Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA/PIX: Traçando clientes VPN às políticas do grupo de VPN com o exemplo da configuração ldap

18 Outubro 2014 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (24 Setembro 2014) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para os Clientes VPN com SSL (SVC) que se conectam ao Cisco 5500 Series Adaptive Security Appliance (ASA) e a têm mapeada com diferentes políticas de grupo de VPN com base em uma resposta de um servidor Microsoft Lightweight Directory Access Protocol (LDAP). O software ASA 7.2.2 fornece o mapeamento do atributo LDAP, que permite os atributos que são enviados do servidor ldap a ser traçado aos atributos reconhecidos pelo ASA, tal como o atributo de raio de IETF 25 (classe).

Neste exemplo, os usuários o acesso do “discado” é permitido que no server AD/LDAP são traçados à política do grupo “ALLOWACCESS”, e aos usuários o acesso do “discado” não é permitido que são atribuídos à política do grupo “NOACCESS” no ASA. A política do grupo “NOACCESS” tem o número de sessões de VPN permitidas ajustadas a 0, que faz com que a conexão do usuário falhe.

Nota: Esta configuração usa o cliente VPN SSL, mas os mesmos princípios podem ser aplicados para agrupar as políticas usadas para outros clientes VPN. Além disso, esta configuração pode ser usada para finalidades diferentes de negar o acesso VPN. Neste exemplo, os atributos LDAP são usados simplesmente para traçar uma política do grupo a um usuário. Os detalhes dessa política (tais como protocolos, a lista do túnel em divisão, ou o filtro permitido VPN) podem ser configurados como desejados.

Nota: O WebVPN caracteriza, como o SVC está somente disponível na ferramenta de segurança do 5500 Series ASA, não a série PIX 500.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Você é familiar com a configuração SVC (cliente VPN SSL) no ASA.

  • Você é familiar com a configuração ldap em seu server.

    Refira o RFC 3377leavingcisco.com para aprender mais sobre o protocolo ldap.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Ferramenta de segurança adaptável do Cisco 5500 Series (ASA), que executa a versão de software 7.2.2

  • Cisco SSL VPN Client 1.1.3.173

  • Servidor de empreendimento de Microsoft Windows 2003 com pacote de serviços 1 (SP1)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/91831/mappingsvctovpn1.gif

Nota: Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereços do RFC 1918 que foram usados em um ambiente de laboratório.

Informações de Apoio

Neste exemplo, o atributo “msNPAllowDialin” AD/LDAP é traçado ao atributo “CVPN3000-Radius-IETF-Class ASA.” O atributo de classe é usado para reforçar políticas do grupo no ASA.

  1. O usuário inicia uma conexão SVC ao ASA.

  2. O ASA é configurado para autenticar usuários SVC com o server de Microsoft AD/LDAP.

  3. O ASA liga ao servidor ldap com as credenciais configuradas no ASA (administrador neste caso) e olha acima o username fornecido.

  4. Se o username é encontrado, o ASA tenta ligar ao servidor ldap com as credenciais que o usuário forneceu no início de uma sessão.

  5. Se o segundo ligamento é bem sucedido, o ASA recupera os atributos dos usuários, que inclui o msNPAllowDialin.

  6. O atributo do msNPAllowDialin é traçado a CVPN3000-Radius-IETF-Class pelo mapa configurado do atributo LDAP.

    • O valor FALSO é traçado a NOACCESS

    • O valor verdadeiro é traçado a ALLLOWACCESS

  7. O atributo CVPN3000-Radius-IETF-Class é examinado e uma determinação da política do grupo é feita.

    • O valor NOACCESS faz com que a política do grupo NOACCESS seja atribuída ao usuário.

    • O valor ALLOWACCESS faz com que a política do grupo ALLOWACCESS seja atribuída ao usuário.

  8. Se a política NOACCESS é aplicada, os usuários veem a falha do início de uma sessão. Se a política ALLOWACCESS é aplicada, a conexão continua normalmente.

