Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA 8.0: Configurar a Autenticação LDAP para Usuários do WebVPN

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (24 Setembro 2007) | Feedback

Índice

Introdução
Pré-requisitos
Informações de Apoio
Configuração da Autenticação LDAP
      ASDM
      Interface de Linha de Comando
      Execução de Pesquisas de Vários Domínios (Opcional)
Verificação
      Teste com o ASDM
      Teste com a CLI
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento demonstra como configurar o Cisco Adaptive Security Appliance (ASA) a fim de utilizar um servidor LDAP para autenticação de usuários do WebVPN. Neste exemplo, o servidor LDAP é o Microsoft Active Directory. Essa configuração é executada com o Adaptive Security Device Manager (ASDM) 6.0(2) em um ASA que executa a versão 8.0(2) do software.

Nota: Embora neste exemplo a autenticação LDAP (Lightweight Directory Access Protocol) esteja configurada para os usuários do WebVPN, essa configuração também poderá ser utilizada para todos os outros tipos de clientes de acesso remoto. Basta atribuir o grupo de servidores AAA ao perfil de conexão (grupo de túneis) desejado, conforme mostrado.

Pré-requisitos

Uma configuração de VPN básica é necessária. Neste exemplo, o WebVPN é utilizado.

Informações de Apoio

Neste exemplo, o ASA verifica em um servidor LDAP a identidade dos usuários autenticados por ele. Esse processo não funciona como um intercâmbio RADIUS (Remote Authentication Dial-In User Service) ou TACACS+ (Terminal Access Controller Access-Control System Plus) tradicional. Estes passos fornecem uma explicação de alto nível de como o ASA utiliza um servidor LDAP para verificar as credenciais dos usuários.

  1. O usuário inicia uma conexão com o ASA.

  2. O ASA é configurado para autenticar esse usuário com o servidor LDAP/Microsoft Active Directory (AD).

  3. O ASA se vincula ao servidor LDAP com as credenciais nele próprio configuradas (admin, nesse caso) e pesquisa o nome de usuário fornecido. O usuário admin também obtém as credenciais adequadas para listar o conteúdo no Active Directory. Consulte http://support.microsoft.com/?id=320528 leavingcisco.com para obter mais informações sobre como conceder privilégios de consulta LDAP.

    Nota: O site da Microsoft em http://support.microsoft.com/?id=320528 leavingcisco.com é gerenciado por terceiros. A Cisco não se responsabiliza pelo seu conteúdo.

  4. Se o nome de usuário for encontrado, o ASA tentará se vincular ao servidor LDAP com as credenciais fornecidas pelo usuário durante o login.

  5. Se a segunda tentativa de vinculação for bem-sucedida, a autenticação terá êxito, e o ASA processará os atributos do usuário.

    Nota: Neste exemplo, os atributos não são utilizados para nada. Consulte ASA/PIX: Exemplo de Configuração do Mapeamento de Clientes VPN para Políticas de Grupo VPN Através do LDAP para ver um exemplo de como o ASA processa atributos LDAP.

Configuração da Autenticação LDAP

Nesta seção, você encontrará informações para configurar o ASA para utilizar um servidor LDAP na autenticação de clientes WebVPN.

ASDM

Siga estes passos no ASDM a fim de configurar o ASA para se comunicar com o servidor LDAP e autenticar clientes WebVPN.

  1. Navegue para Configuration > Remote Access VPN > AAA Setup > AAA Server Groups.

  2. Clique em Add ao lado de AAA Server Groups.

  3. Especifique um nome para o novo grupo de servidores AAA e escolha LDAP como o protocolo.

    asa_ldap_authentication-1.gif

  4. Verifique se o novo grupo está selecionado no painel superior e clique em Add ao lado do painel Servers in the Selected Group.

