Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de Configuração PIX/ASA: Mapeando Clientes VPN em Políticas de Grupo VPN através de LDAP

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (31 Julho 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
      Diagrama de Rede
Informações de Apoio
Configuração
      Configuração do Security Appliance
      Configuração do Servidor LDAP
Verificação
      Exibição de Sessões
Troubleshooting
      Depuração LDAP
      Atributos Não Mapeados
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece uma configuração de exemplo para clientes VPN SSL (SVC) que se conectam ao Cisco 5500 Series Adaptive Security Appliance (ASA) e, em seguida, são mapeados em diferentes políticas de grupo VPN com base na resposta de um servidor Microsoft Lightweight Directory Access Protocol (LDAP). O software ASA 7.2.2 oferece mapeamento de atributos LDAP que possibilita que os atributos sejam enviados do servidor LDAP para serem mapeados em atributos reconhecidos pelo ASA, como o atributo 25 ETF RADIUS (Classe).

Neste exemplo, os usuários que podem acessar o servidor AD/LDAP por discagem são mapeados na política de grupo "ALLOWACCESS" e os usuários aos quais o acesso via discagem é proibido são atribuídos à política de grupo "NOACCESS" no ASA. A política de grupo "NOACCESS" possui o número de sessões VPN permitidas definido como 0 o que faz com que a conexão de usuários falhe.

Nota: Esta configuração usa o cliente VPN SSL, mas os mesmos princípios podem ser aplicados a políticas de grupo utilizadas para outros clientes VPN. Além disso, essa configuração pode ser usada para outras finalidades além de proibir o acesso via VPN. Neste exemplo, os atributos LDAP são usados apenas para mapear uma política de grupo para um usuário. Os detalhes dessa política (como os protocolos permitidos, a lista de túneis permitidos ou filtro de VPN) podem ser configurados conforme desejado.

Nota: Os recursos WebVPN, como o SVC estão disponíveis apenas no ASA 5500 Series Security Appliance, não no PIX 500 Series.

Pré-requisitos

Requisitos

Certifique-se de atender aos seguintes requisitos antes de tentar esta configuração:

  • Você está familiarizado com a configuração de SVC (clientes VPN SSL) no ASA.

  • Você está familiarizado com a configuração LDAP no seu servidor.

    Consulte RFC 3377 leavingcisco.com para obter mais informações sobre o protocolo LDAP.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 5500 Series Adaptive Security Appliance (ASA) que executa software versão 7.2.2

  • Cisco SSL VPN Client 1.1.3.173

  • Microsoft Windows 2003 Enterprise Server com Service Pack 1 (SP1)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

mappingsvctovpn1.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 que foram usados em um ambiente de laboratório.

Informações de Apoio

Neste exemplo, o atributo "msNPAllowDialin" do AD/LDAP é mapeado no atributo "CVPN3000-Radius-IETF-Class" do ASA. O atributo de classe é utilizado para impor políticas de grupo no ASA.

  1. O usuário inicia uma conexão de SVC com o ASA.

  2. O ASA é configurado para autenticar usuários de SVC no servidor Microsoft AD/LDAP.

  3. O ASA se vincula ao servidor LDAP com as credenciais nele próprio configuradas (administrador, nesse caso) e pesquisa o nome de usuário fornecido.

  4. Se o nome de usuário for encontrado, o ASA tentará se vincular ao servidor LDAP com as credenciais fornecidas pelo usuário durante o login.

  5. Se a segunda tentativa de vinculação for bem-sucedida, o ASA recuperará os atributos do usuário, que incluem msNPAllowDialin.

  6. O atributo msNPAllowDialin é mapeado em CVPN3000-Radius-IETF-Class pelo mapa de atributos LDAP configurado.

    • O valor FALSE é mapeado em NOACCESS

    • O valor TRUE é mapeado em ALLLOWACCESS

  7. O atributo CVPN3000-Radius-IETF-Class é examinado e uma política de grupo é estabelecida.

    • O valor NOACCESS faz com que a política de grupo NOACCESS seja atribuída ao usuário.

    • O valor ALLOWACCESS faz com que a política de grupo ALLOWACCESS seja atribuída ao usuário.

  8. Se a política NOACCESS for aplicada, os usuários observarão a falha do login. Se a política ALLOWACCESS for aplicada, a conexão posseguirá normalmente.

