تكوين LDAP على Expressway للوصول إلى Web و API و CLI

خيارات التنزيل

  • ePub     (927.7 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٦ يناير ٢٠٢٢
معرّف المستند:217659

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند الخطوات اللازمة لتمكين البروتوكول الخفيف للوصول إلى الدليل (LDAP) على خادم Expressway وكيفية تمكين مجموعات المسؤولين من الوصول عبر الويب وواجهة برمجة التطبيقات (API) وواجهة سطر الأوامر (CLI) إلى Expressway مع مستخدمي المجال.

    تمت المساهمة من قبل جيفرسون مادريز وإلياس سبيلا، مهندسي TAC من Cisco.

    المتطلبات الأساسية

    المتطلبات

    • معرفة أساسية حول Expressway. 
    • تم بالفعل إجراء التكوين الأساسي ل Expressway. 
    • تم تكوين خدمة Active Directory (AD) بالفعل. 
    • قواعد جدار الحماية جاهزة للسماح بالاتصال بين خادم Expressway و AD. 

    المكونات المستخدمة

    • Active Directory المثبت على Windows Server 2016. 
    • خادم Expressway-C على الإصدار X14.0.3.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    تكوين LDAP

    يتم إستخدام صفحة تكوين LDAP Users > تكوين LDAP لتكوين اتصال LDAP بخدمة دليل عن بعد لمصادقة حساب المسؤول.

    • مصادقة الحساب عن بعد: يسمح هذا القسم بتمكين أو تعطيل إستخدام LDAP لمصادقة الحساب عن بعد.

    remote account

    - محلي فقط: يتم التحقق من بيانات الاعتماد مقابل قاعدة بيانات محلية مخزنة على النظام.
    - بعيد فقط: يتم التحقق من بيانات الاعتماد مقابل دليل بيانات اعتماد خارجي.
    - كلا: يتم التحقق من بيانات الاعتماد أولا مقابل قاعدة بيانات محلية مخزنة على النظام، ثم في حالة عدم وجود تطابق مع الحساب، يتم إستخدام دليل بيانات الاعتماد الخارجية بدلا من ذلك.

    • تكوين خادم LDAP: يحدد هذا القسم تفاصيل الاتصال بخادم LDAP.

    lda server conf

    دقة عنوان FQDN:

    • سجل SRV: البحث عن سجل خدمة اسم المجال (DNS).
    • سجل العنوان: البحث عن سجل DNS A أو AAA.
    • عنوان IP: يتم إدخاله مباشرة كعنوان IP.

    ملاحظة: إذا كنت تستخدم سجلات SRV، فتأكد من أن _ldap._tcp. السجلات تستخدم منفذ LDAP القياسي 389. لا يدعم Expressway أرقام المنافذ الأخرى ل LDAP.

    اسم المضيف والمجال:

    • سجل SRV: جزء المجال فقط من عنوان الخادم مطلوب.
    • سجل العنوان: أدخل اسم المضيف والمجال. ثم يتم تجميع هذه العناصر لتوفير عنوان الخادم الكامل للبحث عن سجل عناوين DNS.
    • عنوان IP: يتم إدخال عنوان الخادم مباشرة كعنوان IP.

    المنفذ:

    • ال IP ميناء أن يستعمل على ال LDAP نادل.

    التشفير:

    • TLS: يستخدم تشفير تأمين طبقة النقل (TLS) للاتصال بخادم LDAP.
    • قيد الإيقاف: لا يتم إستخدام أي تشفير.
    • تكوين المصادقة: يحدد هذا القسم بيانات اعتماد مصادقة Expressway المراد إستخدامها للربط بخادم LDAP.

    auth config

    ربط dn: الاسم المميز (DN)، غير حساس لحالة الأحرف، مستخدم من قبل Expressway للربط بخادم LDAP. من المهم تحديد DN في الأمر cn=، ثم ou=، ثم dc=

    ملاحظة: عادة ما يكون حساب الربط حسابا للقراءة فقط وليس له امتيازات خاصة.

    ربط كلمة المرور: كلمة المرور (حساسية الحالة) المستخدمة من قبل Expressway للربط بخادم LDAP.

    SASL: آلية طبقة الأمان والمصادقة البسيطة (SASL) المطلوب إستخدامها للربط بخادم LDAP

    • none: لا توجد آلية مستخدمة.
    • Digest-MD5: يتم إستخدام آلية Digest-MD5.

    ربط اسم المستخدم: اسم المستخدم للحساب الذي يستخدمه Expressway لتسجيل الدخول إلى خادم LDAP (حساس لحالة الأحرف).

    • تكوين الدليل: يحدد هذا القسم الأسماء المميزة الأساسية المطلوب إستخدامها للبحث عن أسماء الحسابات والمجموعات.

    dire config

    قاعدة DN للحسابات: تعريف الوحدة التنظيمية (OU) ووحدة التحكم بالمجال (DC) للاسم المميز حيث يبدأ البحث عن حسابات المستخدمين في بنية قاعدة البيانات (غير حساسة لحالة الأحرف).

    يجب أن يكون DN الأساسي للحسابات والمجموعات عند مستوى DC أو تحته (يتضمن كافة قيم DC= وقيم OU= إذا لزم الأمر). لا تنظر مصادقة LDAP في حسابات DC الفرعية، فقط في مستويات OU و CN المشتركة.

    DN الأساسي للمجموعات: تعريف OU و DC للاسم المميز حيث يجب أن يبدأ البحث عن مجموعات في بنية قاعدة البيانات (غير حساسة لحالة الأحرف).

