LDAP(Lightweight Directory Access Protocol) とは?
- 情報を一元管理し情報提供を行う「ディレクトリサービス」を提供するサーバへアクセスする際に使うプロトコルです。
LDAPのキーワード
LDAP識別名(DN:Distributed Name)
- LDAPによりディレクトリサービスにアクセスする際に、その対象を指定する手段です。
- 複数のLDAP相対識別名(RDN) をカンマで区切って並べたものです。
cn=poodle, cn=Dog, dc=sample, dc=com
# ドメイン「sample.com」のコンテナ「Dog」に配置したデータ「poodle」を示すDN。
# 因みにcnは "Common-Name", dcは "Domain-Component" のことです。
LDAP認証・LDAP連携
- Apacheなどのグループウェアサーバで、LDAP連携の設定をしておくとグループウェアサーバ側にアカウント情報を入力しなくとも、LDAPに登録されたアカウント情報をもとに自動でアカウント作成できる機能です。
設定例:
// sample-serverの設定を表示
# show running-config sample-server LDAP
aaa-server LDAP protocol ldap
aaa-server LDAP (dmz) host 192.168.10.50
ldap-base-dn dc=example,dc=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn cn=Administrator,cn=Users,dc=example,dc=com
server-type microsoft
ldap-attribute-map CSC
// LDAP Attribute Map の設定
# show running-config ldap attribute-map CSC
map-name memberOf Group-Policy
map-value memberOf CN=CSCO_VPN,OU=ENGINEERING,DC=example,DC=com GroupPolicy-CSC
// Connection Profile と Group Policy の設定
# show running-config tunnel-group TunnelGroup-CSC
tunnel-group TunnelGroup-CSC type remote-access
tunnel-group TunnelGroup-CSC general-attributes
authentication-server-group LDAP
参考
- https://tech-lab.sios.jp/archives/20661
- https://www.infraexpert.com/study/security19.html
- https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-active-directory-ldap-%E9%80%A3%E6%90%BA%E3%81%AE%E8%A8%AD%E5%AE%9A%E4%BE%8B/ta-p/3292292