在Expressway上配置LDAP以访问Web、API和CLI

简介

本文档介绍在Expressway服务器上启用轻量级目录访问协议(LDAP)所需的步骤，以及如何启用管理员组通过Web、应用程序编程接口(API)和命令行界面(CLI)与域用户访问Expressway。

作者：Jefferson Madriz和Elias Sevilla，思科TAC工程师。

先决条件

要求

• Expressway基础知识。 
• Expressway基本配置已完成。 
• 已配置Active Directory(AD)。 
• 防火墙规则已就绪，允许Expressway和AD服务器之间通信。 

使用的组件

• 安装在Window Server 2016上的Active Directory。 
• 版本X14.0.3上的Expressway-C服务器。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

LDAP配置

“LDAP配置”页面“用户”>“LDAP配置”用于配置到远程目录服务的LDAP连接，以便进行管理员帐户身份验证。

• 远程帐户身份验证：此部分允许您启用或禁用LDAP用于远程帐户身份验证。

-仅限本地:凭证根据存储在系统上的本地数据库进行验证。
— 仅远程：凭证根据外部凭证目录进行验证。
— 两者：首先根据存储在系统上的本地数据库验证凭证，如果与帐户不匹配，则使用外部凭证目录。

• LDAP服务器配置：此部分指定与LDAP服务器的连接详细信息。

FQDN地址解析：

• SRV记录：域名服务(DNS)服务记录(SRV)查找。
• 地址记录：DNS A或AAAA记录查找。
• IP 地址：直接输入为IP地址。

注意：如果使用SRV记录，请确保_ldap._tcp。记录使用标准LDAP端口389。Expressway不支持LDAP的其他端口号。

主机名和域：

• SRV 记录:仅需要服务器地址的域部分。
• 地址记录：输入主机名和域。然后，将这些地址组合起来，为DNS地址记录查找提供完整的服务器地址。
• IP 地址：服务器地址直接作为IP地址输入。

端口：

• 要在LDAP服务器上使用的IP端口。

加密 :

• TLS:使用传输层安全(TLS)加密来连接LDAP服务器。
• 关闭:不使用加密。

• 身份验证配置：此部分指定Expressway的身份验证凭证，以用于绑定到LDAP服务器。

绑定DN:Expressway用于绑定到LDAP服务器的可分辨名称(DN)（不区分大小写）。以cn=、ou=、dc=顺序指定DN非常重要

注意：绑定帐户通常是没有特殊权限的只读帐户。

绑定密码：Expressway用于绑定到LDAP服务器的密码（区分大小写）。

SASL:用于绑定到LDAP服务器的简单身份验证和安全层(SASL)机制

• 无:不使用任何机制。
• DIGEST-MD5:使用DIGEST-MD5机制。

绑定用户名：Expressway用于登录LDAP服务器的帐户的用户名（区分大小写）。

• 目录配置:此部分指定用于搜索帐户和组名称的基本可分辨名称。

帐户的基本DN:可分辨名称的组织单位(OU)和域控制器(DC)定义，其中在数据库结构中开始搜索用户帐户（不区分大小写）。

帐户和组的基本DN必须处于或低于DC级别（必要时包括所有dc=值和ou=值）。LDAP身份验证不会查看子DC帐户，只会查看较低的OU和通用纳(CN)级别。

组的基本DN：可分辨名称的OU和DC定义，其中必须在数据库结构中开始搜索组（不区分大小写）。

如果未指定组的基本DN，则帐户的基本DN将同时用于组和帐户。

嵌套子组搜索深度：用于限制LDAP搜索的组深度。

跳过查找所有成员：用于在进行身份验证搜索过程时禁用或启用管理员组的成员查找。默认值为是 — 跳过成员查找。

如何查找基本DN

在AD服务器上，以管理员身份打开命令提示符(CMD)并运行命令： dsquery user -name 。

LDAP配置示例

在本例中，管理员身份验证源设置为Both，SASL设置为None。

验证LDAP状态

验证LDAP服务器连接状态：

• 线上:未显示错误消息
• 失败:显示错误消息。LDAP错误消息

管理员组配置

“管理员组”页面“用户”>“管理员组”列出了Expressway上已配置的所有管理员组，并允许您添加、编辑和删除组。

注意：仅当启用使用LDAP的远程帐户身份验证时，管理员组才适用。

登录Expressway Web界面时，凭据会根据远程目录服务进行身份验证，并为您分配与您所属组关联的访问权限。

Expressway上的管理员组配置选项

名称：管理员组的名称。在Expressway中定义的组名必须与在远程目录服务中设置的组名匹配，以管理对此Expressway的管理员访问。

访问级别:

• 读写：允许查看和更改所有配置信息。这提供与默认管理员帐户相同的权限。
• 只读：仅允许查看和不更改状态和配置信息。某些页面（如“升级”页面）被阻止为只读帐户。
• 审计人：仅允许访问“事件日志”、“配置日志”、“网络日志”、“警报”和“概述”页。
• 无:不允许访问

Web 访问:确定是否允许此组的成员通过Web界面登录系统。

API访问：确定是否允许此组的成员使用API访问系统的状态和配置。

CLI访问：确定是否允许此组的成员通过CLI访问系统。

状态:指示组是启用还是禁用。

AD上的管理员组配置

1.在要存储用户的文件夹上创建新对象组。 

2.为组名称指定名称。 

将配置的组分配给需要通过Web、API或CLI访问Expressway的用户。在本例中，用户为testuser。

1.打开用户属性，导航至“成员”选项卡，选择添加

2.搜索之前创建的组名。 

3.然后选择“确定”。

此时，用户是域用户和ExpresswayAdmin的成员。 

Expressway上的管理员组配置

完成配置后，在Expressway上导航至“用户”>“管理员组”，选择“新建”

名称：必须与组名称配置匹配，并与需要访问Expressway的LDAP用户关联。在本示例中，组名称为ExpresswayAdmin，因此新的管理员组名称为ExpresswayAdmin。

此组具有所有权限和访问权限。

选择“保存”。

验证

注销并尝试通过与管理员组关联的LDAP用户通过Web访问。在本示例中，创建的用户是testuser。

这可通过状态>事件日志确认: