hiep03
Intern
Tích hợp với LDAP
I. Mở đầu
Tích hợp nguồn dữ liệu thư mục LDAP với hệ thống kiểm soát truy cập Aruba ClearPass (CPPM) là giải pháp phổ biến giúp doanh nghiệp quản lý danh tính và phân quyền truy cập tập trung. Bài viết này sẽ hướng dẫn chi tiết các bước thiết lập cấu hình kết nối, đồng thời phân tích cơ chế hoạt động để lựa chọn phương thức xác thực EAP-TTLS (PAP) tối ưu nhất cho nguồn Generic LDAP.II. Lý thuyết
1. Tổng quan về dịch vụ thư mục LDAP và cơ chế xác thực
LDAP (Lightweight Directory Access Protocol) là giao thức tiêu chuẩn công nghiệp được sử dụng để truy vấn và quản lý thông tin thư mục qua mạng TCP/IP.Cơ chế xác thực cơ bản nhất của LDAP là LDAP Bind:
- Để kiểm tra thông tin đăng nhập của người dùng, máy chủ truy vấn (ClearPass) sẽ gửi trực tiếp thông tin tài khoản và mật khẩu dưới dạng văn bản (sau khi đã thiết lập kết nối an toàn) lên máy chủ LDAP.
- Máy chủ LDAP thực hiện lệnh "Bind" (liên kết). Nếu tài khoản và mật khẩu trùng khớp, LDAP sẽ trả về trạng thái thành công và cho phép truy vấn tiếp các thuộc tính của tài khoản đó (như nhóm memberOf, phòng ban department).
2. Bảng so sánh các tham số cấu hình hệ thống (Tab Primary)
| Tham số cấu hình | Nguồn xác thực Active Directory (AD) | Nguồn xác thực Generic LDAP |
| Định dạng Bind DN(Tài khoản liên kết) | Hỗ trợ cả 2 định dạng:<br>- Định dạng UPN: administrator@domain.com - Định dạng DN: cn=Admin,dc=domain,dc=com | Chỉ hỗ trợ định dạng DN tiêu chuẩn: cn=Admin,dc=domain,dc=com |
| NetBIOS Domain Name | Có hỗ trợ. Dùng để xác định tên miền ngắn gọn của AD để prepends vào User ID. | Không hỗ trợ. |
| Always use NetBIOS name | Có hỗ trợ. Ép buộc hệ thống luôn sử dụng tên NetBIOS thay cho phần domain trong username. | Không hỗ trợ. |
| Hỗ trợ LDAP Server | Tương thích với các phiên bản Active Directory của Windows Server (2012, 2016, 2022). | Chỉ tương thích với máy chủ thư mục OpenLDAP. |
So sánh về giao thức và cơ chế hỗ trợ
| Tiêu chí so sánh | Nguồn xác thực Active Directory (AD) | Nguồn xác thực Generic LDAP |
| Các giao thức xác thực hỗ trợ | Hỗ trợ đầy đủ: NTLM/MSCHAPv2, PAP/GTC, và xác thực dựa trên chứng chỉ (Certificate-based / EAP-TLS). | Hỗ trợ: PAP/GTC và xác thực dựa trên chứng chỉ (với điều kiện chứng chỉ người dùng được lưu trong thuộc tính userCertificate). |
| Yêu cầu về định dạng mật khẩu phía Backend | Không yêu cầu mật khẩu clear-text. ClearPass có thể xác thực các bản băm mã hóa (NT-Hash) thông qua cơ chế của Active Directory khi đã Join Domain. | Bắt buộc phải nhận được mật khẩu dưới dạng văn bản rõ (Clear-text password) để ClearPass thực hiện lệnh liên kết danh tính. |
| Cơ chế xác thực tài khoản (Authentication Method) | Sử dụng cơ chế xác thực gốc của Windows (thông qua giao thức MSCHAPv2 hoặc Kerberos). | Sử dụng cơ chế LDAP Bind : ClearPass lấy Username và Password của Client gửi lên để thực hiện thao tác Bind trực tiếp với máy chủ LDAP. |
Về Attribute cũng có sự khác nhau khi Type Active Directory cung cấp sẵn các mâu thuộc tính để truy vấn với AD
Active Directory Source Type
Generic LDAP Source Type
III. Mô hình triển khai
Sử dụng lại mô hình của bài lab trước
IV. Cấu hình
Cấu hình Authen Source sử dụng Generic LDAP
Phần Hostname có thể điền IP LDAP Server
Tiếp tục qua tab Attributes
Đây la Filter mặc định khi dùng Generic LDAP
Để truy vấn về AD thông qua LDAP thì cần phải cấu hình Filter như sau để Query được tên đăng nhập trong AD
Cuối cùng gán Authen Source này vào Service để xác thực người dùng
V. Kiểm tra
Đăng nhập thông qua MS: PEAP
Sử dụng tài khoản tạo trong AD
Bị Reject với lý do xác thực Failed
Bởi vì Generic LDAP không xác thực được bằng giao thức EAP-MSCHAPv2
Chọn phương thức xác thực EAP-TTLS (PAP)
Đăng nhập
Trong ClearPass đã xác thực dựa trên LDAP Source
Cảm ơn các bạn đã đọc bài viết
Bài viết liên quan
Được quan tâm
Bài viết mới