Einführung
Dieses Dokument enthält eine Beispielkonfiguration für eine grundlegende LDAP-Konfiguration (Lightweight Directory Access Protocol) auf Multilayer Data Switches (MDS). Es sind auch einige Befehle aufgelistet, um zu zeigen, wie die Konfiguration auf MDS-Switches getestet und validiert wird, auf denen NX-OS ausgeführt wird.
Das LDAP bietet eine zentralisierte Validierung von Benutzern, die versuchen, auf ein Cisco MDS-Gerät zuzugreifen. LDAP-Dienste werden in einer Datenbank auf einem LDAP-Daemon verwaltet, der in der Regel auf einer UNIX- oder Windows NT-Workstation ausgeführt wird. Sie müssen über Zugriff auf einen LDAP-Server verfügen und diesen konfigurieren, bevor die konfigurierten LDAP-Funktionen auf Ihrem Cisco MDS-Gerät verfügbar sind.
LDAP bietet separate Authentifizierungs- und Autorisierungsfunktionen. LDAP ermöglicht einen einzelnen Zugriffskontrollserver (den LDAP-Daemon), um jede Service-Authentifizierung und -Autorisierung unabhängig voneinander bereitzustellen. Jeder Dienst kann in seine eigene Datenbank eingebunden werden, um andere Dienste nutzen zu können, die auf diesem Server oder im Netzwerk verfügbar sind, abhängig von den Funktionen des Daemons.
Das LDAP-Client-/Serverprotokoll verwendet TCP (TCP-Port 389) für die Transportanforderungen. Cisco MDS-Geräte ermöglichen eine zentralisierte Authentifizierung mithilfe des LDAP-Protokolls.
Voraussetzungen
Anforderungen
Cisco gibt an, dass das Active Directory-Benutzerkonto (AD) konfiguriert und validiert werden soll. Derzeit unterstützt Cisco MDS Description und MemberOf als Attributnamen. Konfigurieren Sie die Benutzerrolle mit diesen Attributen im LDAP-Server.
Verwendete Komponenten
Die Informationen in diesem Dokument wurden auf einem MDS 9148 getestet, auf dem NX-OS Version 6.2(7) ausgeführt wird. Dieselbe Konfiguration sollte für andere MDS-Plattformen und NX-OS-Versionen verwendet werden. Der Test-LDAP-Server befindet sich unter 10.2.3.7.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Konfigurieren
Geben Sie den folgenden Befehl auf dem MDS-Switch ein, um sicherzustellen, dass Sie über Konsolenzugriff auf den Switch verfügen, um ihn wiederherzustellen:
aaa authentication login console local
Aktivieren Sie die LDAP-Funktion, und erstellen Sie einen Benutzer, der für die Root-Bindung verwendet wird. In diesem Beispiel wird "Admin" verwendet:
feature ldap
ldap-server host 10.2.3.7 rootDN "cn=Admin,cn=Users,dc=ciscoprod,dc=com"
password fewhg port 389
An diesem Punkt auf dem LDAP-Server sollten Sie einen Benutzer (z. B. cpam) erstellen. Fügen Sie im description-Attribut diesen Eintrag hinzu:
shell:roles="network-admin"
Als Nächstes müssen Sie im Switch eine Suchzuordnung erstellen. In diesen Beispielen werden Description und MemberOf als Attributname angezeigt:
Zur Beschreibung:
ldap search-map s1
userprofile attribute-name "description" search-filter "cn=$userid"
base-DN "dc=ciscoprod,dc=com"
Für Mitglied von:
ldap search-map s2
userprofile attribute-name "memberOf" search-filter "cn=$userid"
base-DN "dc=ciscoprod,dc=com"
Wenn diese drei Benutzer z. B. Mitglieder der Gruppe abc im AD-Server sind, muss der MDS-Switch über den Namen abc verfügen, der mit den erforderlichen Berechtigungen erstellt wurde.