Configurar

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configurar a ferramenta de segurança

Configuração ASA:

Cisco ASA
CiscoASA #show running-config 
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address dhcp
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.8.27.2 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
 shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 switchport access vlan 2
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa722-k8.bin
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid


!--- Access list to exempt traffic to the VPN clients from NAT

access-list NONAT extended permit ip any 192.168.100.0 255.255.255.0

pager lines 24
mtu inside 1500
mtu outside 1500


!--- IP address pool for the VPN clients

ip local pool CISCOPOOL 192.168.100.1-192.168.100.254

no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400


!--- NAT configuration

global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 10.8.27.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute


!--- The LDAP attribute map. msNPAllowDialin is 
   mapped to cVPN3000-IETF-Radius-Class
!--- A value of FALSE is mapped to a value of NOACCESS
!--- A value of TRUE is mapped to a value of ALLOWACCESS

ldap attribute-map CISCOMAP
  map-name  msNPAllowDialin cVPN3000-IETF-Radius-Class
  map-value msNPAllowDialin FALSE NOACCESS
  map-value msNPAllowDialin TRUE ALLOWACCESS


!--- AAA server configuration

aaa-server LDAPGROUP protocol ldap
aaa-server LDAPGROUP host 172.18.254.49
 ldap-base-dn dc=rtpsecurity, dc=cisco, dc=com
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *
 ldap-login-dn CN=Administrator,CN=Users,DC=rtpsecurity,DC=cisco,DC=com
 server-type microsoft
 ldap-attribute-map CISCOMAP



!--- The NOACCESS group policy.
!--- vpn-simultaneous-logins is 0 to prevent access

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol IPSec webvpn
 webvpn
  svc required



!--- The ALLOWACCESS group policy

group-policy ALLOWACCESS internal
group-policy ALLOWACCESS attributes
 banner value This is the ALLOWACCESS Policy
 vpn-tunnel-protocol IPSec webvpn
 webvpn
  svc required


username cisco password ffIRPGpDSOJh9YLq encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- The tunnel group that users connect to

tunnel-group TESTWEBVPN type webvpn
tunnel-group TESTWEBVPN general-attributes
 address-pool CISCOPOOL
 authentication-server-group LDAPGROUP
tunnel-group TESTWEBVPN webvpn-attributes
 group-alias TestWebVPN enable

telnet timeout 5
ssh timeout 5
console timeout 0

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global


!--- The WebVPN configuration.  "tunnel-group-list enable"
!--- allows users to choose the TESTWEBVPN tunnel group at login.

webvpn
 enable outside
 svc image disk0:/sslclient-win-1.1.3.173.pkg 1
 svc enable
 tunnel-group-list enable

prompt hostname context
Cryptochecksum:80879cf44975e65beed984ee308f7c57
: end

Configurar o servidor ldap

Termine estas etapas para configurar o servidor ldap:

  1. Escolha um usuário no diretório ativo.

    mappingsvctovpn2.gif

  2. Configurar o usuário para permitir ou negar o acesso de discagem de entrada.

    /image/gif/paws/91831/mappingsvctovpn3.gif

    OU

    /image/gif/paws/91831/mappingsvctovpn4.gif

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Veja sessões

Use o comando svc do detalhe da mostra VPN-sessiondb ver as sessões conectadas SVC. No exemplo abaixo, o usuário matt foi atribuído a política ALLOWACCESS como esperado.

ciscoasa# sh vpn-sessiondb detail svc

Session Type: SVC Detailed

Username     : matt
Index        : 1
Assigned IP  : 192.168.100.1          Public IP    : 10.8.27.10
Protocol     : SVC                    Encryption   : 3DES
Hashing      : SHA1                   Auth Mode    : userPassword
TCP Dst Port : 443                    TCP Src Port : 1393
Bytes Tx     : 130163                 Bytes Rx     : 2625
Pkts Tx      : 131                    Pkts Rx      : 13
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; 
   Windows NT 5.2; SV1; .NET CLR 1.1.4322)
Client Ver   : Cisco Systems SSL VPN Client 1, 1, 3, 173
Group Policy : ALLOWACCESS
Tunnel Group : TESTWEBVPN
Login Time   : 16:15:03 UTC Thu Aug 9 2007
Duration     : 0h:00m:05s
Filter Name  :

