isang bagay sa network. Sa mga TCP/IP network, ang domain name system (DNS) ay ang directory system na ginagamit upang iugnay ang domain name sa isang partikular na network address. Gayunpaman, kung hindi mo alam ang domain name, pinapayagan ka ng LDAP na maghanap ng isang indibidwal nang hindi alam kung saan sila matatagpuan.

Maaari mong gamitin ang LDAP upang patotohanan ang mga user na kumokonekta sa mga panloob na network sa OpenVPN. Bagama't maaaring gamitin ng AlliedWare Plus na mga device ang parehong LDAP at RADIUS bilang isang authentication protocol, may kakayahan ang LDAP na makipag-ugnayan sa mga serbisyo ng direktoryo gaya ng Active Directory (AD) ng Microsoft. Ang AD ay isa sa mga pangunahing piraso ng Windows database environment. Nag-iimbak ito ng impormasyon ng user at account, at nagbibigay ng pahintulot at pagpapatunay para sa mga computer, user, at grupo, upang ipatupad ang mga patakaran sa seguridad sa mga operating system ng Windows.

Ang gabay na ito ay nagbibigay ng impormasyon para sa pag-configure ng OpenVPN Access Server upang patotohanan laban sa Active Directory gamit ang LDAP

Mga produkto at bersyon ng software na naaangkop sa gabay na ito

Nalalapat ang gabay na ito sa mga produkto ng AlliedWare Plus™ na sumusuporta sa LDAP, na nagpapatakbo ng bersyon 5.5.2-1 o mas bago.

Upang makita kung sinusuportahan ng iyong produkto ang LDAP, tingnan ang mga sumusunod na dokumento:

Datasheet ng produkto
Ang Command Reference ng produkto

Ang mga dokumentong ito ay makukuha mula sa mga link sa itaas sa aming website sa alliedtelesis.com.

Mga kaugnay na dokumento

Ang mga sumusunod na dokumento ay nagbibigay ng higit pang impormasyon tungkol sa mga tampok ng pagpapatunay sa mga produkto ng AlliedWare Plus:

ang OpenVPN Feature Overview at Gabay sa Pag-configure
ang AAA at Port Authentication Feature Overview at Gabay sa Pag-configure

Ang Command Reference ng produkto

Ang mga dokumentong ito ay makukuha mula sa mga link sa itaas o sa aming website sa alliedtelesis.com

Tapos na ang LDAPview

Ang LDAP protocol ay nakikipag-ugnayan sa Active Directory. Ito ay mahalagang paraan upang makipag-usap sa Active Directory at magpadala ng mga mensahe sa pagitan ng AD at iba pang bahagi ng iyong network.

Paano gumagana ang Active Directory LDAP authentication? Karaniwan, kailangan mong i-set up ang LDAP upang patotohanan ang mga kredensyal laban sa Active Directory. Ang 'BIND' na operasyon ay ginagamit upang itakda ang authentication state para sa isang LDAP session kung saan ang LDAP client ay kumokonekta sa server.

Sa karamihan ng mga kaso, ang ganitong uri ng simpleng pagpapatotoo ay mahalagang nangangahulugang ang isang pangalan at password ay ginagamit upang lumikha ng isang kahilingan sa pag-bind sa server para sa pagpapatunay.

Basic LDAP packet communication gamit ang Telnet

Kapag ginamit mo ang Telnet upang mag-log in sa isang AlliedWare Plus device, ang pangunahing proseso ng pagpapatunay ng LDAP ay ang mga sumusunod:

Nagsisimula ang Telnet ng kahilingan sa koneksyon at nagpapadala ng username at password sa device.
Pagkatapos matanggap ang kahilingan, ang device (na kumikilos bilang LDAP client), ay nagtatatag ng koneksyon sa TCP sa LDAP server.
Upang makuha ang karapatang maghanap, ang device ay gumagamit ng administrator distinguished name (DN) at password upang magpadala ng administrator bind request sa LDAP server.

Pinoproseso ng LDAP server ang kahilingan. Kung matagumpay ang pagpapatakbo ng bind, magpapadala ang LDAP server ng pagkilala sa device.
Nagpapadala ang device ng kahilingan sa paghahanap sa DN ng user na may username sa LDAP server.

