Tutorial: Configurar o botão big-IP da F5 para SSO a Oracle EBS

Neste artigo, aprenda a garantir o Oracle Enterprise Business Suite (EBS) utilizando Azure Ative Directory (Azure AD), através da configuração guiada do Botão FÁCIL BIG-IP da F5.

A integração de um BIG-IP com AD Azure proporciona muitos benefícios, incluindo:

Para conhecer todos os benefícios, consulte o artigo sobre a integração F5 BIG-IP e AD AZure e o que é o acesso à aplicação e o único sind com Azure AD.

Descrição do cenário

Este cenário olha para a aplicação clássica da Oracle EBS que utiliza cabeçalhos de autorização HTTP para gerir o acesso a conteúdos protegidos.

Sendo legado, a aplicação carece de protocolos modernos para apoiar uma integração direta com a Azure AD. A aplicação pode ser modernizada, mas é dispendiosa, requer um planeamento cuidadoso e introduz o risco de um potencial tempo de inatividade. Em vez disso, um Controlador de Entrega de Aplicações BIG-IP (ADC) é utilizado para colmatar a lacuna entre a aplicação do legado e o moderno plano de controlo de ID, através da transição protocolar.

Ter um BIG-IP em frente à app permite-nos sobrepor o serviço com pré-autenticação AD AZure e SSO baseado em cabeçalho, melhorando significativamente a postura de segurança geral da aplicação.

Arquitetura do cenário

A solução de acesso híbrido seguro para este cenário é composta por vários componentes, incluindo uma arquitetura Oráculo de várias camadas:

Aplicação Oracle EBS: Serviço publicado BIG-IP a ser protegido pela Azure AD SHA.

Azure AD: Fornecedor de Identidade (IdP) responsável pela verificação das credenciais de utilizador, Acesso Condicional (CA) e SSO baseado em SAML para o BIG-IP. Através do SSO, o Azure AD fornece ao BIG-IP todos os atributos de sessão necessários.

Diretório de Internet da Oracle (OID): Acolhe a base de dados do utilizador. A BIG-IP verifica via LDAP os atributos de autorização.

Oracle AccessGate: Valida atributos de autorização através de back channel com serviço OID, antes de emitir cookies de acesso EBS

BIG-IP: Reverso proxy e prestador de serviços SAML (SP) para a aplicação, delegando a autenticação no IdP SAML antes de efetuar SSO baseado em cabeçalho para a aplicação Oracle.

A SHA para este cenário suporta tanto os fluxos iniciados pelo SP como o IdP. A imagem a seguir ilustra o fluxo iniciado sp.

Secure hybrid access - SP initiated flow

Passos Descrição
1 O utilizador liga-se ao ponto final da aplicação (BIG-IP)
2 A política de acesso APM BIG-IP redireciona o utilizador para Azure AD (SAML IdP)
3 A Azure AD pré-autentica o utilizador e aplica quaisquer políticas de acesso condicional aplicadas
4 O utilizador é redirecionado de volta para BIG-IP (SAML SP) e SSO é realizado usando o token SAML emitido
5 BIG-IP executa consulta LDAP para utilizadores Atributo ID Único (UID)
6 BIG-IP injeta atributo UID devolvido como cabeçalho user_orclguid em pedido de cookies de sessão EBS para Oracle AccessGate
7 Oracle AccessGate valida serviço UID contra Oracle Internet Directory (OID) e emite cookie de acesso EBS
8 Cabeçalhos e cookies do utilizador EBS enviados para a aplicação e devolve a carga útil ao utilizador

Pré-requisitos

A experiência prévia do BIG-IP não é necessária, mas precisa:

  • Uma subscrição gratuita da AZure AD ou superior

  • Um BIG-IP existente ou implementar uma Edição Virtual BIG-IP (VE) em Azure

  • Qualquer uma das seguintes SKUs de licença F5 BIG-IP

    • F5 BIG-IP® Melhor pacote

    • Licença autónoma de F5™ BIG-IP (APM)

    • Licença de complemento™ de informação de acesso BIG-IP (APM) de um Gestor de Tráfego ™ Local BIG-IP® existente (LTM)

    • Licença de teste de recurso completo BIG-IP de 90 dias.

  • Identidades de utilizador sincronizadas de um diretório no local para Azure AD ou criadas diretamente dentro da Azure AD e recorriu para o seu diretório no local

  • Uma conta com permissões de administração de aplicações AZure AD

  • Um certificado Web SSL para serviços de publicação em HTTPS ou utilizar certificados BIG-IP predefinidos durante os testes

  • Um suíte Oracle EBS existente, incluindo o Oracle AccessGate e um LDAP habilitado OID (Oracle Internet Database)

Métodos de configuração BIG-IP

Existem muitos métodos para configurar o BIG-IP para este cenário, incluindo duas opções baseadas em modelos e uma configuração avançada. Este tutorial cobre a mais recente Configuração Guiada 16.1 oferecendo um modelo de botão Fácil. Com o Botão Fácil, os administradores já não vão e voltam entre o Azure AD e um BIG-IP para permitir serviços para SHA. A implementação e gestão de políticas é tratada diretamente entre o assistente de configuração guiada da APM e o microsoft Graph. Esta rica integração entre a BIG-IP APM e a Azure AD garante que as aplicações podem apoiar rapidamente, facilmente, a federação de identidade, sSO e acesso condicional AD Azure, reduzindo as despesas administrativas.

Nota

Todas as cordas ou valores de exemplo referenciados ao longo deste guia devem ser substituídos por estes para o seu ambiente real.

Registar botão fácil

Antes que um cliente ou serviço possa aceder à Microsoft Graph, deve ser confiado pelo plataforma de identidades da Microsoft.

Este primeiro passo cria um registo de aplicativos de inquilino que será usado para autorizar o acesso do Botão Fácil a Graph. Através destas permissões, o BIG-IP será autorizado a empurrar as configurações necessárias para estabelecer uma confiança entre uma instância SAML SP para aplicação publicada, e Azure AD como o IdP SAML.

  1. Inscreva-se no portal AD AD da Azure com direitos administrativos de aplicação

  2. A partir do painel de navegação à esquerda, selecione o serviço Azure Ative Directory

  3. Em Gestão, selecione Registos de aplicações > Novo registo

  4. Introduza um nome de exibição para a sua aplicação. Por exemplo, Botão Fácil F5 BIG-IP

  5. Especificar quem pode usar as contas de aplicação >apenas neste diretório organizacional

  6. Selecione Registar-se para completar o registo inicial da aplicação

  7. Navegue para permissões API e autorize as seguintes permissões da Aplicação Microsoft Graph:

    • Application.Read.All
    • Application.ReadWrite.All
    • Application.ReadWrite.OwnedBy
    • Diretório.Ler.Tudo
    • Group.Read.All
    • IdentityRiskyUser.Read.All
    • Política.Ler.Tudo
    • Política.ReadWrite.ApplicationConfiguration
    • Política.ReadWrite.CondicionadoAccess
    • User.Read.All
  8. Conceder consentimento administrativo para a sua organização

  9. Vá a Certificados Segredos&, gere um novo segredo do Cliente e anotá-lo

  10. Vá ao Overview, note o ID do Cliente e o ID do Inquilino

Configure botão fácil

Inicie a configuração guiada do APM para lançar o modelo de botão fácil.

  1. Navegue para aceder > à configuração > guiada da Integração da Microsoft e selecione a aplicação AD AZure.

    Screenshot for Configure Easy Button- Install the template

  2. Reveja a lista de etapas de configuração e selecione Seguinte

    Screenshot for Configure Easy Button - List configuration steps

  3. Siga a sequência de passos necessários para publicar a sua aplicação.

    Configuration steps flow

Propriedades de configuração

O separador Configuration Properties cria um config de aplicação BIG-IP e um objeto SSO. Considere a secção Azure Service Account Details para representar o cliente que registou no seu inquilino AZure AD anteriormente, como um pedido. Estas configurações permitem que um cliente OAuth da BIG-IP registe individualmente um SAML SP diretamente no seu inquilino, juntamente com as propriedades SSO que normalmente configuraria manualmente. O Easy Button faz isto para cada serviço BIG-IP que está a ser publicado e ativado para SHA.

Algumas delas são configurações globais, pelo que podem ser reutilizadas para a publicação de mais aplicações, reduzindo ainda mais o tempo e esforço de implementação.

  1. Fornecer um nome de configuração único que permite a um administrador distinguir facilmente entre configurações de botão fácil

  2. Ativar cabeçalhos HTTP Sign-On (SSO) &

  3. Insira o ID do Inquilino, ID do Cliente e O Segredo de Cliente que observou ao registar o cliente Do Botão Fácil no seu inquilino.

  4. Antes de selecionar Next, confirme que o BIG-IP pode ligar-se com sucesso ao seu inquilino.

     Screenshot for Configuration General and Service Account properties

Prestador de Serviços

As definições do Fornecedor de Serviços definem as propriedades para a instância SAML SP da aplicação protegida através de SHA.

  1. Insira o anfitrião. Esta é a FQDN pública da aplicação que está sendo segura

  2. Insira o ID da Entidade. Este é o identificador Azure AD usará para identificar o SAML SP solicitando um token

    Screenshot for Service Provider settings

    Em seguida, sob Definições de segurança opcional especificar se a Azure AD deve encriptar as afirmações SAML emitidas. A encriptação de afirmações entre a Azure AD e a BIG-IP APM fornece garantias de que os tokens de conteúdo não podem ser intercetados e os dados pessoais ou corporativos são comprometidos.

  3. A partir da lista de chaves privadas de desencriptação de afirmação , selecione Criar Novo

    Screenshot for Configure Easy Button- Create New import

  4. Selecione OK. Isto abre o diálogo de Certificado SSL de Importação e Chaves num novo separador

  5. Selecione PKCS 12 (IIS) para importar o seu certificado e chave privada. Uma vez previsto, feche o separador do navegador para voltar ao separador principal.

    Screenshot for Configure Easy Button- Import new cert

  6. Verifique ativar a afirmação encriptada

  7. Se tiver ativado a encriptação, selecione o seu certificado na lista de Chave Privada de Desencriptação de Afirmação . Esta é a chave privada para o certificado que a BIG-IP APM usa para desencriptar afirmações de AD AZure

  8. Se tiver ativado a encriptação, selecione o seu certificado na lista de Certificados de Desencriptação de Afirmação . Este é o certificado que a BIG-IP envia para a Azure AD para encriptar as afirmações SAML emitidas.

    Screenshot for Service Provider security settings

Azure Active Directory

Esta secção define todas as propriedades que normalmente usaria para configurar manualmente uma nova aplicação BIG-IP SAML dentro do seu inquilino AZure AD. Easy Button fornece um conjunto de modelos de aplicação pré-definidos para Oracle PeopleSoft, Oracle E-business Suite, Oracle JD Edwards, SAP ERP, bem como modelo genérico DE SHA para quaisquer outras aplicações. Para este cenário selecione Oracle E-Business Suite > Add.

Screenshot for Azure configuration add BIG-IP application

Configuração azul

  1. Insira o Nome do Ecrã da app que o BIG-IP cria no seu inquilino AD Azure, e o ícone que os utilizadores vêem no portal MyApps

  2. No Sign On URL (opcional) insira o FQDN público da aplicação EBS sendo protegido, juntamente com o caminho padrão para a página inicial do Oracle EBS

    Screenshot for Azure configuration add display info

  3. Selecione o ícone de atualização ao lado da Chave de Assinatura e Certificado de Assinatura para localizar o certificado que importou anteriormente

  4. Introduza a palavra-passe do certificado na palavra-passe de assinatura

  5. Ativar a opção de assinatura (opcional). Isto garante que a BIG-IP apenas aceita fichas e reclamações que são assinadas pela Azure AD

    Screenshot for Azure configuration - Add signing certificates info

  6. Os Grupos de Utilizador e Utilizador são dinamicamente consultados pelo seu inquilino Azure AD e utilizados para autorizar o acesso à aplicação. Adicione um utilizador ou grupo que pode usar mais tarde para testes, caso contrário todo o acesso será negado

    Screenshot for Azure configuration - Add users and groups

Reclamações de atributos & do utilizador

Quando um utilizador autentica com sucesso, o Azure AD emite um token SAML com um conjunto padrão de reclamações e atributos que identifiquem exclusivamente o utilizador. O separador 'Atributos do & Utilizador' mostra as alegações padrão a emitir para a nova aplicação. Também lhe permite configurar mais reclamações.

Screenshot for user attributes and claims

Pode incluir atributos AD Azure adicionais, se necessário, mas o cenário Oracle EBS apenas requer os atributos predefinidos.

Atributos adicionais do utilizador

O separador Atributos adicionais do utilizador pode suportar uma variedade de sistemas distribuídos que requerem atributos armazenados em outros diretórios para aumento de sessão. Os atributos obtidos a partir de uma fonte LDAP podem então ser injetados como cabeçalhos SSO adicionais para um maior controlo de acesso com base em funções, IDs de parceiro, etc.

  1. Ativar a opção advanced Definições

  2. Verifique a caixa de verificação dos Atributos LDAP

  3. Selecione Criar Novo no Servidor de Autenticação De Escolha

  4. Selecione Utilize o modo de ligação ao pool ou ao servidor direto , dependendo da sua configuração. Isto fornece o Endereço do Servidor do serviço LDAP alvo. Se utilizar um único servidor LDAP, selecione Direct.

  5. Insira a Porta de Serviço como 3060 (Predefinido), 3161 (Seguro) ou qualquer outra porta onde o seu serviço Oracle LDAP opera

  6. Introduza a Base Search DN (nome distinto) a partir do qual procurar. Esta pesquisa DN é usada para pesquisar grupos em todo um diretório.

  7. Desaprote o Admin DN para o nome exato distinto da conta que o APM utilizará para autenticar para consultas LDAP, juntamente com a sua palavra-passe

    Screenshot for additional user attributes

  8. Deixe todos os atributos de esquema LDAP predefinidos

    Screenshot for LDAP schema attributes

  9. Em Propriedades de Consulta LDAP, desa ajuste o Search Dn para o nó base do servidor LDAP a partir do qual procurar objetos de utilizador

  10. Adicione o nome do atributo do objeto de utilizador que deve ser devolvido do diretório LDAP. Para o EBS, o padrão é orclguid

    Screenshot for LDAP query properties.png

Política de Acesso Condicional

As políticas de acesso condicional são aplicadas após pré-autenticação Azure AD, para controlar o acesso com base no dispositivo, aplicação, localização e sinais de risco.

A visão das Políticas Disponíveis , por padrão, listará todas as políticas de Acesso Condicional que não incluam ações baseadas no utilizador.

A visualização de Políticas Selecionadas , por padrão, apresenta todas as políticas direcionadas a todas as aplicações na nuvem. Estas políticas não podem ser desescolhidas ou transferidas para a lista de Políticas Disponíveis, uma vez que são aplicadas ao nível dos inquilinos.

Para selecionar uma política a aplicar à aplicação que está a ser publicada:

  1. Selecione a política desejada na lista de Políticas Disponíveis

  2. Selecione a seta direita e mova-a para a lista de Políticas Selecionadas

    As políticas selecionadas devem ter uma opção Incluir ou Excluir verificada. Se ambas as opções forem verificadas, a política não é aplicada.

    Screenshot for CA policies

Nota

A lista de apólices é enumerada apenas uma vez quando se muda pela primeira vez para este separador. Um botão de atualização está disponível para forçar manualmente o assistente a consultar o seu inquilino, mas este botão só é apresentado quando a aplicação tiver sido implantada.

Propriedades do servidor virtual

Um servidor virtual é um objeto de plano de dados BIG-IP representado por um endereço IP virtual que ouve os pedidos do cliente para a aplicação. Qualquer tráfego recebido é processado e avaliado com o perfil APM associado ao servidor virtual, antes de ser direcionado de acordo com os resultados e configurações da política.

  1. Insira o Endereço de Destino. Este é qualquer endereço IPv4/IPv6 disponível que o BIG-IP pode usar para receber tráfego de clientes. Um registo correspondente também deve existir no DNS, permitindo que os clientes resolvam o URL externo da sua aplicação big-IP publicada neste IP, em vez da própria appllication. A utilização do DNS local de teste do PC é bom para testes.

  2. Insira porta de serviço como 443 para HTTPS

  3. Verifique a porta de redirecionamento e , em seguida, introduza a Porta de Redirecionamento. Redireciona o tráfego de clientes HTTP para HTTPS

  4. O Perfil SSL do Cliente permite o servidor virtual para HTTPS, de modo a que as ligações do cliente sejam encriptadas sobre o TLS. Selecione o Perfil SSL do Cliente criado como parte dos pré-requisitos ou deixe o padrão durante o teste

    Screenshot for Virtual server

Propriedades da piscina

O separador 'Pool' de aplicações detalha os serviços por detrás de um BIG-IP, representado como um pool contendo um ou mais servidores de aplicações.

  1. Escolha entre Selecionar uma Piscina. Criar uma nova piscina ou selecionar uma existente

  2. Escolha o método de equilíbrio de carga como Robin Redondo

  3. Para os Servidores de Pool selecionam um nó existente ou especificam um IP e uma porta para os servidores que hospedam a aplicação Oracle EBS.

    Screenshot for Application pool

  4. O Access Gate Pool especifica os servidores que o Oracle EBS utiliza para mapear um utilizador autenticado SSO para uma sessão oracle E-Business Suite. Atualizar servidores de pool com o IP e porta para os servidores de aplicação Oracle hospedando a aplicação

    Screenshot for AccessGate pool

Cabeçalhos HTTP Sign-On & individuais

O assistente de botão fácil suporta kerberos, porta-vozes de autorização OAuth e HTTP para sSO para aplicações publicadas. Como a aplicação Oracle EBS espera cabeçalhos, ative os cabeçalhos HTTP e introduza as seguintes propriedades.

  • Operação cabeçalho: substituir

  • Nome do cabeçalho: USER_NAME

  • Valor do cabeçalho: %{session.sso.token.last.username}

  • Operação cabeçalho: substituir

  • Nome do cabeçalho: USER_ORCLGUID

  • Valor do cabeçalho: %{session.ldap.last.attr.orclguid}

     Screenshot for SSO and HTTP headers

Nota

As variáveis de sessão APM definidas dentro de suportes encaracolados são sensíveis ao CASO. Por exemplo, se introduzir o OrclGUID quando o nome de atributo AD AZure estiver a ser definido como orclguid, causará uma falha de mapeamento de atributos

Gestão de Sessão

As definições de gestão de sessão BIG-IPs são utilizadas para definir as condições em que as sessões de utilizador são encerradas ou autorizadas a continuar, limites para utilizadores e endereços IP, e informações correspondentes do utilizador. Consulte os documentos da F5 para obter mais detalhes sobre estas definições.

O que não está coberto aqui, no entanto, é a funcionalidade Single Log-Out (SLO), que garante todas as sessões entre o IdP, o BIG-IP, e o agente do utilizador são encerrados à medida que os utilizadores assinam. Quando o Botão Fácil instantaneamente uma aplicação SAML no seu inquilino Azure AD, também povoa o Url logout com o ponto final SLO da APM. Desta forma, o IdP iniciou as assinaturas do portal Azure AD MyApps também terminando a sessão entre o BIG-IP e um cliente.

Juntamente com isto, os metadados da federação SAML para a aplicação publicada também são importados do seu inquilino, fornecendo ao APM o ponto final de logout DA SAML para a Azure AD. Isto garante que os signos iniciados pela SP terminam a sessão entre um cliente e a Azure AD. Mas para que isso seja verdadeiramente eficaz, o APM precisa de saber exatamente quando um utilizador assina a aplicação.

Se o portal webtop BIG-IP for utilizado para aceder a aplicações publicadas, então uma sferição a partir daí seria processada pela APM para também chamar o ponto final de sinalização Azure AD. Mas considere um cenário em que o portal big-IP não é utilizado, então o utilizador não tem como instruir o APM a assinar. Mesmo que o utilizador se regisse com a própria aplicação, o BIG-IP é tecnicamente alheio a isso. Por esta razão, a SP iniciou a sessão de aprovação necessita de uma análise cuidadosa para garantir que as sessões sejam terminadas de forma segura quando já não forem necessárias. Uma forma de o conseguir seria adicionar uma função SLO ao botão de assinatura das suas aplicações, para que possa redirecionar o seu cliente para o Azure AD SAML ou para o ponto final de sinalização BIG-IP. O URL para o ponto final de assinatura SAML para o seu inquilino pode ser encontrado em Pontos Finais de Registos > de Aplicações.

Se fazer uma alteração na aplicação não for fácil, então considere ter o BIG-IP a ouvir a chamada de sinalização da aplicação e, ao detetar o pedido, desencadeie a SLO. Consulte as nossas orientações da Oracle PeopleSoft SLO para usar as regras BIG-IP para o conseguir. Mais detalhes sobre a utilização de regras BIG-IP iRules para o conseguir está disponível no artigo de conhecimento F5 Configurar a interrupção automática da sessão (logout) com base num nome de ficheiro referenciado uri e visão geral da opção Logout URI Include.

Resumo

Este último passo proporciona uma desagregação das suas configurações. Selecione Implementar para comprometer todas as definições e verificar se o pedido agora existe na lista de inquilinos de 'Aplicações enterprise.

Passos seguintes

A partir de um browser, conecte-se ao URL externo da aplicação Oracle EBS ou selecione o ícone da aplicação no portal Microsoft MyApps. Depois de autenticar para Azure AD, você será redirecionado para o servidor virtual BIG-IP para a aplicação e automaticamente assinado através do SSO.

Para uma maior segurança, as organizações que usam este padrão também poderiam considerar bloquear todo o acesso direto à aplicação, forçando assim um caminho rigoroso através do BIG-IP.

Implantação avançada

Pode haver casos em que os modelos de configuração guiada não têm flexibilidade para atingir requisitos mais específicos. Para estes cenários, consulte Configuração Avançada para SSO baseado em cabeçalhos. Em alternativa, o BIG-IP dá a opção de desativar o modo de gestão rigorosa da Configuração Guiada. Isto permite-lhe ajustar manualmente as suas configurações, mesmo que a maior parte das suas configurações sejam automatizadas através dos modelos baseados em assistentes.

Pode navegar para aceder > à Configuração Guiada e selecionar o pequeno ícone de cadeado na extrema direita da linha para os configs das suas aplicações.

Screenshot for Configure Easy Button - Strict Management

Nessa altura, as alterações através da UI do assistente deixaram de ser possíveis, mas todos os objetos BIG-IP associados à instância publicada da aplicação serão desbloqueados para gestão direta.

Nota

A reposição do modo rigoroso e a implementação de uma configuração substituirão quaisquer definições executadas fora da UI de configuração guiada, pelo que recomendamos o método de configuração avançado para os serviços de produção.

Resolução de problemas

O não acesso a uma aplicação protegida sha pode ser devido a qualquer número de fatores. A exploração madeireira BIG-IP pode ajudar a isolar rapidamente todo o tipo de problemas com conectividade, SSO, violações de políticas ou mapeamentos variáveis mal configurados. Inicie a resolução de problemas aumentando o nível de verbosidade do log.

  1. Navegue para aceder a registos > de > eventos > de Definições

  2. Selecione a linha para a sua aplicação publicada e, em seguida , Edite > Registos do Sistema de Acesso

  3. Selecione Debug da lista SSO e, em seguida, OK

Reproduza o seu problema e, em seguida, inspecione os registos, mas lembre-se de mudar isto quando terminado, pois o modo verboso gera muitos dados.

Se vir um erro da marca BIG-IP imediatamente após a pré-autenticação Azure AD bem sucedida, é possível que o problema esteja relacionado com SSO de Azure AD para o BIG-IP.

  1. Navegar para aceder > a relatórios de acesso ao visão > geral

  2. Faça o relatório da última hora para ver se os registos fornecem alguma pista. O link de variáveis da sessão View para a sua sessão também ajudará a entender se o APM está a receber as reclamações esperadas da Azure AD

Se não vir uma página de erro BIG-IP, então o problema está provavelmente mais relacionado com o pedido de backend ou SSO do BIG-IP para a aplicação.

  1. Nesse caso, dirija-se à visão geral da política > de > acesso às sessões ativas e selecione o link para a sua sessão ativa

  2. A ligação 'Ver Variáveis ' neste local também pode ajudar a causar problemas de SSO, especialmente se o BIG-IP APM não obtiver os atributos certos a partir de Azure AD ou outra fonte

Consulte a variável BIG-IP APM atribuir exemplos e referência de variáveis de sessão BIG-IP F5 para obter mais informações.

O seguinte comando de uma casca de bata valida a conta de serviço APM utilizada para consultas LDAP e pode autenticar e consultar com sucesso um objeto de utilizador:

ldapsearch -xLLL -H 'ldap://192.168.0.58' -b "CN=oraclef5,dc=contoso,dc=lds" -s sub -D "CN=f5-apm,CN=partners,DC=contoso,DC=lds" -w 'P@55w0rd!' "(cn=testuser)"

Para mais informações, visite este artigo de conhecimento F5 Configurando a autenticação remota LDAP para o Ative Directory. Há também uma grande tabela de referência BIG-IP para ajudar a diagnosticar problemas relacionados com LDAP neste artigo de conhecimento F5 sobre consulta LDAP.