  5. Forneça as informações de configuração do servidor LDAP. A captura de tela subseqüente ilustra um exemplo de configuração. Esta é uma explicação sobre as diversas opções de configuração:

    • Interface Name — a interface que o ASA utiliza para acessar o servidor LDAP

    • Server Name or IP address — o endereço que o ASA utiliza para acessar o servidor LDAP

    • Server Type — o tipo de servidor LDAP, como Microsoft

    • Base DN — o local em que o servidor deve iniciar a pesquisa na hierarquia do LDAP

    • Scope — a extensão da pesquisa que o servidor deve fazer na hierarquia do LDAP

    • Naming Attribute — o atributo (ou atributos) de Nome Distinto Relativo que identifica de maneira exclusiva uma entrada no servidor LDAP. sAMAccountName é o atributo padrão no Microsoft Active Directory. Outros atributos normalmente utilizados são CN, UID e userPrincipalName.

    • Login DN — o DN com privilégios suficientes para pesquisar/ler/procurar usuários no servidor LDAP

    • Login Password — a senha da conta DN

    • LDAP Attribute Map — um mapa de atributos LDAP que deverá ser utilizado com as respostas deste servidor. Consulte ASA/PIX: Exemplo de Configuração do Mapeamento de Clientes VPN para Políticas de Grupo VPN Através do LDAP para obter mais informações sobre como configurar mapas de atributos LDAP.

    asa_ldap_authentication-2.gif

  6. Após configurar o grupo de servidores AAA e adicionar um servidor a ele, será necessário configurar o seu perfil de conexão (grupo de túneis) para utilizar a nova configuração do AAA. Navegue para Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles.

  7. Escolha o perfil de conexão (grupo de túneis) para o qual você deseja configurar o AAA e clique em Edit

  8. Em Authentication, escolha o grupo de servidores LDAP criado anteriormente.

    asa_ldap_authentication-3.gif

Interface de Linha de Comando

Siga estes passos na CLI (interface de linha de comando) a fim de configurar o ASA para se comunicar com o servidor LDAP e autenticar os clientes WebVPN.

ciscoasa#configure terminal


!--- Configura o grupo do servidor AAA.

ciscoasa(config)#aaa-server LDAP_SRV_GRP protocol ldap


!--- Configura o servidor AAA.

ciscoasa(config-aaa-server-group)#aaa-server LDAP_SRV_GRP (inside)
   host 192.168.1.2
ciscoasa(config-aaa-server-host)#ldap-base-dn dc=ftwsecurity, dc=cisco, dc=com
ciscoasa(config-aaa-server-host)#ldap-login-dn cn=admin, cn=users, dc=ftwsecurity, dc=cisco, dc=com
ciscoasa(config-aaa-server-host)#ldap-login-password **********
ciscoasa(config-aaa-server-host)#ldap-naming-attribute sAMAccountName
ciscoasa(config-aaa-server-host)#ldap-scope subtree
ciscoasa(config-aaa-server-host)#server-type microsoft
ciscoasa(config-aaa-server-host)#exit


!--- Configura o grupo do túnel para usar a nova configuração de AAA.

ciscoasa(config)#tunnel-group ExampleGroup2 general-att
ciscoasa(config-tunnel-general)#authentication-server-group LDAP_SRV_GRP

Execução de Pesquisas de Vários Domínios (Opcional)

Opcional. Atualmente o ASA não oferece suporte ao mecanismo de referência LDAP para pesquisas de vários domínios (bug da Cisco com ID CSCsj32153). Há suporte para essas pesquisas com o AD no modo Servidor de Catálogo Global. Para executar pesquisas de vários domínios, configure o servidor AD no modo Servidor de Catálogo Global, geralmente com estes parâmetros de chave para a entrada do servidor LDAP no ASA. A chave é utilizar um atributo de nome LDAP exclusivo em toda a árvore de diretórios.

server-port 3268
ldap-scope subtree
ldap-naming-attribute userPrincipalName

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

Teste com o ASDM

Verifique a configuração do LDAP com o botão Test na tela de configuração de grupos de servidores AAA. Após fornecer um nome de usuário e uma senha, você poderá utilizar esse botão para enviar uma solicitação de autenticação de teste ao servidor LDAP.

  1. Navegue para Configuration > Remote Access VPN > AAA Setup > AAA Server Groups.

  2. Escolha o grupo de servidores AAA desejado no painel superior.

  3. Escolha o servidor AAA que deseja testar no painel inferior.

  4. Clique no botão Test à direita do painel inferior.

  5. Na janela exibida, clique no botão de opção Authentication e forneça as credenciais com as quais deseja fazer o teste. Clique em OK quando terminar.

    asa_ldap_authentication-4.gif

  6. Depois que o ASA contatar o servidor LDAP, será exibida uma mensagem de êxito ou falha.

    asa_ldap_authentication-5.gif

Teste com a CLI

Você pode utilizar o comando test na linha de comando para testar a configuração do AAA. Uma solicitação de teste é enviada ao servidor AAA, e o resultado aparecerá na linha de comando.

ciscoasa#test aaa-server authentication LDAP_SRV_GRP host 192.168.1.2
   username kate password cisco123
INFO: Attempting Authentication test to IP address <192.168.1.2>
   (timeout: 12 seconds)
INFO: Authentication Successful

Troubleshooting

Se não tiver certeza quanto à string DN atual a ser utilizada, você poderá executar o comando dsquery em um servidor do Windows Active Directory, a partir de um prompt de comando, a fim de verificar a string DN adequada de um objeto de usuário.

C:\Documents and Settings\Administrator>dsquery user -samid kate


!--- Consulta a ID samid "kate" no Active Directory.

"CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com"

O comando debug ldap 255 pode ajudá-lo no troubleshooting de problemas de autenticação neste cenário. Esse comando ativa a depuração LDAP e permite que você observe o processo utilizado pelo ASA para se conectar ao servidor LDAP. Estas saídas mostram a conexão do ASA com o servidor LDAP conforme descrito na seção Informações de Apoio deste documento.

Esta depuração mostra uma autenticação bem-sucedida:

ciscoasa#debug ldap 255
[7] Session Start
[7] New request Session, context 0xd4b11730, reqType = 1
[7] Fiber started
[7] Creating LDAP context with uri=ldap://192.168.1.2:389
[7] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[7] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[7] supportedLDAPVersion: value = 3
[7] supportedLDAPVersion: value = 2
[7] supportedSASLMechanisms: value = GSSAPI
[7] supportedSASLMechanisms: value = GSS-SPNEGO
[7] supportedSASLMechanisms: value = EXTERNAL
[7] supportedSASLMechanisms: value = DIGEST-MD5


!--- O ASA conecta ao servidor LDAP como admin para procurar kate.

[7] Binding as administrator
[7] Performing Simple authentication for admin to 192.168.1.2
[7] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=kate]
        Scope   = [SUBTREE]
[7] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com]
[7] Talking to Active Directory server 192.168.1.2
[7] Reading password policy for kate, dn:CN=Kate Austen,CN=Users,
       DC=ftwsecurity,DC=cisco,DC=com
[7] Read bad password count 1


!--- O ASA estabelece um vínculo com o servidor LDAP como as kate para testar a senha.

[7] Binding as user
[7] Performing Simple authentication for kate to 192.168.1.2
[7] Checking password policy for user kate
[7] Binding as administrator
[7] Performing Simple authentication for admin to 192.168.1.2
[7] Authentication successful for kate to 192.168.1.2
[7] Retrieving user attributes from server 192.168.1.2
[7] Retrieved Attributes:
[7]     objectClass: value = top
[7]     objectClass: value = person
[7]     objectClass: value = organizationalPerson
[7]     objectClass: value = user
[7]     cn: value = Kate Austen
[7]     sn: value = Austen
[7]     givenName: value = Kate
[7]     distinguishedName: value = CN=Kate Austen,CN=Users,DC=ftwsecurity,
           DC=cisco,DC=com
[7]     instanceType: value = 4
[7]     whenCreated: value = 20070815155224.0Z
[7]     whenChanged: value = 20070815195813.0Z
[7]     displayName: value = Kate Austen
[7]     uSNCreated: value = 16430
[7]     memberOf: value = CN=Castaways,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[7]     memberOf: value = CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[7]     uSNChanged: value = 20500
[7]     name: value = Kate Austen
[7]     objectGUID: value = ..z...yC.q0.....
[7]     userAccountControl: value = 66048
[7]     badPwdCount: value = 1
[7]     codePage: value = 0
[7]     countryCode: value = 0
[7]     badPasswordTime: value = 128321799570937500
[7]     lastLogoff: value = 0
[7]     lastLogon: value = 128321798130468750
[7]     pwdLastSet: value = 128316667442656250
[7]     primaryGroupID: value = 513
[7]     objectSid: value = ............Q..p..*.p?E.Z...
[7]     accountExpires: value = 9223372036854775807
[7]     logonCount: value = 0
[7]     sAMAccountName: value = kate
[7]     sAMAccountType: value = 805306368
[7]     userPrincipalName: value = kate@ftwsecurity.cisco.com
[7]     objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
           DC=ftwsecurity,DC=cisco,DC=com
[7]     dSCorePropagationData: value = 20070815195237.0Z
[7]     dSCorePropagationData: value = 20070815195237.0Z
[7]     dSCorePropagationData: value = 20070815195237.0Z
[7]     dSCorePropagationData: value = 16010108151056.0Z
[7] Fiber exit Tx=685 bytes Rx=2690 bytes, status=1
[7] Session End

Esta depuração mostra uma autenticação que falha devido a uma senha incorreta:

ciscoasa#debug ldap 255
[8] Session Start
[8] New request Session, context 0xd4b11730, reqType = 1
[8] Fiber started
[8] Creating LDAP context with uri=ldap://192.168.1.2:389
[8] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[8] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[8] supportedLDAPVersion: value = 3
[8] supportedLDAPVersion: value = 2
[8] supportedSASLMechanisms: value = GSSAPI
[8] supportedSASLMechanisms: value = GSS-SPNEGO
[8] supportedSASLMechanisms: value = EXTERNAL
[8] supportedSASLMechanisms: value = DIGEST-MD5


!--- O ASA conecta ao servidor LDAP como admin para procurar kate.

[8] Binding as administrator
[8] Performing Simple authentication for admin to 192.168.1.2
[8] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=kate]
        Scope   = [SUBTREE]
[8] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com]
[8] Talking to Active Directory server 192.168.1.2
[8] Reading password policy for kate, dn:CN=Kate Austen,CN=Users,
       DC=ftwsecurity,DC=cisco,DC=com
[8] Read bad password count 1


!--- O ASA tenta estabelecer um vínculo como kate, mas a senha está incorreta.

[8] Binding as user
[8] Performing Simple authentication for kate to 192.168.1.2
[8] Simple authentication for kate returned code (49) Invalid credentials
[8] Binding as administrator
[8] Performing Simple authentication for admin to 192.168.1.2
[8] Reading bad password count for kate, dn: CN=Kate Austen,CN=Users,
       DC=ftwsecurity,DC=cisco,DC=com
[8] Received badPwdCount=1 for user kate
[8] badPwdCount=1 before, badPwdCount=1 after for kate
[8] now: Tue, 28 Aug 2007 15:33:05 GMT, lastset: Wed, 15 Aug 2007 15:52:24 GMT,
       delta=1122041, maxage=3710851 secs
[8] Invalid password for kate
[8] Fiber exit Tx=788 bytes Rx=2904 bytes, status=-1
[8] Session End

Esta depuração mostra uma autenticação que falha porque não é possível encontrar o usuário no servidor LDAP:

ciscoasa#debug ldap 255
[9] Session Start
[9] New request Session, context 0xd4b11730, reqType = 1
[9] Fiber started
[9] Creating LDAP context with uri=ldap://192.168.1.2:389
[9] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[9] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[9] supportedLDAPVersion: value = 3
[9] supportedLDAPVersion: value = 2
[9] supportedSASLMechanisms: value = GSSAPI
[9] supportedSASLMechanisms: value = GSS-SPNEGO
[9] supportedSASLMechanisms: value = EXTERNAL
[9] supportedSASLMechanisms: value = DIGEST-MD5


!--- O usuário mikhail não foi encontrado.

[9] Binding as administrator
[9] Performing Simple authentication for admin to 192.168.1.2
[9] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=mikhail]
        Scope   = [SUBTREE]
[9] Requested attributes not found
[9] Fiber exit Tx=256 bytes Rx=607 bytes, status=-1
[9] Session End

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98625