Pagkatapos matanggap ang kahilingan, hahanapin ng LDAP server ang DN ng user ayon sa base DN, saklaw ng paghahanap, at mga kundisyon sa pag-filter. Kung may nakitang tugma, magpapadala ang LDAP server ng tugon upang ipaalam sa device ang matagumpay na paghahanap. Maaaring may nakitang isa o higit pang user DN.
Ginagamit ng device ang nakuhang user DN at inilalagay ang password ng user bilang mga parameter para magpadala ng user DN bind request sa LDAP server, na tumitingin kung tama ang user password.

Pinoproseso ng LDAP server ang kahilingan, at nagpapadala ng tugon upang ipaalam sa device ang resulta ng pagpapatakbo ng bind. Kung nabigo ang pagpapatakbo ng bind, gagamit ang device ng isa pang nakuhang DN ng user bilang parameter upang magpadala ng kahilingan sa pag-bind ng user sa LDAP server. Magpapatuloy ang prosesong ito hanggang sa matagumpay na ma-bound ang isang DN o mabigong ma-bound ang lahat ng DN. Kung ang lahat ng DN ng user ay nabigong matali, aabisuhan ng device ang user ng pagkabigo sa pag-log in at tatanggihan ang kahilingan sa pag-access ng user.
Ang device at server ay nagsasagawa ng pagpapalitan ng pahintulot.

Pagkatapos ng matagumpay na awtorisasyon, aabisuhan ng device ang user ng matagumpay na pag-log in.

Kasalukuyang mga limitasyon ng AlliedWare Plus

Isang trustpoint lang ang sinusuportahan para sa secure na LDAP.
Hindi ipinatupad ang recursive group searching. Gayunpaman, sa Active Directory, posibleng magtakda ng partikular na OID bilang bahagi ng filter ng paghahanap na magtuturo dito na magsagawa ng nested na paghahanap.

Ang OID ay nagiging bahagi ng memberOf check:

memberOf:1.2.840.113556.1.4.1941:= Group DN>

Sa halip na karaniwan:

memberOf = Group DN>

May mga examphigit pa nito sa seksyong configuration ng paghahanap sa ibaba, tingnan ang “Search configuration” sa

Tingnan ang listahan para sa pag-log in sa isang AlliedWare Plus device

Bago mo i-configure ang LDAP, mag-login sa isang AlliedWare Plus device gamit ang SSH/Telnet, at tingnan kung tama ang mga sumusunod na configuration.

Suriin na:

Ang isang LDAP server ay tumatakbo.
Maaabot mo ang device, at maaabot ng device ang LDAP server.
Para sa device:
● SSH o Telnet ay pinagana
● Naka-enable ang LDAP server
● Ang LDAP server ay bahagi ng AAA LDAP group server list
● Ang pangkat ng server ng LDAP ay idinagdag sa mga opsyon sa pagpapatunay ng pag-log in sa AAA
● Ang pangkat ng server ng LDAP ay idinagdag sa mga opsyon sa pagpapatunay sa pag-login sa vty lines
Para sa LDAP server:
● ang mga sumusunod na katangian ay na-configure

Katangian ng LDAP	Format	Paglalarawan
msRADIUSServiceType	nteger	Upang mag-log in sa AlliedWare Plus device, ang user ay dapat magkaroon ng isa sa mga sumusunod na value: ■ 6 (Administrative): ang user ay nakamapa sa pinakamataas na pribilehiyo ng user, 15, ■ 7 (NAS Prompt): ang gumagamit ay nakamapa sa pinakamababang pribilehiyo ng gumagamit, 1. Kung ang katangiang ito ay hindi na-configure o na-configure na may iba't ibang mga halaga, ang gumagamit ay hindi pinapayagang mag-log in.

Access sa network sa pamamagitan ng OpenVPN

Upang paganahin ang isang user na kumonekta sa isang panloob na network sa pamamagitan ng OpenVPN, suriin na:

Ang isang LDAP server ay tumatakbo.
Naaabot ng user ang device, at maaaring maabot ng device ang LDAP server.
Para sa device:
● Naka-enable ang LDAP server
● Ang LDAP server ay bahagi ng AAA LDAP group server list
● Ang pangkat ng LDAP server ay idinagdag sa mga opsyon sa pagpapatunay ng OpenVPN AAA
● Isang OpenVPN tunnel ang na-configure at pinagana
Para sa LDAP server:
● ang mga sumusunod na katangian ng user ay na-configure at ipinapasa sa OpenVPN client:

Katangian ng LDAP	Format	Paglalarawan
msRADIUSFramedIPAddress	Integer	Static IP address ng kliyente. Ito ay 4-byte integer. Para kay exampAng "-1062731519" ay para sa "192.168.1.1".
msRADIUSFramedRoute	String	Mga static na ruta ng IP para sa kliyente (pinapayagan ang maramihang mga entry). Ang string ay inaasahang nasa format ng RADIUS attribute na "Framed-Route" na inilarawan sa RFC2865, (hal. "10.1.1.0 255.255.255.0 192.168.1.1 1")
ms-RADIUS-FramedIpv6Prefix	String	Static IPv6 prefix para sa kliyente. Ang string ay inaasahang nasa format na "IPv6Address/PrefixLength", (hal. "2001:1::/64").
ms-RADIUS-FramedIpv6Route	String	Mga static na ruta ng IPv6 para sa kliyente (pinapayagan ang maramihang mga entry). Ang string ay inaasahang nasa format ng RADIUS attribute na “Framed-IPv6-Route” na inilarawan sa RFC3162, (hal. “3001:1::/64 2001:1::1 1”).

Kino-configure ang LDAP

Inilalarawan ng seksyong ito kung paano i-configure ang LDAP, kasama ang ilan sa mga available na command ng AlliedWare Plus:

configuration ng LDAP server

Hakbang 1: Gumawa ng LDAP server na may pangalang AD_server
awplus#configure terminal
awplus(config)# ldap-server AD_server
Hakbang 2: Mag-configure ng IP address sa LDAP server
awplus(config-ldap-server)# host 192.0.2.1
Hakbang 3: Itakda ang default na base DN na gagamitin para sa mga paghahanap
awplus(config-ldap-server)# base-dn dc=foo,dc=bar
Hakbang 4: Itakda ang kilalang pangalan kung saan ibi-bind sa server at ang mga kredensyal na ibi-bind
awplus(config-ldap-server)# bind authentication root-dn cn=Administrator, cn=Users,dc=foo,dc=bar password P@ssw0rd

AAA configuration

Hakbang 1: Gumawa ng LDAP server group na tinatawag na ldapServerGroup
awplus(config)# aaa group server ldap ldapServerGroup
Bilang kahalili, maaari mong gamitin ang default na pangkat na 'ldap' na naglalaman ng lahat ng LDAP server.
Hakbang 2: Idagdag ang LDAP server AD_server sa grupo
awplus(config-ldap-group)# server AD_server
Hakbang 3: Gumawa ng AAA login method gamit ang LDAP server group para sa user login authentication
awplus(config)# aaa authentication login ldapLogin group ldapServerGroup
O gamitin ang default na pangkat sa halip:
awplus(config)# aaa authentication login ldapLogin group ldap

SSH/Telnet configuration

Hakbang 1: Paganahin ang SSH
awplus(config)# service ssh
Siguraduhin na ang SSH server ay maayos na na-configure para sa mga user na makapag-login.
awplus(config)# ssh server allow-users userA
Hakbang 2: I-authenticate ang mga linya ng VTY gamit ang AAA authentication method ldapLogin
awplus(config)# line vty 0 3
awplus(config-line)# login authentication ldapLogin

Configuration ng OpenVPN

Hakbang 1: I-enable ang LDAP authentication ng OpenVPN tunnels sa buong mundo
Muli, maaari mong gamitin ang default na pangkat ng LDAP o isang pangkat ng LDAP na tinukoy ng user.
awplus(config)# aaa authentication openvpn default group ldap

Configure ng Secure Mode – LDAPS gamit ang TLS encryption

Nag-aalok ang LDAP ng secure na mode na tinatawag na LDAPS, na gumagamit ng TLS protocol para i-encrypt ang lahat ng komunikasyon sa pagitan ng client at server. Para magamit ang LDAP, dapat kang mag-configure ng secure na port sa server (ang default na port ay 636).

Kapag na-configure na ang LDAPS sa gilid ng server, kakailanganin mo ng kopya ng CA certificate na ginamit ng server. Una, ang certificate na ito ay kailangang ma-import sa device sa anyo ng isang secure na trustpoint. Para sa higit pang impormasyon sa PKI at mga trustpoint sa AlliedWare Plus, tingnan ang PKI Feature Overview at Gabay sa Pag-configure.

