ASA-configuratievoorbeeld van LDP-kenmerken

ASA-configuratievoorbeeld van LDP-kenmerken

Inhoud

Inleiding Voorwaarden Vereisten

Gebruikte componenten Achtergrondinformatie FAQ

Q. Is er een limiet voor de configuratie van het aantal ldap-attribuut-maps voor de ASA?

Q. Is er een limiet voor het aantal eigenschappen dat per ldap-attribuut-map kan worden toegewezen?

Q. Is er een beperking op het aantal bladeservers waarop een specifieke ldap-attribuut-map kan worden toegepast?

Q. Zijn er beperkingen met ldap-attribuut-maps en utopperatieve eigenschappen zoals AD lidOf?

Case-voorbeelden gebruiken Workround/Best Practice Opties

Instellen - cases die in de steekproef zijn gebruikt 1. Handhaving van gebruikersgericht attributenbeleid

2. Plaats gebruikers van de LMP in een specifiek groepsbeleid - Algemeen voorbeeld Een NOACCESS Group-beleid configureren

3. Handhaving op basis van groepskenmerken - Voorbeeld

4. Active Directory Encapsulation "Assigned a Static IP Address" voor IPsec en SVC-tunnels 5. Actieve map Handhaving van "Dial in externe toegangsrechten, toegang toestaan/weigeren"

6. Actieve repertoring van "lid van"/groepslidmaatschap om toegang toe te staan of te weigeren 7. Handmatige repertoring van "logonuren/tijdregels"

8. Gebruik de bestandsindeling-map Configuration om een gebruiker in een specifiek groepsbeleid te zetten en gebruik de opdracht van de autorisatie-server-group, in het geval van dubbele

verificatie Verifiëren

Problemen oplossen

Schakel de LDAP-transactie uit

ASA is niet in staat om gebruikers van LDAP Server te Verifiëren

Inleiding

Dit document beschrijft hoe u de Maps van lichtgewicht Directory Access Protocol (LDAP) kunt gebruiken om een dynamisch toegangsbeleid te configureren op een adaptieve security applicatie (ASA).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

ASA Remote Access VPN-SSL (AnyConnect, client/WebVPN) en IPsec VPN

●

AAA-verificatie/identiteitsmechanismen (RADIUS, LDAP)

●

Directory Services (Active Directory-AD)

●

Gebruikte componenten

De informatie in dit document is gebaseerd op het ASA-5xxx hardwareplatform dat wordt uitgevoerd als een VPN-concentrator/server voor Remote Access SSL VPN (AnyConnect en Clientless/WebVPN) en IPsec-sessies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke

laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

LDAP is een open, leverancierneutraal toepassingsprotocol van de industriestandaard om gedistribueerde telefoongids informatiediensten via een IP-netwerk te kunnen gebruiken en onderhouden. Directory services spelen een belangrijke rol bij de ontwikkeling van intranet en internettoepassingen omdat zij informatie over gebruikers, systemen, netwerken, diensten en toepassingen in het gehele netwerk kunnen delen.

Frequent willen de beheerders VPN-gebruikers andere toegangsrechten of WebVPN-inhoud geven. Dit kan worden gedaan als u verschillend beleid van VPN op de server van VPN vormt en deze beleid-sets aan elke gebruiker toewijst op hun geloofsbrieven. Hoewel dit handmatig kan worden gedaan, is het efficiënter om het proces te automatiseren met Directory Services. Om LDAP te gebruiken om een groepsbeleid aan een gebruiker toe te wijzen, moet u een kaart configureren die een LDAP eigenschap in kaart brengt, zoals het lid van de Actieve Map (AD) toeschrijft, aan de IETF-Radius-klasse of de groepsbeleidseigenschap die wordt begrepen door het VPN-head-end.

Opmerking: Op Cisco IOS Head-ends kan hetzelfde worden bereikt als u verschillende beleidsgroepen configureren onder de WebeVPN-context en LBP-attributiekaarten gebruiken om te bepalen welke beleidsgroep de gebruiker krijgt toegewezen zoals in het document wordt beschreven. Zie Beleidsgroeptoewijzing voor AnyConnect-clients die LDAP gebruiken in Cisco IOS head-ends Configuration-voorbeeld.

Op het gebied van de ASA wordt dit regelmatig bereikt door verschillende

groepsbeleidsmaatregelen toe te wijzen aan verschillende gebruikers. Als de LDAP-verificatie in gebruik is, kan dit automatisch worden bereikt met een LDAP-attributenkaart. Om LDAP te

gebruiken om een groepsbeleid aan een gebruiker toe te wijzen, moet u een LDAP-eigenschap in kaart brengen, zoals de AD-eigenschap lid van de Groepsbeleidsmatige eigenschap die door de ASA wordt begrepen. Zodra de attribuut mapping is ingesteld, moet u de attribuut value in kaart brengen die op de LDAP server is ingesteld, naar de naam van een groepsbeleid op de ASA.

Opmerking: het lidOf attribuut komt overeen met de groep dat de gebruiker een deel van de Active Directory is. Een gebruiker kan lid zijn van meer dan één groep in de Actieve Map. Dit

veroorzaakt dat meerdere lidOf eigenschappen door de server worden verzonden, maar de ASA kan slechts één eigenschap aan één groepsbeleid aanpassen.

FAQ

Q. Is er een limiet voor de configuratie van het aantal ldap-attribuut-maps voor de ASA?

A. Nee, er zijn geen grenzen. Ldap-attribuut-maps worden dynamisch toegewezen tijdens de VPN-sessie voor toegang op afstand die gebruik maakt van LDAP-verificatie/autorisatie.

Q. Is er een limiet voor het aantal eigenschappen dat per ldap-attribuut-map kan worden toegewezen?

A. Geen beperkingen voor configuratie.

Q. Is er een beperking op het aantal bladeservers waarop een specifieke ldap- attribuut-map kan worden toegepast?

A. Geen beperking. De LDAP-code verifieert alleen dat de ldap-attribuut-map-naam geldig is.

Q. Zijn er beperkingen met ldap-attribuut-maps en utopperatieve eigenschappen zoals AD lidOf?

A. Ja. Hier wordt alleen AD toegelicht, maar het is van toepassing op elke LDAP-server die veelwaardige eigenschappen gebruikt voor beleidsbeslissingen. De ldap-attribuut-map heeft een beperking met multivaluerende eigenschappen zoals het AD lidOf. Als een gebruiker lid is van verschillende AD-groepen (wat gebruikelijk is) en de ldap-attribuut-map overeenkomt met meer dan één van deze groepen, wordt de in kaart gebrachte waarde gekozen op basis van de

alfabetisering van de corresponderende items. Aangezien dit gedrag niet voor de hand liggend of intuïtief is, is het belangrijk om duidelijke kennis te hebben over hoe het werkt.

Samenvatting: Als de LDAP-mapping voor een eigenschap meerdere waarden oplevert, wordt de uiteindelijke waarde van de eigenschap als volgt gekozen:

Selecteer eerst de waarde(s) met het kleinste aantal tekens.

●

Als dit in meer dan één waarde resulteert, kies de waarde die het laagste in alfabetische volgorde is.

●

Case-voorbeelden gebruiken

Active Directory-LDAP retourneert deze vier leden van instanties voor een gebruikersverificatie of autorisatie aanvraag:

memberOf: value = CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com memberOf: value = CN=Cisco-Eng,CN=Users,DC=stbu,OU=cisco,DC=com

memberOf: value = CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com memberOf: value = CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com

LDAP-MAP #1: Stel dat deze ldap-attribuut-map is ingesteld voor het in kaart brengen van de verschillende ASA-groepsbeleidslijnen op basis van de setting.

ldap attribute-map Class map-name memberOf Group-Policy

map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup4 map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3

map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2 map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1

In dit geval zullen overeenkomsten voorkomen op alle vier de waarden van het groepsbeleid (ASAGgroup1 - ASAGgroup4). De verbinding wordt echter toegewezen aan ASAGgroup1, omdat zij eerst in alfabetische volgorde plaatsvindt.

LDAP-MAP #2: Deze ldap-attribuut-map is hetzelfde, behalve het eerste lidOf heeft geen

expliciete kaart-waarde toegewezen (geen ASAGGroup4). Merk op dat wanneer er geen expliciete kaart-waarde is gedefinieerd, de tekst van de eigenschap die van LDAP wordt ontvangen, wordt gebruikt.

ldap attribute-map Class map-name memberOf Group-Policy

map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3 map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2 map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1

Zoals in het vorige geval, komen de overeenkomsten voor op alle vier items. In dit geval, omdat geen in kaart gebrachte waarde voor de APP-SSL-VPN-ingang wordt geleverd, zal de in kaart gebrachte waarde in de standaardinstelling worden geplaatst voor N=APP-SSL-VPN-managers, CN=Gebruikers, OU=stbu, DC=cisco,DC=com. Aangezien CN=APP-SSL-VPN als eerste in alfabetische volgorde verschijnt, wordt APP-SSL-VPN als beleidswaarde geselecteerd.

Raadpleeg Cisco bug-ID CSCub64284 voor meer informatie. Raadpleeg PIX/ASA 8.0: Gebruik LDAP-verificatie om een groepsbeleid toe te wijzen aan Login, dat een eenvoudige LDAP-case toont met lidOf dat kan werken in uw specifieke toepassing.

Workround/Best Practice Opties

gebruik van Dynamic Access Policy (DAP) - DAP heeft deze beperking van het parseren van multi-waardevolle eigenschappen (zoals lidOf) niet; Maar DAP kan op dit moment geen groepsbeleid op zichzelf stellen. Dit betekent dat de sessie goed zou moeten worden gesegmenteerd via de tunnelgroep/groep-beleidsassociatiemethoden. In de toekomst zal DAP de mogelijkheid hebben om elke autorisatieeigenschap in te stellen, inclusief het groepsbeleid (Cisco bug ID CSCsi54718), zodat de noodzaak van een ldap-attribuut-map voor dit doel uiteindelijk niet nodig zal zijn.

1.

Als mogelijk alternatief en als het inzetscenario het toelaat, wanneer je een ldap-attribuut- map moet gebruiken om de class attribuut in te stellen, zou je ook een eigenschap kunnen gebruiken met een enkele waarde (zoals Afdeling) die je groepsdifferentiatie op AD

representeert.

2.

Opmerking: In een lidOf DN zoals "CN=Engineering, OU=Office1, DC=cisco,DC=com", kan u alleen het besluit nemen over de eerste DN, dat is CN=Engineering, niet de organisatie- eenheid (OU). Er is een verbetering om op elk DNA-veld te kunnen filteren.

Instellen - cases die in de steekproef zijn gebruikt

Opmerking: Elk voorbeeld dat in deze sectie wordt beschreven is een standalone

configuratie, maar kan met elkaar worden gemengd en met elkaar worden afgestemd om het gewenste toegangsbeleid te produceren.

Tip: De namen en waarden van eigenschappen zijn Case-Sensitive. Als de mapping niet goed voorkomt, moet u er zeker van zijn dat de juiste spelling en kapitalisatie is gebruikt in de LDAP-attributenkaart voor zowel de namen en waarden van de eigenschappen van Cisco- als de LDAP-kenmerken.

1. Handhaving van gebruikersgericht attributenbeleid

Elke standaard LDAP-eigenschap kan worden toegewezen aan een bekende verkoper van het apparaat (VSA). Een of meer LBP-eigenschappen kunnen worden toegewezen aan een of meer Cisco LDAP-eigenschappen. Voor een volledige lijst van Cisco LDAP VSA's, raadpleeg

Ondersteunde Cisco Attributes voor LDAP Authorization. Dit voorbeeld toont hoe een banner voor LDAP gebruiker1 kan worden afgedwongen. Gebruiker1 kan elk VPN Remote Access type zijn:

Clientloos IPsec, SVC of Webex. Dit voorbeeld gebruikt de eigenschap/Algemene/Office eigenschap/veld om Banner1 af te dwingen.

Opmerking: U kunt de eigenschap AD van het Departement gebruiken/het veld om aan Cisco IETF-Radius-Class VSA in kaart te brengen om beleid van een ASA/PIX-groepsbeleid af te dwingen. Daarvan zijn in het document voorbeelden te vinden.

LDAP (voor Microsoft AD en Sun) attributenmapping wordt ondersteund vanaf PIX/ASA versie 7.1.x. Elke Microsoft/AD-eigenschap kan aan een Cisco-eigenschap worden toegewezen. Hier is de procedure om dit uit te voeren:

Op de AD/LDAP server:Selecteer gebruiker1.Klik met de rechtermuisknop >

Eigenschappen.Selecteer een tab die moet worden gebruikt om een eigenschap in te stellen (Voorbeeld. tab Algemeen).Selecteer een veld/eigenschap, bijvoorbeeld het veld "Office", dat moet worden gebruikt om tijdbereik af te dwingen, en voer de spantekst in (bijvoorbeeld Welkom bij LDAP!!!). De "Office"-configuratie op de GUI is opgeslagen in het AD/LDAP- kenmerk "PhysicalDeliveryOfficeName".

1.

In de ASA, om een LDAP attribuutmapping-tabel te maken, de AD/LDAP-eigenschap

"PhysicalDeliveryOfficeName" in kaart brengen met de ASA-eigenschap "Banner1":

B200-54(config)# show run ldap ldap attribute-map Banner

map-name physicalDeliveryOfficeName Banner1

2.

Koppel de LDAP attributenkaart aan de bestandsindeling:

B200-54(config-time-range)# show runn aaa-server microsoft aaa-server microsoft protocol ldap

aaa-server microsoft host audi-qa.frdevtestad.local ldap-base-dn dc=frdevtestad,dc=local

ldap-scope subtree

ldap-naming-attribute sAMAccountName

3.

ldap-login-password hello

ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local ldap-attribute-map Banner

Stel de afstandstoegangssessie in en controleer of de scanner "Welkom bij LDAP!!!!" wordt aangeboden aan de VPN-gebruiker.

4.

2. Plaats gebruikers van de LMP in een specifiek groepsbeleid - Algemeen voorbeeld

Dit voorbeeld laat de authenticatie van user1 op de AD-LDAP server zien en haalt de waarde van het afdelingsveld op zodat het kan worden toegewezen aan een ASA/PIX-groepsbeleid waaruit beleid zal worden afgedwongen.

Op de AD/LDAP server:Selecteer gebruiker1.Klik met de rechtermuisknop >

Eigenschappen.Selecteer een tab die moet worden gebruikt om een eigenschap in te stellen (Voorbeeld. Organogram).Selecteer een veld/eigenschap, bijvoorbeeld "ministerie", dat moet worden gebruikt om een groepsbeleid af te dwingen, en voer de waarde van het

groepsbeleid (Group-Policy1) in op de ASA/PIX. De configuratie van de afdeling op de GUI is opgeslagen in de AD/LDAP-eigenschap "departement".

1.

Defineert een ldap-attribuut-map tabel.

5520-1(config)# show runn ldap ldap attribute-map Our-AD-Map map-name department Group-Policy 5520-1(config)#

Opmerking:  Als resultaat van de implementatie van Cisco bug ID CSCsv4352, werd een nieuw ldap-attribuut-map attribuut, Group-Policy geïntroduceerd om IETF-Radius-Class te vervangen. De CLI op ASA versie 8.2 ondersteunt het sleutelwoord IETF-Radius-Class als een geldige keuze in de map-naam en map-waarde in volgorde om een 8.0

configuratiebestand te lezen (software upgrade scenario). De ASDM-code (Adaptieve Security Apparatuur Manager) is al bijgewerkt om IETF-Radius-Class niet langer als een keuze weer te geven wanneer u een attribuut Map-ingang configureren. Daarnaast zal ASDM de eigenschap IETF-Radius-Class (indien gelezen vanuit een 8.0-configuratie) opschrijven als de eigenschap Group-Policy.

2.

Defineer de groep-beleid Group_policy1 op het apparaat en de vereiste beleidskenmerken.

3.

Stel de VPN-tunnel op voor toegang op afstand en controleer of de sessie de eigenschappen van Group-Policy1 (en alle andere toepasselijke eigenschappen van het standaard groep- beleid) erft. Opmerking: Voeg indien nodig meer eigenschappen aan de map toe. Dit voorbeeld toont slechts het minimum om deze specifieke functie te besturen (plaats een gebruiker in een specifiek ASA/PIX 7.1.x groepsbeleid). Het derde voorbeeld toont dit soort kaart.

4.

Een NOACCESS Group-beleid configureren

U kunt een NOACCESS-groepsbeleid maken om de VPN-verbinding te ontkennen wanneer de gebruiker geen deel uitmaakt van een van de LDAP-groepen. Dit configuratiefragment wordt voor uw referentie weergegeven:

group-policy NOACCESS internal

group-policy NOACCESS attributes vpn-simultaneous-logins 0

vpn-tunnel-protocol IPSec webvpn

Je moet dit groepsbeleid als standaard groepsbeleid toepassen op de tunnelgroep. Dit stelt gebruikers die een kaart van de LDAP-attributenkaart krijgen, bijvoorbeeld degenen die tot een gewenste LDAP-groep behoren, in staat om hun gewenste groepsbeleid en gebruikers die geen mapping krijgen, bijvoorbeeld gebruikers die niet tot een van de gewenste LDAP-groepen

behoren, om het NOACCESS-groepsbeleid te halen uit de tunnelgroep, die de toegang voor hen blokkeert.

Tip: Aangezien de waarde van het vpn-simultane-logins hier op 0 is ingesteld, moet deze ook expliciet worden gedefinieerd in alle andere groepsbeleidsvormen; anders zal zij worden geërfd van het standaard groepsbeleid voor die tunnelgroep, in dit geval het NOACCESS- beleid.

3. Handhaving op basis van groepskenmerken - Voorbeeld

Opmerking: Implementatie/oplossing van Cisco bug-ID CSCse08736 is vereist, zodat de ASA minimaal versie 7.2.2 kan uitvoeren.

Stel op de AD-LDAP server, Actieve gebruikers en Computers van de Map een gebruikersrecord (VPNserGroup) in dat een groep vertegenwoordigt waarin de VPN- eigenschappen worden ingesteld.

1.

Op de AD-LDAP server, Actieve gebruikers en Computers van de Map, definieer het veld van het gebruikersrecord om in Stap 1 naar het groepsrecord te wijzen (VPNUserGroup). De naam van de gebruiker in dit voorbeeld is web1. Opmerking: De eigenschap AD van het ministerie werd uitsluitend gebruikt omdat "departement" logisch verwijst naar het

groepsbeleid. In werkelijkheid zou elk veld gebruikt kunnen worden. Het vereiste is dat dit veld naar de Cisco VPN eigenschap Group-Policy moet toewijzen zoals in dit voorbeeld.

2.

Definieer een ldap-attribuut-map-tabel:

5520-1(config)# show runn ldap ldap attribute-map Our-AD-Map

map-name department IETF-Radius-Class map-name description\Banner1

map-name physicalDeliveryOfficeName IETF-Radius-Session-Timeout 5520-1(config)#

De twee AD-LDAP eigenschappen Beschrijving en Office (weergegeven door AD-namen en PhysicalDeliveryOfficeName) zijn de groepsrecord eigenschappen (voor VPNUSerGroup) die aan Cisco VPN-eigenschappen Banner1 en IETF-Radius-Session-out kunnen worden

toegewezen.De eigenschap departement is voor het gebruikersrecord om aan de naam van het externe groepsbeleid op de ASA (VPNUSer) in kaart te brengen, dat dan terugzet naar het VPNuserGroup-record op de AD-LDAP server, waar de eigenschappen worden

gedefinieerd.Opmerking: De eigenschap Cisco (groepsbeleid) moet in de ldap-attribuut-map worden gedefinieerd. De AD-eigenschap kan elke setteerbare AD-eigenschap zijn. Dit voorbeeld gebruikt afdeling omdat het de meest logische naam is die naar groepsbeleid verwijst.

3.

Configuratie van de a-server met de ldap-attribuut-map-naam die gebruikt moet worden voor LDAP-verificatie, autorisatie en accounting (AAA) operaties:

5520-1(config)# show runn aaa-server LDAP-AD11

4.

aaa-server LDAP-AD11 protocol ldap aaa-server LDAP-AD11 host 90.148.1.11

ldap-base-dn cn=Users,dc=nelson,dc=cisco,dc=com ldap-scope onelevel

ldap-naming-attribute sAMAccountName ldap-login-password altiga

ldap-login-dn cn=Administrator,cn=Users,dc=nelson,dc=cisco,dc=com ldap-attribute-map Our-AD-Map

5520-1(config)#

Defineer een tunnelgroep met of LDAP verificatie of LDAP autorisatie. Voorbeeld met LDAP- verificatie. Dient de echtheidscontrole + (autorisatie) toe indien kenmerken worden

gedefinieerd.

5520-1(config)# show runn tunnel-group remoteAccessLDAPTunnelGroup

tunnel-group RemoteAccessLDAPTunnelGroup general-attributes authentication-server-group LDAP-AD11

accounting-server-group RadiusACS28 5520-1(config)#

Voorbeeld met LDAP autorisatie. Configuratie gebruikt voor het gebruik van digitale certificaten.

5520-1(config)# show runn tunnel-group remoteAccessLDAPTunnelGroup

tunnel-group RemoteAccessLDAPTunnelGroup general-attributes authentication-server-group none

authorization-server-group LDAP-AD11 accounting-server-group RadiusACS28 authorization-required

authorization-dn-attributes ea 5520-1(config)#

5.

Definieer een extern groepsbeleid. De naam van het groepsbeleid is de waarde van het AD- LDAP gebruikersrecord dat de groep vertegenwoordigt (VPNUserGroup).

5520-1(config)# show runn group-policy VPNUserGroup group-policy VPNUserGroup external server-group LDAP-AD11 5520-1(config)#

6.

Stel de tunnel in en controleer of de eigenschappen worden gehandhaafd. In dit geval, wordt de Steeksleutel en de Session-Time-out afgedwongen van het VPNuserGroup-record op de AD.

7.

4. Active Directory Encapsulation "Assigned a Static IP Address" voor IPsec en SVC-tunnels

De AD eigenschap is mevrouw RADIUSFramedIPAdjurk. Het attribuut wordt ingesteld in AD Gebruiker Properties, Dial-in tabblad "Toewijzen aan een Statisch IP Address".

Hier volgen de stappen:

Voer in op de AD-server onder user Properties het tabblad Dial-in, "Assign a Static IP

Address" (Statische IP Address), de waarde van het IP Address in om de IPsec/SVC-sessie (10.20.30.6) toe te wijzen.

1.

Op de ASA een ldap-attribuut-map maken met deze mapping:

5540-1# show running-config ldap ldap attribute-map Assign-IP

map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address 5540-1#

2.

Controleer in de ASA of de VPN-adres-toewijzing is ingesteld om "vpn-addr-toegewezen- aaa" op te nemen:

3.

5520-1(config)# show runn all vpn-addr-assign vpn-addr-assign aaa

no vpn-addr-assign dhcp vpn-addr-assign local 5520-1(config)#

Stel de IPsec/SVC Remote Authority (RA)-sessies op en controleer de resultaten met "show vpn-sessiondb Remote|svc" dat het veld "Toegewezen IP" juist is (10.20.30.6).

4.

5. Actieve map Handhaving van "Dial in externe toegangsrechten, toegang toestaan/weigeren"

Ondersteunt alle VPN-toegangssessies: IPsec, WebVPN en SVC. Toestaan dat toegang een waarde van TRUE heeft. Deny Access heeft een waarde van FALSE. De AD attributennaam is mevrouw NPAllowDialin.

Dit voorbeeld demonstreert de creatie van een ldap-attribuut-map die de Cisco Tunneling- Protocols gebruikt om de voorwaarden van de Toegang (TRUE) en van de Deny (FALSE) toe te staan. Als u bijvoorbeeld het tunnelprotocol=L2TPvia IPsec (8) in kaart brengt, kunt u een FALSE- voorwaarde maken als u probeert om toegang voor WebVPN en IPsec af te dwingen. De

omgekeerde logica is ook van toepassing.

Hier volgen de stappen:

Selecteer in het geval van de AD server user1 Properties de inbel-inbel de gewenste toegangsvergunning of ontkenning van toegang voor elke gebruiker. Opmerking: Als u de derde optie "Beheers van de toegang door het Afstandstoegangsbeleid" selecteert, wordt geen waarde teruggegeven van de server AD, zodat de rechten die worden afgedwongen zijn gebaseerd op de instelling van het interne groep-beleid van de ASA/PIX.

1.

Creëer in de ASA een ldap-attribuut-map met deze afbeelding:

ldap attribute-map LDAP-MAP

map-name msNPAllowDialin Tunneling-Protocols map-value msNPAllowDialin FALSE 8

map-value msNPAllowDialin TRUE 20 5540-1#

Opmerking: Voeg indien nodig meer eigenschappen aan de map toe. Dit voorbeeld toont slechts het minimum om deze specifieke functie te besturen (sta toegang toe of ontken gebaseerd op de instelling van Inbel).Wat betekent de ldap-attribuut-map of wat forceert deze?map-waarde mevrouw NPAllowDialin FALSE 8Ontken toegang voor een gebruiker1.

De FALSE waarde conditie kaarten naar tunnelprotocol L2TPoverIPsec (waarde 8).Toegang voor gebruiker2. De TRUE waarde conditie kaarten naar tunnel-protocol WebVPN + IPsec (waarde 20).Een WebVPN/IPsec-gebruiker, die als gebruiker1 op AD is geauthentiseerd, zou wegens de fout bij het tunnelprotocol falen.Een L2TPoverIPsec, geauthentiseerd als

gebruiker1 op AD, zou wegens de Deny-regel falen.Een WebVPN/IPsec gebruiker, als gebruiker2 op AD geauthentiseerd, zou slagen (staat regel + gematchte tunnelprotocol toe).Een L2TPoverIPsec, geauthentiseerd als gebruiker2 op AD, zou wegens de stunnel- protocol mismatch mislukken.

Ondersteuning voor tunnelprotocol, zoals gedefinieerd in RFC’s 2867 en 2868.

2.

6. Actieve repertoring van "lid van"/groepslidmaatschap om toegang toe te staan of

te weigeren

Deze zaak houdt nauw verband met zaak 5, voorziet in een logischer stroom en is de aanbevolen methode, aangezien de controle op het lidmaatschap van een groep als voorwaarde wordt

vastgesteld.

Configureer de AD-gebruiker met de naam "Lid van" een specifieke groep. Gebruik een naam die het bovenaan de groep-hiërarchie (ASA-VPN-Consultants) plaatst. In AD-LDAP wordt het groepslidmaatschap gedefinieerd door de AD-eigenschap "lidVan". Het is

belangrijk dat de groep bovenaan de lijst staat, omdat je op dit moment alleen de regels kunt toepassen op de eerste groep/ "lidOf" string. In release 7.3 kunt u meerdere groepen filteren en afdwingen.

1.

Creëer in de ASA een ldap-attribuut-map met de minimum mapping:

ldap attribute-map LDAP-MAP

map-name memberOf Tunneling-Protocols

map-value memberOf cn=ASA-VPN-Consultants,cn=Users,dc=abcd,dc=com 4 5540-1#

Opmerking: Voeg indien nodig meer eigenschappen aan de map toe. Deze voorbeelden tonen slechts het minimum om deze specifieke functie te controleren (staat of ontken toegang toe gebaseerd op het lidmaatschap van de Groep).Wat betekent de ldap-attribuut- map of wat forceert deze?Gebruiker=joe_consultant, een deel van AD, dat lid is van "ASA- VPN-Consultants" van de AD groep, krijgt alleen toegang als de gebruiker IPsec

(tunnelprotocol=4=IPSec) gebruikt.User=joe_consultant, een deel van AD, zal de toegang van VPN tijdens een andere client voor externe toegang (PPTP/L2TP, L2TP/IPSec, WebVPN/SVC, enz.) mislukken.Gebruiker=bill_the_hacker zal NIET worden ingesloten omdat de gebruiker geen AD lidmaatschap heeft.

2.

7. Handmatige repertoring van "logonuren/tijdregels"

In dit gebruiksgeval wordt beschreven hoe de regels van de Dag op AD/LDAP moeten worden ingesteld en gehandhaafd.

Hier volgt de procedure:

Op de AD/LDAP server:Selecteer de gebruiker.Klik met de rechtermuisknop >

Eigenschappen.Selecteer een tab die moet worden gebruikt om een eigenschap in te stellen (Voorbeeld. tab Algemeen).Selecteer een veld/eigenschap, bijvoorbeeld het veld "Office", dat moet worden gebruikt om tijdbereik af te dwingen, en voer de naam van het tijdbereik in (bijvoorbeeld Boston). De "Office"-configuratie op de GUI is opgeslagen in het AD/LDAP- kenmerk "PhysicalDeliveryOfficeName".

1.

De ASA Maak een LDAP-attributenmapping tabel.Stel de AD/LDAP-eigenschap

"PhysicalDeliveryOfficeName" in op de ASA-eigenschap "Access-Uren".Voorbeeld:

B200-54(config-time-range)# show run ldap ldap attribute-map TimeOfDay

map-name physicalDeliveryOfficeName Access-Hours

2.

Koppel in de ASA de LeerP-attributenkaart aan de AAA-serveringang:

B200-54(config-time-range)# show runn aaa-server microsoft aaa-server microsoft protocol ldap

aaa-server microsoft host audi-qa.frdevtestad.local ldap-base-dn dc=frdevtestad,dc=local

ldap-scope subtree

ldap-naming-attribute sAMAccountName ldap-login-password hello

ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local

3.

ldap-attribute-map TimeOfDay

Op de ASA, creeer een time-range object dat de naamwaarde heeft die aan de gebruiker (Office waarde in stap 1) is toegewezen:

B200-54(config-time-range)# show runn time-range

!

time-range Boston

periodic weekdays 8:00 to 17:00

!

4.

Vaststellen van de VPN-sessie voor toegang op afstand: De sessie zou moeten slagen als hij binnen de tijdspanne valt.De sessie moet mislukken als hij buiten het tijdsbereik valt.

5.

8. Gebruik de bestandsindeling-map Configuration om een gebruiker in een

specifiek groepsbeleid te zetten en gebruik de opdracht van de autorisatie-server- group, in het geval van dubbele verificatie

In dit scenario wordt dubbele authenticatie gebruikt. De eerste gebruikte verificatieserver is RADIUS en de tweede gebruikte verificatieserver is een LDAP-server. Configureer zowel de LDAP server als de RADIUS-server. Hierna volgt een voorbeeld:

ASA5585-S10-K9# show runn aaa-server aaa-server test-ldap protocol ldap

aaa-server test-ldap (out) host 10.201.246.130 ldap-base-dn cn=users, dc=htts-sec, dc=com ldap-login-password *****

ldap-login-dn cn=Administrator, cn=Users, dc=htts-sec, dc=com server-type microsoft

ldap-attribute-map Test-Safenet-MAP aaa-server test-rad protocol radius

aaa-server test-rad (out) host 10.201.249.102 key *****

Bepaal de lidaf-attribuut-map. Hierna volgt een voorbeeld:

ASA5585-S10-K9# show runn ldap ldap attribute-map Test-Safenet-MAP map-name memberOf IETF-Radius-Class

map-value memberOf "CN=DHCP Users,CN=Users,DC=htts-sec,DC=com" Test-Policy-Safenet

Defineer de tunnelgroep en associeer de RADIUS- en LDAP-server voor verificatie. Hierna volgt een voorbeeld:

ASA5585-S10-K9# show runn tunnel-group tunnel-group Test_Safenet type remote-access tunnel-group Test_Safenet general-attributes address-pool RA_VPN_IP_Pool

authentication-server-group test-rad

secondary-authentication-server-group test-ldap use-primary-username default-group-policy NoAccess

tunnel-group Test_Safenet webvpn-attributes group-alias Test_Safenet enable

Bekijk het groepsbeleid dat in de tunnel-groepsconfiguratie wordt gebruikt:

ASA5585-S10-K9# show runn group-policy group-policy NoAccess internal

group-policy NoAccess attributes wins-server none

dns-server value 10.34.32.227 10.34.32.237 vpn-simultaneous-logins 0

default-domain none

group-policy Test-Policy-Safenet internal group-policy Test-Policy-Safenet attributes dns-server value 10.34.32.227 10.34.32.237 vpn-simultaneous-logins 15

vpn-idle-timeout 30

1.

vpn-tunnel-protocol ikev1 ssl-client ssl-clientless split-tunnel-policy tunnelspecified

split-tunnel-network-list value Safenet-Group-Policy-SplitAcl default-domain none

Met deze configuratie werden AnyConnect-gebruikers die correct met het gebruik van LDAP- eigenschappen waren uitgerust, niet in het groepsbeleid, de Test-Policy-Safenet geplaatst. In plaats daarvan werden ze nog steeds geplaatst in het standaard groepsbeleid, in dit geval NoAccess.Zie het fragment van de debugs (debug ldap 255) en syslogs op niveau

informatie:

--- memberOf: value = CN=DHCP Users,CN=Users,DC=htts-sec,DC=com

[47] mapped to IETF-Radius-Class: value = Test-Policy-Safenet

[47] mapped to LDAP-Class: value = Test-Policy-Safenet

--- Syslogs :

%ASA-6-113004: AAA user authentication Successful : server = 10.201.246.130 : user = test123

%ASA-6-113003: AAA group policy for user test123 is being set to Test-Policy-Safenet

%ASA-6-113011: AAA retrieved user specific group policy (Test-Policy-Safenet) for user = test123

%ASA-6-113009: AAA retrieved default group policy (NoAccess) for user = test123

%ASA-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = test123

%ASA-6-716039: Group <DfltGrpPolicy> User <test123> IP <10.116.122.154> Authentication:

rejected, Session Type: WebVPN.

Deze systemen laten een mislukking zien omdat de gebruiker het NoAccess-groepsbeleid kreeg dat tegelijkertijd inloggen op 0 had ingesteld, ook al zeggen de syslogs dat de gebruiker een gebruikersspecifiek groepsbeleid had.Om de gebruiker te laten toewijzen in het groepsbeleid, gebaseerd op de LDAP-map, moet u deze opdracht hebben: autorisatie- server-group testldap (in dit geval is testldap de naam van de LDAP server). Hierna volgt een voorbeeld:

ASA5585-S10-K9# show runn tunnel-group tunnel-group Test_Safenet type remote-access tunnel-group Test_Safenet general-attributes address-pool RA_VPN_IP_Pool

authentication-server-group test-rad

secondary-authentication-server-group test-ldap use-primary-username authorization-server-group test-ldap

default-group-policy NoAccess

tunnel-group Test_Safenet webvpn-attributes group-alias Test_Safenet enable

Als de eerste authenticatieserver (RADIUS, in dit voorbeeld) de gebruiker-specifieke eigenschappen heeft verzonden, bijvoorbeeld de eigenschap van de IEFT-klasse, in dat geval, zal de gebruiker in kaart worden gebracht aan het groepsbeleid dat door RADIUS wordt verstuurd. Dus zelfs al heeft de secundaire server een LDAP kaart ingesteld en de LDAP eigenschappen van de gebruiker kunnen de gebruiker in kaart brengen naar een ander groepsbeleid, dan zal het groepsbeleid dat door de eerste authenticatieserver wordt 2.

verstuurd worden gehandhaafd. Om de gebruikersplaats in een groepsbeleid te hebben dat gebaseerd is op de LDAP-kaarteigenschap, moet u deze opdracht specificeren onder de tunnelgroep: autorisatie-server-group testldap.

Als de eerste authenticatieserver SDI of OTP is, die de gebruiker-specifieke eigenschap niet kan doorgeven, dan zou de gebruiker in het standaard groepsbeleid van de tunnel-groep vallen. In dit geval, geen toegang zelfs al is de LDAP afbeelding juist. In dit geval, zou u ook de opdracht, autorisatie-server-group testldap nodig hebben, onder de tunnelgroep zodat de gebruiker in het juiste groep-beleid wordt geplaatst.

3.

Als beide servers dezelfde RADIUS- of LDAP-servers zijn, heeft u de opdracht autorisatie- server-group niet nodig om de groepsbeleidslijn te laten werken.

4.

Verifiëren

ASA5585-S10-K9# show vpn-sessiondb anyconnect Session Type: AnyConnect

Username : test123 Index : 2

Assigned IP : 10.34.63.1 Public IP : 10.116.122.154 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel

License : AnyConnect Essentials

Encryption : 3DES 3DES 3DES Hashing : SHA1 SHA1 SHA1 Bytes Tx : 14042 Bytes Rx : 8872

Group Policy : Test-Policy-Safenet Tunnel Group : Test_Safenet Login Time : 10:45:28 UTC Fri Sep 12 2014

Duration : 0h:01m:12s Inactivity : 0h:00m:00s NAC Result : Unknown

VLAN Mapping : N/A VLAN : none

Problemen oplossen

Deze sectie bevat troubleshooting-informatie voor uw configuratie.

Schakel de LDAP-transactie uit

Deze debugs kunnen worden gebruikt om problemen met de DAP-configuratie te isoleren:

debug ldap 25

●

dap-spoor debug

●

debug van verificatie

●

ASA is niet in staat om gebruikers van LDAP Server te Verifiëren

Indien de ASA gebruikers van LDAP niet kan authenticeren, zijn hier enkele voorbeelden te vinden:

ldap 255 output:[1555805] Session Start[1555805] New request Session, context 0xcd66c028, reqType = 1[1555805]

Fiber started[1555805] Creating LDAP context with uri=ldaps://172.30.74.70:636 [1555805] Connect to LDAP server:

ldaps://172.30.74.70:636, status = Successful[1555805] supportedLDAPVersion:

value = 3[1555805]

supportedLDAPVersion: value = 2[1555805] Binding as administrator[1555805]

Performing Simple

authentication for sysservices to 172.30.74.70[1555805] Simple authentication for sysservices returned code (49)

Invalid credentials[1555805] Failed to bind as administrator returned code (-1) Can't contact LDAP server[1555805]

Fiber exit Tx=222 bytes Rx=605 bytes, status=-2[1555805] Session End

Op basis van deze gegevens is ofwel de PDN-indeling van de LDAP onjuist of is het wachtwoord niet correct, dus controleer beide om het probleem op te lossen.