    إذا لم يتم تحديد DN أساسي للمجموعات، فسيتم إستخدام DN الأساسي للحسابات لكل من المجموعات والحسابات.

    عمق بحث المجموعة الفرعية المتداخلة: يستخدم لتحديد عمق المجموعات لبحث LDAP.

    تخطي البحث عن كافة الأعضاء: يستخدم لتعطيل البحث عن الأعضاء لمجموعة مسؤول أو تمكينه أثناء إجراء عملية البحث عن المصادقة. الإعداد الافتراضي هو نعم - تخطي البحث عن العضو.

    كيفية العثور على DN الأساسي

    على خادم AD، افتح موجه الأوامر (CMD) كمسؤول وقم بتشغيل الأمر: dsquery user -name .

    cmd

    LDAP تشكيل مثال

    يتم تعيين مصدر مصادقة المسؤول على كلا ويتم تعيين SASL على لا شيء في هذا المثال.

    ad expressway

    التحقق من حالة LDAP

    التحقق من حالة اتصال خادم LDAP:

    • متاح: لا تظهر رسائل خطأ
    • فشل: يتم عرض رسائل الخطأ. رسائل خطأ LDAP

    تكوين مجموعات المسؤولين

    يقوم Administrator بتجميع الصفحات Users > Administrator Groups (مجموعات المسؤولين) بسرد جميع مجموعات المسؤولين التي تم تكوينها على Expressway، كما يتيح لك إضافة مجموعات وتحريرها وحذفها.

    ملاحظة: لا تنطبق مجموعات المسؤولين إلا في حالة تمكين مصادقة الحساب البعيد باستخدام LDAP.

    عند تسجيل الدخول إلى واجهة ويب Expressway، تتم مصادقة بيانات الاعتماد الخاصة بك مقابل خدمة الدليل البعيد ويتم تعيين حقوق الوصول المرتبطة بالمجموعة التي تنتمي إليها.

    يجمع المسؤول خيارات التكوين على Expressway

    الاسم: اسم مجموعة المسؤولين. يجب أن تتطابق أسماء المجموعات المحددة في Expressway مع أسماء المجموعات التي تم إعدادها في خدمة الدليل البعيد لإدارة وصول المسؤول إلى Expressway هذا.

    exp-ad

    مستوى الوصول:

    • read-write: يسمح بعرض جميع معلومات التكوين وتغييرها. يوفر هذا نفس الحقوق مثل حساب المسؤول الافتراضي.
    • للقراءة فقط:يسمح بعرض معلومات الحالة والتكوين فقط ولا يتم تغييرها. يتم حظر بعض الصفحات، مثل صفحة الترقية، إلى حسابات للقراءة فقط.
    • مدقق الحسابات: يسمح بالوصول إلى سجل الحدث وسجل التكوين وسجل الشبكة والتنبيهات وصفحات النظرة العامة فقط .
    • none: غير مسموح بأي وصول

    الوصول إلى الويب: يحدد ما إذا كان يسمح لأعضاء هذه المجموعة بتسجيل الدخول إلى النظام باستخدام واجهة الويب أم لا.


    وصول واجهة برمجة التطبيقات: يحدد ما إذا كان يسمح لأعضاء هذه المجموعة بالوصول إلى حالة النظام وتكوينه باستخدام واجهة برمجة التطبيقات (API).


    CLI منفذ: يحدد ما إذا كان يسمح لأعضاء هذه المجموعة بالوصول إلى النظام عبر CLI (واجهة سطر الأوامر).


    الحالة: يشير إلى ما إذا كانت المجموعة ممكنة أو معطلة.

    تكوين مجموعة المسؤول على AD

    1. قم بإنشاء مجموعة كائنات جديدة، على المجلد الذي ترغب في تخزين المستخدمين. 

    2. قم بتعيين اسم المجموعة. 

    grpoup name

    قم بتعيين المجموعة التي تم تكوينها للمستخدم أو المستخدمين الذين يحتاجون إلى الوصول إلى Expressway عبر Web أو API أو CLI. في هذه الحالة يكون المستخدم testuser.

    1. افتح خصائص المستخدم، انتقل إلى عضو علامة التبويب، حدد إضافة

    2. البحث عن اسم المجموعة الذي تم إنشاؤه قبل. 

    3. ثم حدد موافق.

    member of

    عند هذه النقطة، يكون المستخدم من أعضاء مستخدمي المجال وExpresswayAdmin

    user

    تكوين مجموعة المسؤولين على Expressway

    بمجرد الانتهاء من التكوين، انتقل على Expressway إلى المستخدمين > مجموعات المسؤولين، حدد جديد

    الاسم: يجب أن يتطابق مع تكوين اسم المجموعة وإقترانه بمستخدم LDAP الذي يحتاج إلى الوصول إلى Expressway. في هذا المثال، يكون اسم المجموعة هو ExpresswayAdmin، لذلك يكون اسم مجموعة المسؤول الجديد هو ExpresswayAdmin.

    تتوفر كافة الأذونات والوصول لهذه المجموعة.

    ad admingruop2

    حدد حفظ.

    big

    التحقق من الصحة

    قم بتسجيل الخروج وحاول الوصول عبر الويب باستخدام مستخدم LDAP الذي لديه مجموعة المسؤولين المقترنة. في هذا المثال، المستخدم الذي قام بإنشائه هو testuser.

    testuerlogin

    يمكن تأكيد ذلك من خلال الحالة > سجل الأحداث:

    testuser log

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    26-Jan-2022
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Jefferson Madriz
      Elias Sevilla

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا