【准入】天擎强制合规-LDAP认证联动配置指导

代苏艳发表于:2021年01月06日 10:58:18

适配版本


产品:天擎强制合规模块(NAC)

版本:天擎6.0LTS/6.3LTS/6.6LTS/6.7LTS,NAC扩展包

平台:Windows/Linux/其他XXX/平台无关


内容


一、测试、实施等售后工作的建议

由于连接ldap服务器的超级管理员或查询管理员的,用户名密码信息比较敏感,也为了不更多的耽误用户时间配合测试,建议:

在进驻用户现场进行测试或实施前,务必在公司搭建测试环境,熟悉产品功能,明确排查步骤。

务必确认需要用户提供的信息,避免反复索要,使得用户产生反感情绪。

 

二、前期准备

2.1明确用户实际需求,包括实现认证的效果,认证用户所在的分组等。

2.2 调研用户环境.

2.2.1  LDAP类型,如域或tivoli等。

2.2.2  LDAP服务器网络配置和通讯情况,具体包括LDAP服务器IP/端口。还有天擎、NAC引擎到LDAP服务器的通信权限。

2.2.3  用于天擎连接ldap服务器的账户,此账户需有查询权限。

2.2.4  用于终端侧进行认证账户,建议用户提供至少2个用户和密码,用作验证测试。

2.3 通过LdapBrowser工具验证用户提供的信息。

image2018-5-3_16-37-25.png?version=1&modificationDate=1525336651000&api=v2

image2018-5-3_16-37-34.png?version=1&modificationDate=1525336660000&api=v2

image2018-5-3_16-37-45.png?version=1&modificationDate=1525336671000&api=v2

通过simple authentication 验证方法可以验证:

1连接LDAP的超级管理员的Base DN、User DN(对应天擎页面-LDAP认证-完整的用户实名)、用户名、密码。

2实际LDAP认证用户的Base DN、用户名和密码是否正确。

不急于点击finish按钮进行连接,先通过右侧 check credentials按钮验证用户参数配置是否正确。

Valid credentials-表示有效凭据,可以finish登录ldap。

Invalid Credentials - Retry ? –表示无效凭据,需验证Base DN、用户名、密码是否正确。


通过search 用户属性(这里的用户属性一般指cn、uid、samaccountname等,可以通过search后面的下拉框进行查看),可以验证当前用户如t1是否可以通过cn属性查询,并且可以查看到用户的User DN(可以理解为此用户的绝对路径)和Base DN(可以理解为相对路径)。

注意:Base DN如果填写为DC=corp,DC=power,DC=com和OU=testou1,DC=corp,DC=power,DC=com,都可以查询这个用户(比如t1),那么天擎页面-LDAP认证-Base DN栏填写两个都可以。只是DC=corp,DC=power,DC=com索引的范围比较大。

image2018-5-3_16-37-56.png?version=1&modificationDate=1525336682000&api=v2

 

三、配置

3.1 功能位置

强制合规-认证配置-认证源-LDAP认证。

 

3.2 功能描述

天擎控制中心与LDAP服务器成功建立联动关系以后,终端侧可以使用除本地用户(天擎系统创建的用户)外的ldap用户进行认证,支持包括Web和802.1x认证。

 

3.3    配置步骤

3.3.1开通天擎、NAC到LDAP服务器的网络访问权限,包括协议和端口号。3.3.2 配置LDAP服务器联动。

(1)配置LDAP地址和端口。

(2)完整的用户实名:这里的用户名和下面的密码项,是用于天擎系统和LDAP绑定配置的,一般是超级管理员的用户名和密码,或者具备查询功能的用户名和密码。

(3)BaseDN:索引查询认证用户所使用的目录。

(4)密码:上接2.2,这里的密码是“完整的用户实名”用户的密码。

image2018-5-3_16-38-7.png?version=1&modificationDate=1525336693000&api=v2

四、验证

1、 天擎与LDAP连接

1.1使用系统管理-系统设置-LDAP设置,启用LDAP设置。

1.2填写在认证源-LDAP认证配置的参数,点击测试连接进行验证。

image2018-5-3_16-38-15.png?version=1&modificationDate=1525336701000&api=v2

如果验证成功继续执行下一步验证测试。如果验证失败,需确认以下信息:

a.用户提供的LDAP服务器的IP地址和端口是否正确。

b.NAC到LDAP的网络通信情况。

c.连接LDAP服务器的用户名和密码是否正确。

 

2、 在NAC侧验证ldap认证用户。

在NAC引擎的cli模式下进行验证,(只有6.0.1019.0102以上版本才有此功能,包括此版本)命令格式如下:

<360NAC>auth ldap user <user> pwd <pwd> host <host> port <port>

或者

<360NAC>auth ldap ldapauth host <host> port <port> ldapsenable <ldapsenable> basedn <basedn> userdn <userdn> userpass <userpass> user <user> pwd <pwd> userinfo <userinfo>


image2018-5-3_16-38-23.png?version=1&modificationDate=1525336709000&api=v2

说明:test是测试的ldap账户 admin.123是ldap账户的密码。

如果验证不成功,需要确认BaseDN是否正确,需跟用户确认ldap认证用户是否在可以通过BaseDN目录查询到。

3、在终端侧实地验证测试。

如果这一步验证成功,可以在web认证页面或802.1x认证页面进行功能测试演示等。

如果这一步不成功,可以使用天擎本地用户进行验证测试。

 

五、提交TAC

如果需要提交后端进行排查测试,需要收集以下内容。

5.1 NAC引擎/var/log/nac/目录下所有日志,压缩加密发送回来。

收集日志前开启auth_center的调试模式,在终端侧进行验证测试并记录时间,时间通过查看nac系统时间获得。

image2018-5-3_16-38-34.png?version=1&modificationDate=1525336720000&api=v2

image2018-5-3_16-38-40.png?version=1&modificationDate=1525336726000&api=v2

注意:验证完成以后,调试模式一定要关闭。Sysconf debug disable  


5.2抓取报文

在NAC引擎侧同时抓取终端到NAC的包和NAC到LDAP服务器的包。

from终端:

tcpdump -i ethx host x.x.x.x -vvv -s 0 -w client1.pcap

ethx是和ldap通信的接口。

x.x.x.x是终端的地址。

 

to ldap:

tcpdump -i ethx host x.x.x.x -vvv -s 0 -w ldap1.pcap

ethx是和ldap通信的接口。

x.x.x.x是ldap服务器的地址。


六、FAQ

Q:系统管理-系统设置-LDAP设置 和 强制合规-认证配置-认证源-LDAP认证,两个功能有什么联系,有什么区别,分别如何使用。

答复:前者是导入用户和组织结构使用和后者用于ldap集成认证,两者没有关联。


Q:ldap用户是否一定需要导入天擎系统。

答复:Ldap认证不需要导入到天擎系统。