Configuración de LDAP en Expressway para acceso Web, API y CLI

Opciones de descarga

  • ePub     (930.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:26 de enero de 2022
ID del documento:217659

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los pasos necesarios para habilitar el protocolo ligero de acceso a directorios (LDAP) en el servidor de Expressway y cómo habilitar el acceso de grupos de administradores a través de la Web, la interfaz de programación de aplicaciones (API) y la interfaz de línea de comandos (CLI) a Expressway con sus usuarios de dominio.

    Colaborado por Jefferson Madriz y Elias Sevilla, Ingenieros del TAC de Cisco.

    Prerequisites

    Requirements

    • Conocimientos básicos sobre Expressway. 
    • La configuración básica de Expressway ya ha finalizado. 
    • Directorio activo (AD) ya configurado. 
    • Reglas de firewall preparadas para permitir la comunicación entre Expressway y el servidor AD. 

    Componentes Utilizados

    • Active Directory instalado en Windows Server 2016. 
    • Servidor Expressway-C en la versión X14.0.3.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Configuración LDAP

    La página de configuración LDAP Users > LDAP configuration se utiliza para configurar una conexión LDAP a un servicio de directorio remoto para la autenticación de cuenta de administrador.

    • Autenticación de cuenta remota: Esta sección le permite habilitar o inhabilitar el uso de LDAP para la autenticación de cuenta remota.

    remote account

    - Sólo local: Las credenciales se comprueban con una base de datos local almacenada en el sistema.
    - Sólo remoto: Las credenciales se verifican en un directorio de credenciales externo.
    -Ambas: Las credenciales se verifican primero con una base de datos local almacenada en el sistema y, a continuación, si no hay coincidencia con la cuenta, se utiliza en su lugar el directorio de credenciales externo.

    • Configuración del servidor LDAP: esta sección especifica los detalles de conexión al servidor LDAP.

    lda server conf

    Resolución de dirección FQDN:

    • Registro SRV: búsqueda de registro de servicio (SRV) de servicio de nombres de dominio (DNS).
    • Registro de dirección: Búsqueda de registros DNS A o AAAA.
    • Dirección IP: se ingresa directamente como una dirección IP.

    Nota: Si utiliza registros SRV, asegúrese de que _ldap._tcp. los registros utilizan el puerto LDAP estándar 389. Expressway no admite otros números de puerto para LDAP.

    Nombre de host y dominio:

    • Registro SRV: sólo se requiere la parte de dominio de la dirección del servidor.
    • Registro de dirección: introduzca el nombre de host y el dominio. A continuación, se combinan para proporcionar la dirección completa del servidor para la búsqueda de registros de direcciones DNS.
    • Dirección IP: la dirección del servidor se ingresa directamente como dirección IP.

    Puerto:

    • El puerto IP a utilizar en el servidor LDAP.

    Cifrado:

    • TLS: utiliza el cifrado de seguridad de la capa de transporte (TLS) para la conexión al servidor LDAP.
    • Desactivado: no se utiliza ninguna encriptación.
    • Configuración de autenticación: esta sección especifica las credenciales de autenticación de Expressway que se deben utilizar para enlazar al servidor LDAP.

    auth config

    Enlazar DN: Nombre distinguido (DN), no distingue mayúsculas de minúsculas, que utiliza Expressway para enlazar al servidor LDAP. Es importante especificar el DN en el orden cn=, luego ou=, luego dc=

    Nota: La cuenta de enlace suele ser una cuenta de sólo lectura sin privilegios especiales.

    Enlazar contraseña: La contraseña (distingue entre mayúsculas y minúsculas) utilizada por Expressway para enlazar al servidor LDAP.

    SASL: El mecanismo de capa de seguridad y autenticación simple (SASL) que se utiliza para enlazar al servidor LDAP

    • Ninguno: no se utiliza ningún mecanismo.
    • DIGEST-MD5: se utiliza el mecanismo DIGEST-MD5.

    Enlazar nombre de usuario: Nombre de usuario de la cuenta que Expressway utiliza para iniciar sesión en el servidor LDAP (distingue entre mayúsculas y minúsculas).

    • Configuración del directorio: Esta sección especifica los nombres distintivos base que se utilizarán para buscar nombres de cuentas y de grupos.

    dire config

    DN base para las cuentas: Definición de unidad organizativa (OU) y controlador de dominio (DC) del nombre distinguido en el que se inicia una búsqueda de cuentas de usuario en la estructura de la base de datos (sin distinción de mayúsculas y minúsculas).

    El DN base para cuentas y grupos debe estar en el nivel DC o debajo de él (incluya todos los valores dc= y ou= si es necesario). La autenticación LDAP no busca en las cuentas sub-DC, solamente niveles OU más bajos y Nane común (CN).

    DN base para grupos: La definición OU y DC del nombre distinguido donde debe iniciarse una búsqueda de grupos en la estructura de base de datos (no distingue entre mayúsculas y minúsculas).

    Si no se especifica ningún DN base para los grupos, se utiliza el DN base para las cuentas tanto para los grupos como para las cuentas.

    Profundidad de búsqueda de subgrupos anidada: Se utiliza para limitar la profundidad de los grupos para la búsqueda LDAP.

    Omitir buscar todos los miembros: Se utiliza para deshabilitar o habilitar la búsqueda de miembros de un grupo de administradores mientras se realiza el proceso de búsqueda de autenticación. El valor predeterminado es Yes: omita la búsqueda de miembros.

    Cómo encontrar DN base

    En el servidor AD, abra el símbolo del sistema (CMD) como administrador y ejecute el comando: dsquery user -name .

    cmd

    Ejemplo de Configuración LDAP

    El origen de autenticación del administrador se establece en Ambos y SASL se configura en Ninguno en este ejemplo.

    ad expressway

    Verificar estado LDAP

    Validar el Estado de la Conexión del Servidor LDAP:

    Configuración de grupos de administradores

    La página Grupos de administradores Usuarios > Grupos de administradores enumera todos los grupos de administradores configurados en Expressway y le permite agregar, editar y eliminar grupos.

    Nota: Los grupos de administradores sólo se aplican si se habilita la autenticación de cuenta remota mediante LDAP.

    Cuando inicia sesión en la interfaz web de Expressway, las credenciales se autentican en el servicio de directorio remoto y se le asignan los derechos de acceso asociados al grupo al que pertenece.

    Opciones de configuración de grupos de administradores en Expressway

    Nombre: El nombre del grupo de administradores. Los nombres de grupo definidos en Expressway deben coincidir con los nombres de grupo configurados en el servicio de directorio remoto para administrar el acceso de administrador a este Expressway.

    exp-ad

    Nivel de acceso:

    • Lectura-escritura Permite ver y cambiar toda la información de configuración. Esto proporciona los mismos derechos que la cuenta de administrador predeterminada.
    • Sólo-Lectura: Permite ver sólo la información de estado y configuración, sin modificarla. Algunas páginas, como la página Actualizar, están bloqueadas a cuentas de sólo lectura.
    • Auditor: Permite acceder únicamente a las páginas Registro de eventos, Registro de configuración, Registro de red, Alarmas y Descripción general .
    • Ninguno: No se permite el acceso

    Acceso web: Determina si los miembros de este grupo pueden iniciar sesión en el sistema con la interfaz web.


    Acceso a API: Determina si los miembros de este grupo pueden acceder al estado y la configuración del sistema con la API.


    Acceso CLI: Determina si los miembros de este grupo pueden acceder al sistema a través de CLI.


    Estado: Indica si el grupo está activado o desactivado.

    Configuración de grupo de administradores en AD

    1. Cree un nuevo grupo de objetos en la carpeta que desea almacenar los usuarios. 

    2. Asigne un nombre al nombre del grupo. 

    grpoup name

    Asigne el grupo configurado al usuario o usuarios que necesiten acceder a Expressway a través de Web, API o CLI. En este caso, el usuario es testuser.

    1. Abra las propiedades del usuario, vaya a la ficha Miembro de,Seleccione Agregar

    2. Busque el nombre de grupo creado anteriormente. 

    3. A continuación, seleccione Aceptar.

    member of

    En este momento, el usuario es miembro de Domain Users y ExpresswayAdmin

    user

    Configuración de grupo de administradores en Expressway

    Una vez realizada la configuración, en Expressway navegue hasta Usuarios > Grupos de administradores, seleccione Nuevo

    Nombre: debe coincidir con la configuración del nombre de grupo y asociado al usuario LDAP que necesita acceder a Expressway. En este ejemplo, el nombre de grupo es ExpresswayAdmin, por lo que el nuevo nombre de grupo de administradores es ExpresswayAdmin.

    Este grupo tiene todos los permisos y acceso disponibles.

    ad admingruop2

    Seleccione Guardar.

    big

    Verificación

    Cierre la sesión e intente acceder a través de Web con el usuario LDAP que tiene el Grupo de administradores asociado. En este ejemplo, el usuario creado es testuser.

    testuerlogin

    Esto se puede confirmar a través de Status > Event log:

    testuser log

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    26-Jan-2022
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jefferson Madriz
      Elias Sevilla

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco