Introducción
Este documento describe los pasos necesarios para habilitar el protocolo ligero de acceso a directorios (LDAP) en el servidor de Expressway y cómo habilitar el acceso de grupos de administradores a través de la Web, la interfaz de programación de aplicaciones (API) y la interfaz de línea de comandos (CLI) a Expressway con sus usuarios de dominio.
Colaborado por Jefferson Madriz y Elias Sevilla, Ingenieros del TAC de Cisco.
Prerequisites
Requirements
- Conocimientos básicos sobre Expressway.
- La configuración básica de Expressway ya ha finalizado.
- Directorio activo (AD) ya configurado.
- Reglas de firewall preparadas para permitir la comunicación entre Expressway y el servidor AD.
Componentes Utilizados
- Active Directory instalado en Windows Server 2016.
- Servidor Expressway-C en la versión X14.0.3.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
Configuración LDAP
La página de configuración LDAP Users > LDAP configuration se utiliza para configurar una conexión LDAP a un servicio de directorio remoto para la autenticación de cuenta de administrador.
- Autenticación de cuenta remota: Esta sección le permite habilitar o inhabilitar el uso de LDAP para la autenticación de cuenta remota.
- Sólo local: Las credenciales se comprueban con una base de datos local almacenada en el sistema.
- Sólo remoto: Las credenciales se verifican en un directorio de credenciales externo.
-Ambas: Las credenciales se verifican primero con una base de datos local almacenada en el sistema y, a continuación, si no hay coincidencia con la cuenta, se utiliza en su lugar el directorio de credenciales externo.
- Configuración del servidor LDAP: esta sección especifica los detalles de conexión al servidor LDAP.
Resolución de dirección FQDN:
- Registro SRV: búsqueda de registro de servicio (SRV) de servicio de nombres de dominio (DNS).
- Registro de dirección: Búsqueda de registros DNS A o AAAA.
- Dirección IP: se ingresa directamente como una dirección IP.
Nota: Si utiliza registros SRV, asegúrese de que _ldap._tcp. los registros utilizan el puerto LDAP estándar 389. Expressway no admite otros números de puerto para LDAP.
Nombre de host y dominio:
- Registro SRV: sólo se requiere la parte de dominio de la dirección del servidor.
- Registro de dirección: introduzca el nombre de host y el dominio. A continuación, se combinan para proporcionar la dirección completa del servidor para la búsqueda de registros de direcciones DNS.
- Dirección IP: la dirección del servidor se ingresa directamente como dirección IP.
Puerto:
- El puerto IP a utilizar en el servidor LDAP.
Cifrado:
- TLS: utiliza el cifrado de seguridad de la capa de transporte (TLS) para la conexión al servidor LDAP.
- Desactivado: no se utiliza ninguna encriptación.
- Configuración de autenticación: esta sección especifica las credenciales de autenticación de Expressway que se deben utilizar para enlazar al servidor LDAP.
Enlazar DN: Nombre distinguido (DN), no distingue mayúsculas de minúsculas, que utiliza Expressway para enlazar al servidor LDAP. Es importante especificar el DN en el orden cn=, luego ou=, luego dc=
Nota: La cuenta de enlace suele ser una cuenta de sólo lectura sin privilegios especiales.
Enlazar contraseña: La contraseña (distingue entre mayúsculas y minúsculas) utilizada por Expressway para enlazar al servidor LDAP.
SASL: El mecanismo de capa de seguridad y autenticación simple (SASL) que se utiliza para enlazar al servidor LDAP
- Ninguno: no se utiliza ningún mecanismo.
- DIGEST-MD5: se utiliza el mecanismo DIGEST-MD5.
Enlazar nombre de usuario: Nombre de usuario de la cuenta que Expressway utiliza para iniciar sesión en el servidor LDAP (distingue entre mayúsculas y minúsculas).
- Configuración del directorio: Esta sección especifica los nombres distintivos base que se utilizarán para buscar nombres de cuentas y de grupos.
DN base para las cuentas: Definición de unidad organizativa (OU) y controlador de dominio (DC) del nombre distinguido en el que se inicia una búsqueda de cuentas de usuario en la estructura de la base de datos (sin distinción de mayúsculas y minúsculas).
El DN base para cuentas y grupos debe estar en el nivel DC o debajo de él (incluya todos los valores dc= y ou= si es necesario). La autenticación LDAP no busca en las cuentas sub-DC, solamente niveles OU más bajos y Nane común (CN).
DN base para grupos: La definición OU y DC del nombre distinguido donde debe iniciarse una búsqueda de grupos en la estructura de base de datos (no distingue entre mayúsculas y minúsculas).
Si no se especifica ningún DN base para los grupos, se utiliza el DN base para las cuentas tanto para los grupos como para las cuentas.
Profundidad de búsqueda de subgrupos anidada: Se utiliza para limitar la profundidad de los grupos para la búsqueda LDAP.
Omitir buscar todos los miembros: Se utiliza para deshabilitar o habilitar la búsqueda de miembros de un grupo de administradores mientras se realiza el proceso de búsqueda de autenticación. El valor predeterminado es Yes: omita la búsqueda de miembros.
Cómo encontrar DN base
En el servidor AD, abra el símbolo del sistema (CMD) como administrador y ejecute el comando: dsquery user -name
.
Ejemplo de Configuración LDAP
El origen de autenticación del administrador se establece en Ambos y SASL se configura en Ninguno en este ejemplo.
Verificar estado LDAP
Validar el Estado de la Conexión del Servidor LDAP:
Configuración de grupos de administradores
La página Grupos de administradores Usuarios > Grupos de administradores enumera todos los grupos de administradores configurados en Expressway y le permite agregar, editar y eliminar grupos.
Nota: Los grupos de administradores sólo se aplican si se habilita la autenticación de cuenta remota mediante LDAP.
Cuando inicia sesión en la interfaz web de Expressway, las credenciales se autentican en el servicio de directorio remoto y se le asignan los derechos de acceso asociados al grupo al que pertenece.
Opciones de configuración de grupos de administradores en Expressway
Nombre: El nombre del grupo de administradores. Los nombres de grupo definidos en Expressway deben coincidir con los nombres de grupo configurados en el servicio de directorio remoto para administrar el acceso de administrador a este Expressway.
Nivel de acceso:
- Lectura-escritura Permite ver y cambiar toda la información de configuración. Esto proporciona los mismos derechos que la cuenta de administrador predeterminada.
- Sólo-Lectura: Permite ver sólo la información de estado y configuración, sin modificarla. Algunas páginas, como la página Actualizar, están bloqueadas a cuentas de sólo lectura.
- Auditor: Permite acceder únicamente a las páginas Registro de eventos, Registro de configuración, Registro de red, Alarmas y Descripción general .
- Ninguno: No se permite el acceso
Acceso web: Determina si los miembros de este grupo pueden iniciar sesión en el sistema con la interfaz web.
Acceso a API: Determina si los miembros de este grupo pueden acceder al estado y la configuración del sistema con la API.
Acceso CLI: Determina si los miembros de este grupo pueden acceder al sistema a través de CLI.
Estado: Indica si el grupo está activado o desactivado.
Configuración de grupo de administradores en AD
1. Cree un nuevo grupo de objetos en la carpeta que desea almacenar los usuarios.
2. Asigne un nombre al nombre del grupo.
Asigne el grupo configurado al usuario o usuarios que necesiten acceder a Expressway a través de Web, API o CLI. En este caso, el usuario es testuser.
1. Abra las propiedades del usuario, vaya a la ficha Miembro de,Seleccione Agregar
2. Busque el nombre de grupo creado anteriormente.
3. A continuación, seleccione Aceptar.
En este momento, el usuario es miembro de Domain Users y ExpresswayAdmin.
Configuración de grupo de administradores en Expressway
Una vez realizada la configuración, en Expressway navegue hasta Usuarios > Grupos de administradores, seleccione Nuevo
Nombre: debe coincidir con la configuración del nombre de grupo y asociado al usuario LDAP que necesita acceder a Expressway. En este ejemplo, el nombre de grupo es ExpresswayAdmin, por lo que el nuevo nombre de grupo de administradores es ExpresswayAdmin.
Este grupo tiene todos los permisos y acceso disponibles.
Seleccione Guardar.
Verificación
Cierre la sesión e intente acceder a través de Web con el usuario LDAP que tiene el Grupo de administradores asociado. En este ejemplo, el usuario creado es testuser.
Esto se puede confirmar a través de Status > Event log: