Cómo instalar el servidor LDAP en Windows y trabajar con Omada Router para lograr una administración de cuentas unificada

Knowledgebase
Configuration Guide
VPN
Standalone
02-02-2023
217

Este artículo se aplica a: ER605 v2; Controlador Omada v5.8 y superior

 

1. Introducción de LDAP

 

LDAP (Protocolo ligero de acceso a directorios) es un protocolo ligero de acceso a directorios con fuertes mecanismos de administración de permisos y autenticación de usuarios. Permite el uso de listas de control de acceso (ACL) para controlar los permisos para leer o escribir datos dentro de un ámbito determinado. Las ACL pueden controlar qué usuarios pueden acceder a los datos, a qué datos se accede, dónde se accede a los datos, cómo se accede, etc.

El modelo básico de LDAP se basa en una "entrada" (Entry), que es una colección de uno o más atributos con un "nombre distinguible" globalmente único (indicado por dn). Por analogía con una base de datos relacional, una entrada es equivalente a un registro en la base de datos, mientras que un dn es equivalente a una palabra clave para un registro en la base de datos y un atributo es equivalente a un campo en la base de datos. En LDAP, los datos se organizan en una estructura de árbol, como se muestra en la siguiente figura:

Cada nodo del gráfico se guarda con una entrada. Diferentes tipos de nodos pueden requerir diferentes datos para ser guardados, y en LDAP los datos requeridos por diferentes nodos (llamados atributos) están controlados por el tipo de clase de objeto. Al mismo tiempo, cada entrada tiene un dn y, dado que el dn es único, los datos de nodo necesarios se pueden encontrar rápidamente. dn se compone en forma de una búsqueda paso a paso del nodo principal, comenzando desde el propio nombre de la entrada y terminando con la entrada raíz. Como se muestra arriba, el dn del nodo inferior en el diagrama se puede expresar como

DN: cn= Jane Smith, ou= personas, dc=ejemplo, dc=org

 

Atributos comunes

Nombre del Atributo

Nombre completo

Descripción

corriente continua

Componente de dominio

(Componente de Dominio)

La parte del nombre de dominio, el formato es el nombre de dominio completo en varias partes, como el nombre de dominio por ejemplo.org en dc = ejemplo , dc = org (un registro pertenece a la ubicación)

ou

Organization Unit

(Unidad de organización)

Unidades organizativas, que pueden contener varios otros objetos (incluidas otras unidades organizativas), como " ou = people " (la organización a la que pertenece un registro)

cn

Common Name

(Nombre común)

Usualmente se refiere al nombre de un objeto. Si es una persona, se debe usar el nombre completo. Ejemplo: cn = Jane Smith

dn

Distinguished Name

(Nombre distinguido)

 

Nombre de identificación único, similar a la ruta absoluta, cada objeto tiene un nombre de identificación único . Ejemplo: cn= Jane Smith, ou= people, dc=example, dc=org

uid

User ID

(Identificación de usuario)

Por lo general, se refiere al nombre de inicio de sesión del usuario. Ejemplo: uid = Jane Smith

rdn

Relative dn

(Nombre de Identificativo Relativo)

Nombre del identificador relativo, similar a la ruta relativa. Ejemplo: cn= Jane Smith o ou= personas

sn

Surname

(Apellido)

Generalmente se refiere al apellido de una persona. Ejemplo: sn = Smith

 

2. Instalación del servidor LDAP bajo plataforma Windows

 

(1) Consulte el siguiente enlace para descargar la aplicación OpenLDAP para Windows:

https://www.maxcrc.de/en/download-en/

 

(2) Una vez que se complete la descarga, haga doble clic en el programa para ingresar a la instalación de la aplicación OpenLDAP y haga clic en para continuar con el siguiente paso.

 

(3) Haga clic en Siguiente en la esquina superior derecha para la próxima instalación, verifique la declaración del certificado de usuario y haga clic en Siguiente.

 

(4) Seleccione la ruta de instalación, se recomienda modificarla al resto del disco excepto al disco C, como D:/OpenLDAP, haga clic en siguiente; Realice la configuración del usuario, el valor predeterminado puede ser.

 

(5) Establezca el nombre del servidor LDAP, aquí completamos tplink y elegimos el valor predeterminado MBD para el backend de la base de datos.

 

(6) Establezca la contraseña predeterminada (secreta), haga clic en Siguiente y haga clic en Instalar. Podemos cambiar la contraseña después de que se complete la instalación.

 

(7) La instalación se completa cuando se muestra la pantalla que se muestra a continuación, haga clic en Cerrar para cerrar la pantalla de instalación.

 

(8) Abra el comando CMD en la PC, vaya a la ruta de instalación de OpenLDAP y cambie la contraseña del administrador:

D:

cd OpenLDAP

slappasswd –h {SSHA}

 

Después de ingresar la contraseña modificada (aquí, cambiamos la contraseña a 123456), se generará una cadena de clave cifrada, copie esta información clave.

Abra el archivo slapd.conf en el directorio de instalación de OpenLDAP(D:\OpenLDAP) como un bloc de notas y cambie el contenido después de rootpw a la información clave que acaba de copiar. El cambio de contraseña está completo.

 

(9) Vaya al directorio de instalación en la línea de comando CMD: D:/OpenLDAP/run , luego escriba ejecutar para iniciar el servidor LDAP.

 

Al final, mostrará slapd partida , lo que significa que se inició con éxito.

 

Finalmente, en Administrador de tareas > Servicios, verifique si el proceso en segundo plano del servidor LDAP OpenLDAP-slapd se está ejecutando correctamente.

 

 

3. Configuración del servidor LDAP utilizando el cliente LDAP

 

(1) LdapAdminv1830 puede configurar el servidor LDAP instalado en el host local, como realizar operaciones de adición, modificación y eliminación de usuarios LDAP. Consulte el siguiente enlace para descargar: Descargar LdapAdminv1830

 

(2) Haga clic en la opción de inicio debajo de las conexiones para conectarse y haga clic en Nueva conexión .

 

(3) Configure de acuerdo con el siguiente ejemplo:

Nombre de conexión : ldap

Host : dirección IP del host donde se encuentra el servidor LDAP

Puerto : 389 (si elige el cifrado TLS/SSL, el puerto se convierte en 636)

Versión : 3

Base : dc=maxcrc,dc=com (Haga clic en Obtener/Fetch DNs para obtener automáticamente)

Nombre de usuario : cn=manager,dc=maxcrc,dc=com

Contraseña : 123456 (La contraseña acaba de cambiar en el paso anterior)

Nota: La base y el nombre de usuario se pueden encontrar en el archivo slapd.conf , con el sufijo correspondiente a Base y rootdn correspondiente al nombre de usuario. Aquí no los modificamos, solo usamos los valores predeterminados.

 

Haga clic en Aceptar y haga doble clic en la conexión recién creada llamada ldap para conectarse al servidor LDAP que debe configurarse.

 

(4) Seleccione el servidor LDAP conectado y haga clic en editar > nuevo > unidad organizativa, agregue dos entradas de OU=Personas y OU=Grupo.

 

(5) Verifique la entrada OU=personas, haga clic en editar > nuevo > Usuario, agregue el usuario uid=username1, configure la información del usuario de acuerdo con la figura a continuación, la información completada en la figura es obligatoria, el resto es opcional.

 

(6) Verifique la entrada de usuario agregada uid=username1 y haga clic en Edit > Set Password para establecer la contraseña para este usuario.

 

(7) Repita los pasos anteriores para crear dos entradas de usuario con uid=username2, uid=username3 respectivamente.

 

(8) Agregue la subentrada cn=team1 para OU=Group. Seleccione la entrada OU=Grupo y haga clic en Edit> New > Group; Crear un nuevo Grupo. Ingrese el nombre como team1, haga clic en agregar en la página y seleccione el nombre de usuario1 y el nombre de usuario2 de los miembros del grupo para agregarlos. Luego haga clic en Aceptar.

 

4. Configuración de perfiles LDAP en el enrutador Omada

 

Vaya a Authentication > LDAP , haga clic en Agregar para completar el parámetro como se muestra en la figura a continuación.