Hakbang 1: Gumawa ng bagong trustpoint ng PKI na tinatawag na AD_trustpoint
awplus(config)# crypto pki trustpoint AD_trustpoint
Hakbang 2: Tukuyin na ang trustpoint na ito ay gagamit ng external na certificate na kopya at
idinikit sa terminal
awplus(ca-trustpoint)# enrollment terminal
Hakbang 3: Bumalik sa privileged EXEC mode
awplus(ca-trustpoint)# dulo
Hakbang 4: I-import ang external na certificate sa trustpoint
awplus# crypto pki authentication AD_trustpoint

Ipo-prompt ng system na i-paste ang certificate sa terminal, sa format na PEM. Kopyahin at i-paste ang sertipiko.

Idikit ang certificate PEM file sa terminal.
I-type ang "i-abort" para kanselahin.

Suriin ang fingerprint at impormasyon ng nagbigay, at kung mukhang tama ang lahat, tanggapin ang certificate.

Matagumpay na napatunayan ang sertipiko.
Tanggapin ang certificate na ito? (y/n): y

Hakbang 5: Pagkatapos tanggapin ang sertipiko, bumalik sa terminal ng pagsasaayos
awplus#configure terminal
Hakbang 6: Ipasok ang configuration mode para sa LDAP server name na AD_server
awplus(config)# ldap-server AD_server
Hakbang 7: Itakda ang hostname ng LDAP server
Para sa Secure Mode, kakailanganin mong gumamit ng FQDN bilang hostname, at dapat itong tumugma sa pangalan sa CA certificate na na-import mo dati. Magsasagawa ang LDAP server ng pagsusuri ng pangalan upang matiyak na tumutugma ang mga pangalang ito, bago masimulan ang session ng TLS.
awplus(config-ldap-server)# host halample-FQDN.com
Hakbang 8: Paganahin ang LDAPS gamit ang TLS
awplus(config-ldap-server)# secure na mode
Hakbang 9: Idagdag ang trustpoint ng LDAP server na ginawa sa itaas
awplus(config-ldap-server)# secure na trustpoint AD_trustpoint
Hakbang 10: Opsyonal, tukuyin ang mga cipher na gagamitin para sa TLS
awplus(config-ldap-server)# secure na cipher DHE-DSS-AES256-GCM-SHA384
AES128-GCM-SHA256

Configuration ng koneksyon sa server

Hakbang 1: Setting ng timeout
Kapag kumokonekta sa direktoryo ng server at kapag naghihintay na makumpleto ang mga paghahanap, ang maximum na oras ng paghihintay ay 50 segundo.
awplus(config-ldap-server)# timeout 50
Hakbang 2: Sinusubukang muli
Kapag kumokonekta sa mga aktibong server, subukan ang maximum na 5 retries. awplus(config-ldap-server)# retransmit 5
Hakbang 3: Patay na oras
Hindi magpapadala ang device ng anumang mga kahilingan sa server sa loob ng 5 minuto kung nabigo itong tumugon sa isang nakaraang kahilingan.
awplus(config-ldap-server)# deadtime 5

Configuration ng paghahanap

Hakbang 1: Mga setting ng DN ng pangkat
Para maging matagumpay ang pagpapatotoo ng user, dapat ay kabilang ang user sa pangkat na may Distinguished
Pangalan (DN) string: cn=Users,dc=test. Bilang default, ito ay tutukuyin sa pamamagitan ng pagsuri sa uniquemember attribute ng grupo, para makita kung naglalaman ito ng user DN string.
awplus(config-ldap-server)# group-dn cn=Users,dc=test
Hakbang 2: Mga setting ng miyembro ng pangkat-attribute ng Active Directory
Para sa Active Directory, sa halip ay gugustuhin mong suriin sa loob ng katangian ng miyembro ng pangkat, na maaaring i-configure gamit ang pangkat-attribute na CLI. awplus(config-ldap-server)# miyembro ng pangkat-attribute
Kapag na-configure ang dalawang opsyong iyon, susubok ang isang paghahanap sa membership ng isang user ng grupo cn=Users,dc=test sa pamamagitan ng pagsuri sa attribute ng miyembro para sa DN ng user. Ito ay kapaki-pakinabang kapag ang isang LDAP server ay nagbibigay ng impormasyon sa pagpapatotoo sa isang grupo ng mga kliyente, ngunit ang device ay dapat magpahintulot lamang sa isang pangkat ng mga user.
Hakbang 3: Mga setting ng username sa pag-login
Ang pangalan sa pag-log in ay kabilang sa katangiang 'username'. Para maging matagumpay ang pagpapatunay ng user, ang direktoryo ay dapat may entry na may username=, hal username=jdoe.
awplus(config-ldap-server)# group-attribute username
Hakbang 4: Maghanap ng mga setting ng filter
Kapag kinukuha ang impormasyon ng user, ang objectclass ng mga user ay dapat maglaman, halimbawaample, 'testAccount' para sa user authentication para maging matagumpay. Ang opsyon sa paghahanap-filter ay lubos na nako-customize, at maaaring gamitin upang suriin ang anumang katangian. Bilang karagdagan, ang mga boolean operator ay maaaring gamitin upang higit pang mapahusay ang mga detalye ng paghahanap.
awplus(config-ldap-server)# search-filter objectclass=testAccount

