custom.ribbon_feed
annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
972
Visites
0
Compliment
3
Réponses

Cisco 9000 series: authentification utilisateur CLI par serveur LDAP/LDAPS

MadyS
Spotlight
Spotlight

Bonjour,

 

J’ai des catalyst 9200 IOS XE 16.x.x et 17.x.x sur lesquels je voudrai mettre en place l’authentification des utilisateurs CLI par serveur LDAP/LDAPS.

Ma question est de savoir si cela est possible avec uniquement un serveur LDAP sans aucun serveur AAA (TACACS+, Radius) ?

J’ai vu des documents mais je suis confus car selon certains, il semblerait que cela soit possible avec les nouvelles versions IOS.

Pouvez-vous s’il vous plait répondre à cette question, la réponse a un impact fort sur mon architecture .

Merci pour vos efforts .

Cordialement

3 RÉPONSES 3

Jimena Saez
Community Manager
Community Manager

Bonjour @MadyS 

 

Nous avons consulté en interne et d'après nos experts oui c'est possible, veuillez consulter le document suivant:

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_ldap/configuration/xe-3e/sec-usr-ldap-xe-3e-book/sec_conf_ldap.html

 

Si vous avez des questions supplémentaires, nous sommes à l'écoute sur ce même fil.

 

Meilleures salutations, Jimena

Bonjour @Jimena Saez 

 

Je vous remercie pour votre retour et désolé pour mon retard dans la réponse.

Nous avons essayé d'implémenter la solution avec un catalyst 9200 (ios 16.12 ) mais ça n'a pas marché. L'objectif est d'authentifier les administrateurs depuis l'annuaire d'un serveur LDAP qui s'interface avec le switch. Comme indiqué précédemment, on n'a pas de serveur AAA. Voici les résultats obtenus quand je lance les commandes show:

 

switch(config)#do sho ldap server misali.net summary
Server Information for misali.net
================================
Server name :misali.net
Server Address :192.168.0.161
Server listening Port :389
Bind Root-dn :usercisco
Server mode :Non-Secure
Cipher Suite :0x00
Authentication Seq :Search first. Then Bind/Compare password next
Authentication Procedure:Bind with user password
Base-Dn :dc=misali,dc=net
Request timeout :30
Deadtime in Mins :0
State :ALIVE
No. of active connections :0
---------------------------------

switch(config)#do sho ldap server misali.net statistics
---------------------------------
* LDAP STATISTICS *
Total messages [Sent:0, Received:0]
Response delay(ms) [Average:0, Maximum:0]
Total search [Request:0, ResultEntry:0, ResultDone:0]
Total bind [Request:0, Response:0]
Total extended [Request:0, Response:0]
Total compare [Request:0, Response:0]
Search [Success:0, Failures:0]
Bind [Success:0, Failures:0]
Missing attrs in Entry [0]
----------------------------------

Pouvez-vous s'il vous plaît me dire s'il y a quelque chose d'autre à prendre en compte qui ne serait pas dans le document indiqué dans votre réponse?

 

Je vous remercie d'avance pour votre aide!

 

Cordialement,

Madys

Anonymous
Non applicable

Bonjour,

 

Pouvez vous ré-essayer ? mais en ayant tapé la ligne :

debug ldap all

Est-ce que vous pouvez poster le résultat et aussi regarder dans les logs s'il y a des messages concernant ldap. Si oui vous pouvez les poster (en cachant les adresses sensibles et les mots de passe)?

 

Si vous êtes en telnet/ssh, avant d'utiliser debug, n'oubliez pas de taper:

terminal monitor

Pour voir le résultat du debug.

 

Une fois le debug terminé, n'oubliez pas de taper undebug all .

 

Bonne journée