Re: Cisco 9000 series: authentification utilisateur CLI par serveur LDAP/LDAPS

MadyS · ‎08-02-2021

Bonjour,

J’ai des catalyst 9200 IOS XE 16.x.x et 17.x.x sur lesquels je voudrai mettre en place l’authentification des utilisateurs CLI par serveur LDAP/LDAPS.

Ma question est de savoir si cela est possible avec uniquement un serveur LDAP sans aucun serveur AAA (TACACS+, Radius) ?

J’ai vu des documents mais je suis confus car selon certains, il semblerait que cela soit possible avec les nouvelles versions IOS.

Pouvez-vous s’il vous plait répondre à cette question, la réponse a un impact fort sur mon architecture .

Merci pour vos efforts .

Cordialement

Jimena Saez · ‎15-02-2021

Bonjour @MadyS

Nous avons consulté en interne et d'après nos experts oui c'est possible, veuillez consulter le document suivant:

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_ldap/configuration/xe-3e/sec-usr-ldap-xe-3e-book/sec_conf_ldap.html

Si vous avez des questions supplémentaires, nous sommes à l'écoute sur ce même fil.

Meilleures salutations, Jimena

MadyS · ‎15-03-2021

Bonjour @Jimena Saez

Je vous remercie pour votre retour et désolé pour mon retard dans la réponse.

Nous avons essayé d'implémenter la solution avec un catalyst 9200 (ios 16.12 ) mais ça n'a pas marché. L'objectif est d'authentifier les administrateurs depuis l'annuaire d'un serveur LDAP qui s'interface avec le switch. Comme indiqué précédemment, on n'a pas de serveur AAA. Voici les résultats obtenus quand je lance les commandes show:

switch(config)#do sho ldap server misali.net summary
Server Information for misali.net
================================
Server name :misali.net
Server Address :192.168.0.161
Server listening Port :389
Bind Root-dn :usercisco
Server mode :Non-Secure
Cipher Suite :0x00
Authentication Seq :Search first. Then Bind/Compare password next
Authentication Procedure:Bind with user password
Base-Dn :dc=misali,dc=net
Request timeout :30
Deadtime in Mins :0
State :ALIVE
No. of active connections :0
---------------------------------

switch(config)#do sho ldap server misali.net statistics
---------------------------------
* LDAP STATISTICS *
Total messages [Sent:0, Received:0]
Response delay(ms) [Average:0, Maximum:0]
Total search [Request:0, ResultEntry:0, ResultDone:0]
Total bind [Request:0, Response:0]
Total extended [Request:0, Response:0]
Total compare [Request:0, Response:0]
Search [Success:0, Failures:0]
Bind [Success:0, Failures:0]
Missing attrs in Entry [0]
----------------------------------

Pouvez-vous s'il vous plaît me dire s'il y a quelque chose d'autre à prendre en compte qui ne serait pas dans le document indiqué dans votre réponse?

Je vous remercie d'avance pour votre aide!

Cordialement,

Madys

Anonymous · ‎15-03-2021

Bonjour,

Pouvez vous ré-essayer ? mais en ayant tapé la ligne :

debug ldap all

Est-ce que vous pouvez poster le résultat et aussi regarder dans les logs s'il y a des messages concernant ldap. Si oui vous pouvez les poster (en cachant les adresses sensibles et les mots de passe)?

Si vous êtes en telnet/ssh, avant d'utiliser debug, n'oubliez pas de taper:

terminal monitor

Pour voir le résultat du debug.

Une fois le debug terminé, n'oubliez pas de taper undebug all .

Bonne journée

Cisco 9000 series: authentification utilisateur CLI par serveur LDAP/LDAPS

Liens rapides