Benutzer1 - Mitglied der Gruppe abc
User2 - Mitglied der Gruppe abc
Benutzer3 - Mitglied der Gruppe abc
role name abc
rule 1 permit clear
rule 2 permit config
rule 3 permit debug
rule 4 permit exec
rule 5 permit show
Wenn sich Benutzer1 nun beim Switch anmeldet und das Attribut memberOf für LDAP konfiguriert ist, wird User1 die Rolle abc zugewiesen, die über alle Administratorrechte verfügt.
Beim Konfigurieren des memberOf-Attributs gibt es auch zwei Anforderungen.
- Der Rollenname eines Switches muss mit dem AD-Servergruppennamen übereinstimmen, ODER
- Erstellen Sie auf dem AD-Server eine Gruppe mit dem Namen "network-admin", und konfigurieren Sie alle erforderlichen Benutzer als Mitglied der Netzwerk-Admin-Gruppe.
Hinweise:
- die memberOf-Attribut wird nur vom Windows AD-LDAP-Server unterstützt. Der OpenLDAP-Server unterstützt das memberOf-Attribut nicht.
- Der MemberOf-Konfiguration wird nur in NX-OS 6.2(1) und höher unterstützt.
Erstellen Sie anschließend eine AAA-Gruppe (Authentication, Authorization, and Accounting) mit einem entsprechenden Namen, und binden Sie eine zuvor erstellte LDAP-Suchzuordnung. Wie bereits erwähnt, können Sie je nach Präferenz entweder Description (Beschreibung) oder MemberOf verwenden. Im hier gezeigten Beispiel wird s1 für die Beschreibung zur Benutzerauthentifizierung verwendet. Wenn die Authentifizierung mit MemberOf abgeschlossen werden soll, kann stattdessen s2 verwendet werden.
aaa group server ldap ldap2
server 10.2.3.7
ldap-search-map s1
aaa authentication login default group ldap2
Diese Konfiguration setzt die Authentifizierung auch dann auf lokal zurück, wenn der LDAP-Server nicht erreichbar ist. Dies ist eine optionale Konfiguration:
aaa authentication login default fallback error local
Überprüfen
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Verwenden Sie den folgenden Test, um zu überprüfen, ob das LDAP vom MDS-Switch selbst ordnungsgemäß funktioniert:
MDSA# test aaa group ldap2 cpam Cisco_123
user has been authenticated
MDSA#
Fehlerbehebung
Dieser Abschnitt enthält Informationen, die Sie zur Fehlerbehebung bei Ihrer Konfiguration verwenden können.
Der Cisco CLI Analyzer (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie den Cisco CLI Analyzer, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
Hier sind einige nützliche Befehle zur Fehlerbehebung aufgeführt:
- show ldap-server
- LDAP-Servergruppen anzeigen
- ldap-server statistics 10.2.3.7 anzeigen
- Authentifizierung anzeigen
MDSA# show ldap-server
timeout : 5
port : 389
deadtime : 0
total number of servers : 1
following LDAP servers are configured:
10.2.3.7:
idle time:0
test user:test
test password:********
test DN:dc=test,dc=com
timeout: 5 port: 389 rootDN: cn=Admin,cn=Users,dc=ciscoprod,dc=com
enable-ssl: false
MDSA# show ldap-server groups
total number of groups: 1
following LDAP server groups are configured:
group ldap2:
Mode: UnSecure
Authentication: Search and Bind
Bind and Search : append with basedn (cn=$userid)
Authentication: Do bind instead of compare
Bind and Search : compare passwd attribute userPassword
Authentication Mech: Default(PLAIN)
server: 10.2.3.7 port: 389 timeout: 5
Search map: s1
MDSA# show ldap-server statistics 10.2.3.7
Server is not monitored
Authentication Statistics
failed transactions: 2
successful transactions: 11
requests sent: 36
requests timed out: 0
responses with no matching requests: 0
responses not processed: 0
responses containing errors: 0
MDSA# show ldap-search-map
total number of search maps : 1
following LDAP search maps are configured:
SEARCH MAP s1:
User Profile:
BaseDN: dc=ciscoprod,dc=com
Attribute Name: description
Search Filter: cn=$userid
MDSA# show aaa authentication
default: group ldap2
console: local
dhchap: local
iscsi: local
MDSA#
Zugehörige Informationen