Troubleshooting

Eliminação de erros LDAP

Quando a eliminação de erros LDAP é permitida, você pode ver o processo do mapeamento do atributo. O primeiro exemplo mostra a saída inteira quando o msNPAllowDialin é ajustado PARA RETIFICAR. O segundo exemplo mostra a saída relevante quando o valor é FALSO.

o msNPAllowDialin é VERDADEIRO:

ciscoasa# debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[34] Session Start
[34] New request Session, context 0x3bbe9f4, reqType = 1
[34] Fiber started
[34] Creating LDAP context with uri=ldap://172.18.254.49:389
[34] Binding as administrator
[34] Performing Simple authentication for Administrator to 172.18.254.49
[34] Connect to LDAP server: ldap://172.18.254.49:389, status = Successful
[34] LDAP Search:
        Base DN = [dc=rtpsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=matt]
        Scope   = [SUBTREE]
[34] User DN = [CN=matt,CN=Users,DC=rtpsecurity,DC=cisco,DC=com]
[34] Talking to Active Directory server 172.18.254.49
[34] Reading password policy for matt, 
   dn:CN=matt,CN=Users,DC=rtpsecurity,DC=cisco,DC=com
[34] Read bad password count 0
[34] Binding as user
[34] Performing Simple authentication for matt to 172.18.254.49
[34] Checking password policy for user matt
[34] Binding as administrator
[34] Performing Simple authentication for Administrator to 172.18.254.49
[34] Authentication successful for matt to 172.18.254.49
[34] Retrieving user attributes from server 172.18.254.49
[34] Retrieved Attributes:
[34]    objectClass: value = top
[34]    objectClass: value = person
[34]    objectClass: value = organizationalPerson
[34]    objectClass: value = user
[34]    cn: value = matt
[34]    givenName: value = matt
[34]    distinguishedName: value = CN=matt,
   CN=Users,DC=rtpsecurity,DC=cisco,DC=com
[34]    instanceType: value = 4
[34]    whenCreated: value = 20070809124516.0Z
[34]    whenChanged: value = 20070809142528.0Z
[34]    displayName: value = matt
[34]    uSNCreated: value = 102442
[34]    uSNChanged: value = 102453
[34]    name: value = matt
[34]    objectGUID: value = .eC...aI..X.....
[34]    userAccountControl: value = 66048
[34]    badPwdCount: value = 0
[34]    codePage: value = 0
[34]    countryCode: value = 0
[34]    badPasswordTime: value = 0
[34]    lastLogoff: value = 0
[34]    lastLogon: value = 0
[34]    pwdLastSet: value = 128311371167812500
[34]    primaryGroupID: value = 513
[34]    userParameters: value = m:                    d.
[34]    objectSid: value = .............."B.4.....K....
[34]    accountExpires: value = 9223372036854775807
[34]    logonCount: value = 0
[34]    sAMAccountName: value = matt
[34]    sAMAccountType: value = 805306368
[34]    userPrincipalName: value = matt@rtpsecurity.cisco.com
[34]    objectCategory: value = CN=Person,CN=Schema,
   CN=Configuration,DC=rtpsecurity,DC=cisco,DC=com
[34]    msNPAllowDialin: value = TRUE
[34]            mapped to cVPN3000-IETF-Radius-Class: value = ALLOWACCESS
[34] Fiber exit Tx=634 bytes Rx=2217 bytes, status=1
[34] Session End

o msNPAllowDialin é FALSO:

ciscoasa# debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[31] Session Start

!--- Output supressed

[31]    userPrincipalName: value = matt@rtpsecurity.cisco.com
[31]    objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
   DC=rtpsecurity,DC=cisco,DC=com
[31]    msNPAllowDialin: value = FALSE
[31]            mapped to cVPN3000-IETF-Radius-Class: value = NOACCESS
[31] Fiber exit Tx=634 bytes Rx=2218 bytes, status=1
[31] Session End

Atributos não traçados

Os nomes dos atributos neste exemplo são tudo diferenciando maiúsculas e minúsculas. Se os atributos LDAP não são traçados ao atributo de Cisco, certifique-se da soletração em seu mapa do atributo combine exatamente o nome do atributo enviado pelo servidor ldap. Você pode ver os atributos exatamente enquanto aparecem do servidor ldap com debugar ilustrado na seção acima.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 91831