  • Nombre: ldap
  • Tipo de enlace: Redular Mode (el servidor LDAP de Windows solo admite este modo)
  • Dirección del servidor: 192.168.0.101 (la dirección IP del servidor LDAP)
  • Puerto de destino: 389 (SSL/TLS no está habilitado en el servidor)
  • DN regular: cn=manager,dc=maxcrc,dc=com (información de la cuenta del administrador, solo el modo regular requiere que se ingrese esta información)
  • Regular Password (Contraseña normal): 123456 (contraseña de la cuenta de administrador)
  • Common Name Identifer (Identificador de nombre común): uid (el nombre genérico del nombre de usuario ingresado durante la autenticación del usuario, generalmente "uid")
  • Base Distinguished Name (Nombre distinguido base): ou=Pepole,dc=maxcrc,dc=com (El nombre base utilizado para la autenticación del usuario se puede buscar haciendo clic en el ícono a la derecha del árbol del directorio ldap. Aquí elegimos ou=Personas, lo que indica que los tres se puede autenticar la información de usuario en ou=Pepole. Por supuesto, también puede seleccionar usuarios específicos en la entrada ou=People).

  • Group Distinguished Name (Nombre distinguido del grupo) : ou=Group,dc=maxcrc,dc=com (Este es un campo opcional que permite filtrar en grupos de usuarios. Aquí seleccionamos ou=Group, lo que significa que solo los usuarios bajo ou=Group pueden ser autenticados, es decir, nombre de usuario1 y nombre de usuario2.)

En este punto, la configuración relacionada con LDAP está completa.

El PPTP/L2TP/OpenVPN y la autenticación web en el enrutador Omada se pueden usar con LDAP para realizar una gestión centralizada de la información de la cuenta. A continuación, presentamos cómo se pueden usar L2TP VPN, OpenVPN y la autenticación web con LDAP.

 

5. VPN L2TP con uso y verificación de LDAP

 

(1) Vaya a VPN > L2TP > Servidor L2TP , haga clic en Agregar para completar el parámetro como se muestra en la figura a continuación. No olvide crear el grupo de IP de VPN con anticipación. Cuando el tipo de autenticación es LDAP, seleccione el perfil LDAP que acaba de crear. Haga clic en Aceptar para completar la configuración, no es necesario crear usuarios adicionales para la VPN en Usuarios.

 

(2) Usar el cliente para la conexión VPN. Para obtener más información, consulte este enlace: Cómo configurar el cliente PPTP/L2TP en una PC remota

Una cosa a tener en cuenta es que la contraseña sin cifrar (PAP) debe verificarse en la NIC VPN creada para garantizar una conexión adecuada. Esto se debe a que LDAP también utiliza el protocolo PPP, lo que puede provocar que la información del usuario no se autentique si se cifra.

 

(3) Podemos usar las cuentas usename1 y username2 configuradas en el servidor LDAP para la autenticación de inicio de sesión de VPN y, después de una conexión exitosa, podemos ver la información del cliente correspondiente en VPN > L2TP > Lista de túneles .

 

6. OpenVPN con uso y verificación de LDAP

 

(1) Vaya a VPN > OpenVPN > OpenVPN Server , haga clic en Agregar para completar el parámetro como se muestra en la figura a continuación. Primero debe habilitar AccountPWD y puede elegir el tipo de autenticación. Cuando el tipo de autenticación es LDAP, seleccione el perfil LDAP que acaba de crear. Haga clic en Aceptar para completar la configuración, no es necesario crear usuarios adicionales para la VPN en Usuarios.

 

(2) Haga clic en Exportar a la derecha para exportar y enviar el perfil OVPN al cliente que necesita conectarse.

 

(3) Use OpenVPN Connect para conectarse. Importe el archivo OVPN exportado desde el enrutador, ingrese el nombre de usuario y la contraseña configurados en el servidor LDAP y conéctese normalmente.

 

7. Autenticación web con uso y verificación de LDAP

 

(1) Vaya a Autenticación > Configuración de autenticación > Autenticación web , habilite el Estado y elija LDAP para el Tipo de autenticación.

 

(2) Cuando el cliente quiera acceder a Internet, saltará a la interfaz que se muestra a continuación, y la información de la cuenta de nombre de usuario 1 y nombre de usuario 2 puede pasar la autenticación.

 

(3) Cuando el cliente está autenticado, la información del cliente correspondiente se puede ver en Autenticación > Estado de autenticación .

 

Conozca más detalles de cada función y configuración, vaya al Centro de descargas para descargar el manual de su producto.

Evalúa este documento

Documentos relacionados