Examples:

 Susuriin nito na ang objectclass ng mga user ay testAccount O organizationalRole
awplus(config-ldap-server)# search-filter
(objectclass=testAccount)(objectclass=organizationalRole)
Susuriin nito ang sinumang gumagamit AT HINDI isang computer
awplus(config-ldap-server)# search-filter &(objectclass=user)(!(objectClass=computer)

Paano magsagawa ng nested na paghahanap sa Active Directory

Isaalang-alang ang sumusunod na halample:

Nang walang nested na paghahanap – gamit ang search-filter na ito sa ibaba, sinuman sa mga user sa loob ng groupA ay matagumpay na makakapag-log in, ngunit ang user3 sa loob ng groupB ay mabibigo.
awplus(config-ldap-server)# search-filter memberOf=CN=groupA,OU=exampleOrg,DC=halample,DC=test
Sa pamamagitan ng pagdaragdag ng OID 1.2.840.113556.1.4.1941 sa memberOf check sa search-filter, muling susuriin ng Active Directory ang lahat ng mga grupo sa loob ng groupA para sa tinukoy na user. Ngayon, susuriin ang sinumang user sa loob ng anumang mga grupo na bahagi ng groupA, para makapag-log in ang aming user3 sa nested groupB.
awplus(config-ldap-server)# search-filter memberOf:1.2.840.113556.1.4.1941:=CN=groupA,OU=exampleOrg,DC=halample,DC=test

Pagsubaybay sa LDAP

Ang sumusunod na seksyon ay nagbibigay ng ilang example output mula sa command ipakita ldap server group.
Ipinapakita ng output na mayroong dalawang LDAP server: Server_A at Server_B.

Para sa Server_A, ang show command ay tumutukoy na:

Buhay si Server_A

Ang Server_A ay isang LDAP server
Ang Server_A ay bahagi ng Pamamahala ng pangkat ng server
Para sa Server_B, ang show command ay tumutukoy na:
Ang Server_B ay hindi kailanman ginagamit o ang estado ay hindi kilala.

Ang Server_B ay isang LDAP server
Ang Server_B ay hindi bahagi ng anumang pangkat ng server

Mayroon ding pangalawang pangkat ng server na 'RandD' na walang anumang mga LDAP server.

Ang dalawang iba pang status ng server ay hindi ipinapakita sa aming exampang output ay:

Patay – ang server ay natukoy na patay at hindi ito gagamitin sa panahon ng deadtime.

Error – Hindi tumutugon ang server.

Pinapagana ang pag-debug

Habang ang LDAP ay na-configure sa ilalim ng AAA subsystem, ang kasalukuyang pag-debug para sa AAA authentication ay bubuo ng kapaki-pakinabang na impormasyon ng pagpapatakbo ng LDAP.
awplus# debug aaa authentication
Para sa detalyadong pag-debug ng LDAP client, na may iba't ibang opsyon sa pag-debug, gamitin ang command:
awplus# debug ldap client
Tandaan na ang pag-on sa lahat ng pag-debug ng LDAP client ay maaaring makaapekto sa performance ng system na may malaking halaga ng mga mensahe ng log.

Mga Dokumento / Mga Mapagkukunan

Allied Telesis Lightweight Directory Access Protocol [pdf] Gabay sa Gumagamit
Magaan na Directory Access Protocol, Directory, Access Protocol

Mga sanggunian

User Manual

Panimula