Configuração

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configuração do Security Appliance

Configuração do ASA:

Cisco ASA

CiscoASA #show running-config
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address dhcp
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.8.27.2 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
 shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 switchport access vlan 2
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa722-k8.bin
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid


!--- Lista de acesso para excluir tráfego para os clientes VPN do NAT

access-list NONAT extended permit ip any 192.168.100.0 255.255.255.0

pager lines 24
mtu inside 1500
mtu outside 1500


!--- Pool de endereços IP para os clientes VPN

ip local pool CISCOPOOL 192.168.100.1-192.168.100.254

no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400


!--- Configuração do NAT

global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 10.8.27.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute


!--- O atributo do LDAP map. msNPAllowDialin está
   mapeado em cVPN3000-IETF-Radius-Class
!--- Um valor FALSE é mapeado em um valor NOACCESS
!--- Um valor TRUE é mapeado em um valor ALLOWACCESS

ldap attribute-map CISCOMAP
  map-name  msNPAllowDialin cVPN3000-IETF-Radius-Class
  map-value msNPAllowDialin FALSE NOACCESS
  map-value msNPAllowDialin TRUE ALLOWACCESS


!--- Configuração do servidor AAA

aaa-server LDAPGROUP protocol ldap
aaa-server LDAPGROUP host 172.18.254.49
 ldap-base-dn dc=rtpsecurity, dc=cisco, dc=com
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *
 ldap-login-dn CN=Administrator,CN=Users,DC=rtpsecurity,DC=cisco,DC=com
 server-type microsoft
 ldap-attribute-map CISCOMAP



!--- A política de grupo NOACCESS.
!--- vpn-simultaneous-logins é 0 para impedir o acesso

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol IPSec webvpn
 webvpn
  svc required



!--- A política de grupo ALLOWACCESS

group-policy ALLOWACCESS internal
group-policy ALLOWACCESS attributes
 banner value This is the ALLOWACCESS Policy
 vpn-tunnel-protocol IPSec webvpn
 webvpn
  svc required


username cisco password ffIRPGpDSOJh9YLq encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- O grupo de túneis ao qual os usuários se conectam

tunnel-group TESTWEBVPN type webvpn
tunnel-group TESTWEBVPN general-attributes
 address-pool CISCOPOOL
 authentication-server-group LDAPGROUP
tunnel-group TESTWEBVPN webvpn-attributes
 group-alias TestWebVPN enable

telnet timeout 5
ssh timeout 5
console timeout 0

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global


!--- A configuração do WebVPN.  "tunnel-group-list enable"
!--- Permite que os usuários escolham o grupo de túneis TESTWEBVPN no login.

webvpn
 enable outside
 svc image disk0:/sslclient-win-1.1.3.173.pkg 1
 svc enable
 tunnel-group-list enable

prompt hostname context
Cryptochecksum:80879cf44975e65beed984ee308f7c57
: end

Configuração do Servidor LDAP

Execute estes passos para configurar o servidor LDAP:

  1. Escolha um usuário no Active Directory.

    mappingsvctovpn2.gif

  2. Configure o usuário para permitir ou negar o acesso via discagem.

    mappingsvctovpn3.gif

    OU

    mappingsvctovpn4.gif

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Exibição de Sessões

Use o comando show vpn-sessiondb detail svc para ver as sessões de SVC conectadas. No exemplo abaixo, o usuário matt foi atribuído à política ALLOWACCESS como esperado.

ciscoasa# sh vpn-sessiondb detail svc

Session Type: SVC Detailed

Username     : matt
Index        : 1
Assigned IP  : 192.168.100.1          Public IP    : 10.8.27.10
Protocol     : SVC                    Encryption   : 3DES
Hashing      : SHA1                   Auth Mode    : userPassword
TCP Dst Port : 443                    TCP Src Port : 1393
Bytes Tx     : 130163                 Bytes Rx     : 2625
Pkts Tx      : 131                    Pkts Rx      : 13
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Client Type  : Mozilla/4.0 (compatible; MSIE 6.0;
   Windows NT 5.2; SV1; .NET CLR 1.1.4322)
Client Ver   : Cisco Systems SSL VPN Client 1, 1, 3, 173
Group Policy : ALLOWACCESS
Tunnel Group : TESTWEBVPN
Login Time   : 16:15:03 UTC Thu Aug 9 2007
Duration     : 0h:00m:05s
Filter Name  :

Troubleshooting

Depuração LDAP

Quando a depuração LDAP está ativada, é possível ver o processo de mapeamento de atributos. O primeiro exemplo mostra toda a saída quando msNPAllowDialin está definido como TRUE. O segundo exemplo mostra a saída relevante quando o valor é FALSE.

msNPAllowDialin é TRUE:

ciscoasa# debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[34] Session Start
[34] New request Session, context 0x3bbe9f4, reqType = 1
[34] Fiber started
[34] Creating LDAP context with uri=ldap://172.18.254.49:389
[34] Binding as administrator
[34] Performing Simple authentication for Administrator to 172.18.254.49
[34] Connect to LDAP server: ldap://172.18.254.49:389, status = Successful
[34] LDAP Search:
        Base DN = [dc=rtpsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=matt]
        Scope   = [SUBTREE]
[34] User DN = [CN=matt,CN=Users,DC=rtpsecurity,DC=cisco,DC=com]
[34] Talking to Active Directory server 172.18.254.49
[34] Reading password policy for matt,
   dn:CN=matt,CN=Users,DC=rtpsecurity,DC=cisco,DC=com
[34] Read bad password count 0
[34] Binding as user
[34] Performing Simple authentication for matt to 172.18.254.49
[34] Checking password policy for user matt
[34] Binding as administrator
[34] Performing Simple authentication for Administrator to 172.18.254.49
[34] Authentication successful for matt to 172.18.254.49
[34] Retrieving user attributes from server 172.18.254.49
[34] Retrieved Attributes:
[34]    objectClass: value = top
[34]    objectClass: value = person
[34]    objectClass: value = organizationalPerson
[34]    objectClass: value = user
[34]    cn: value = matt
[34]    givenName: value = matt
[34]    distinguishedName: value = CN=matt,
   CN=Users,DC=rtpsecurity,DC=cisco,DC=com
[34]    instanceType: value = 4
[34]    whenCreated: value = 20070809124516.0Z
[34]    whenChanged: value = 20070809142528.0Z
[34]    displayName: value = matt
[34]    uSNCreated: value = 102442
[34]    uSNChanged: value = 102453
[34]    name: value = matt
[34]    objectGUID: value = .eC...aI..X.....
[34]    userAccountControl: value = 66048
[34]    badPwdCount: value = 0
[34]    codePage: value = 0
[34]    countryCode: value = 0
[34]    badPasswordTime: value = 0
[34]    lastLogoff: value = 0
[34]    lastLogon: value = 0
[34]    pwdLastSet: value = 128311371167812500
[34]    primaryGroupID: value = 513
[34]    userParameters: value = m:                    d.
[34]    objectSid: value = .............."B.4.....K....
[34]    accountExpires: value = 9223372036854775807
[34]    logonCount: value = 0
[34]    sAMAccountName: value = matt
[34]    sAMAccountType: value = 805306368
[34]    userPrincipalName: value = matt@rtpsecurity.cisco.com
[34]    objectCategory: value = CN=Person,CN=Schema,
   CN=Configuration,DC=rtpsecurity,DC=cisco,DC=com
[34]    msNPAllowDialin: value = TRUE
[34]            mapped to cVPN3000-IETF-Radius-Class: value = ALLOWACCESS
[34] Fiber exit Tx=634 bytes Rx=2217 bytes, status=1
[34] Session End

msNPAllowDialin é FALSE:

ciscoasa# debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[31] Session Start

!--- Saída suprimida.

[31]    userPrincipalName: value = matt@rtpsecurity.cisco.com
[31]    objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
   DC=rtpsecurity,DC=cisco,DC=com
[31]    msNPAllowDialin: value = FALSE
[31]            mapped to cVPN3000-IETF-Radius-Class: value = NOACCESS
[31] Fiber exit Tx=634 bytes Rx=2218 bytes, status=1
[31] Session End

Atributos Não Mapeados

Os nomes dos atributos neste exemplo diferenciam maiúsculas de minúsculas. Se os atributos LDAP não estiverem mapeados no atributo da Cisco, verifique se a ortografia do mapa de atributos corresponde exatamente ao nome do atributo enviado pelo servidor LDAP. Você pode ver os atributos exatamente como eles são exibidos do servidor LDAP com a depuração ilustrada na seção acima.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 91831