Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA/PIX : Exemple de configuration du mappage de clients VPN à des stratégies de groupe VPN via LDAP

18 octobre 2014 - Traduction automatique
Autres versions: PDFpdf | Anglais (24 septembre 2014) | Commentaires


Contenu


Introduction

Ce document fournit un exemple de configuration pour les clients de VPN SSL (SVC) qui se connectent au dispositif de sécurité adaptatif dédié à la gamme Cisco 5500 (ASA) et puis obtiennent le mappage à un groupe VPN différent basé sur des stratégies sur une réponse d'un serveur de protocole d'accès aux annuaires allégé (LDAP). Le logiciel ASA 7.2.2 fournit le mappage d'attribut de LDAP, qui permet les attributs qui sont envoyés du serveur LDAP à tracer aux attributs identifiés par l'ASA, telle que l'attribut RADIUS 25 (classe) IETF.

Dans cet exemple, des utilisateurs qui sont permis l'accès de « accès distant » dans le serveur AD/LDAP sont tracés à la stratégie de groupe « ALLOWACCESS », et aux utilisateurs qui ne sont pas permis l'accès de « accès distant » sont assignés à la stratégie de groupe « NOACCESS » sur l'ASA. La stratégie de groupe « NOACCESS » a le nombre de sessions VPN permises réglées à 0, qui fait échouer la connexion utilisateur.

Remarque: Cette configuration utilise le client de VPN SSL, mais les mêmes principes peuvent être appliqués aux stratégies de groupe utilisées pour d'autres clients vpn. D'ailleurs, cette configuration peut être utilisée pour des buts autres que de refuser l'accès VPN. Dans cet exemple, des attributs de LDAP sont simplement utilisés pour tracer une stratégie de groupe à un utilisateur. Les détails de cette stratégie (tels que les protocoles, la liste de tunnel partagé, ou le filtre permise VPN) peuvent être configurés comme désirés.

Remarque: Le webvpn comporte, comme le SVC sont seulement disponible sur l'appliance de Sécurité de la gamme ASA 5500, pas la gamme 500 PIX.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Vous êtes au courant de la configuration de SVC (client de VPN SSL) dans l'ASA.

  • Vous êtes au courant de la configuration de LDAP sur votre serveur.

    Référez-vous à RFC 3377leavingcisco.com pour se renseigner plus sur le protocole de LDAP.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Appliance de sécurité adaptable de gamme Cisco 5500 (ASA), qui exécute la version de logiciel 7.2.2

  • Client VPN SSL Cisco 1.1.3.173

  • Microsoft Windows 2003 Enterprise Server avec le Service Pack 1 (SP1)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/91831/mappingsvctovpn1.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.

Informations générales

Dans cet exemple, l'attribut « msNPAllowDialin » AD/LDAP est tracé à l'attribut « CVPN3000-Radius-IETF-Class ASA. » L'attribut de classe est utilisé pour imposer des stratégies de groupe sur l'ASA.

  1. L'utilisateur initie une connexion de SVC à l'ASA.

  2. L'ASA est configurée pour authentifier des utilisateurs de SVC avec le serveur de Microsoft AD/LDAP.

  3. L'ASA lie au serveur LDAP avec les qualifications configurées sur l'ASA (administrateur dans ce cas) et des consultations le nom d'utilisateur fourni.

  4. Si le nom d'utilisateur est trouvé, les tentatives ASA de lier au serveur LDAP avec les qualifications que l'utilisateur a fournies à la procédure de connexion.

  5. Si le deuxième grippage est réussi, l'ASA récupère les attributs d'utilisateurs, qui inclut le msNPAllowDialin.

  6. L'attribut de msNPAllowDialin est tracé à CVPN3000-Radius-IETF-Class par la carte configurée d'attribut de LDAP.

    • La valeur FAUSSE est tracée à NOACCESS

    • La valeur vrai est tracée à ALLLOWACCESS

  7. L'attribut CVPN3000-Radius-IETF-Class est examiné et une détermination de stratégie de groupe est faite.

    • La valeur NOACCESS cause la stratégie de groupe NOACCESS d'être assignée à l'utilisateur.

    • La valeur ALLOWACCESS cause la stratégie de groupe ALLOWACCESS d'être assignée à l'utilisateur.

  8. Si la stratégie NOACCESS est appliquée, les utilisateurs voit l'échouer de procédure de connexion. Si la stratégie ALLOWACCESS est appliquée, la connexion poursuit normalement.

Configurez

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Configurez les dispositifs de sécurité

Configuration ASA :

Cisco ASA
CiscoASA #show running-config 
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address dhcp
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.8.27.2 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
 shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 switchport access vlan 2
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa722-k8.bin
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid


!--- Access list to exempt traffic to the VPN clients from NAT

access-list NONAT extended permit ip any 192.168.100.0 255.255.255.0

pager lines 24
mtu inside 1500
mtu outside 1500


!--- IP address pool for the VPN clients

ip local pool CISCOPOOL 192.168.100.1-192.168.100.254

no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400


!--- NAT configuration

global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 10.8.27.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute


!--- The LDAP attribute map. msNPAllowDialin is 
   mapped to cVPN3000-IETF-Radius-Class
!--- A value of FALSE is mapped to a value of NOACCESS
!--- A value of TRUE is mapped to a value of ALLOWACCESS

ldap attribute-map CISCOMAP
  map-name  msNPAllowDialin cVPN3000-IETF-Radius-Class
  map-value msNPAllowDialin FALSE NOACCESS
  map-value msNPAllowDialin TRUE ALLOWACCESS


!--- AAA server configuration

aaa-server LDAPGROUP protocol ldap
aaa-server LDAPGROUP host 172.18.254.49
 ldap-base-dn dc=rtpsecurity, dc=cisco, dc=com
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *
 ldap-login-dn CN=Administrator,CN=Users,DC=rtpsecurity,DC=cisco,DC=com
 server-type microsoft
 ldap-attribute-map CISCOMAP



!--- The NOACCESS group policy.
!--- vpn-simultaneous-logins is 0 to prevent access

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol IPSec webvpn
 webvpn
  svc required



!--- The ALLOWACCESS group policy

group-policy ALLOWACCESS internal
group-policy ALLOWACCESS attributes
 banner value This is the ALLOWACCESS Policy
 vpn-tunnel-protocol IPSec webvpn
 webvpn
  svc required


username cisco password ffIRPGpDSOJh9YLq encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- The tunnel group that users connect to

tunnel-group TESTWEBVPN type webvpn
tunnel-group TESTWEBVPN general-attributes
 address-pool CISCOPOOL
 authentication-server-group LDAPGROUP
tunnel-group TESTWEBVPN webvpn-attributes
 group-alias TestWebVPN enable

telnet timeout 5
ssh timeout 5
console timeout 0

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global


!--- The WebVPN configuration.  "tunnel-group-list enable"
!--- allows users to choose the TESTWEBVPN tunnel group at login.

webvpn
 enable outside
 svc image disk0:/sslclient-win-1.1.3.173.pkg 1
 svc enable
 tunnel-group-list enable

prompt hostname context
Cryptochecksum:80879cf44975e65beed984ee308f7c57
: end

Configurez le serveur LDAP

Terminez-vous ces étapes pour configurer le serveur LDAP :

  1. Choisissez un utilisateur dans le Répertoire actif.

    mappingsvctovpn2.gif

  2. Configurez l'utilisateur pour permettre ou refuser l'accès par appel téléphonique.

    /image/gif/paws/91831/mappingsvctovpn3.gif

    OU

    /image/gif/paws/91831/mappingsvctovpn4.gif

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Sessions de vue

Utilisez la commande de svc de détail de VPN-sessiondb d'exposition de voir les sessions connectées de SVC. Dans l'exemple ci-dessous, l'utilisateur mat a été assigné la stratégie ALLOWACCESS comme prévu.

ciscoasa# sh vpn-sessiondb detail svc

Session Type: SVC Detailed

Username     : matt
Index        : 1
Assigned IP  : 192.168.100.1          Public IP    : 10.8.27.10
Protocol     : SVC                    Encryption   : 3DES
Hashing      : SHA1                   Auth Mode    : userPassword
TCP Dst Port : 443                    TCP Src Port : 1393
Bytes Tx     : 130163                 Bytes Rx     : 2625
Pkts Tx      : 131                    Pkts Rx      : 13
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; 
   Windows NT 5.2; SV1; .NET CLR 1.1.4322)
Client Ver   : Cisco Systems SSL VPN Client 1, 1, 3, 173
Group Policy : ALLOWACCESS
Tunnel Group : TESTWEBVPN
Login Time   : 16:15:03 UTC Thu Aug 9 2007
Duration     : 0h:00m:05s
Filter Name  :

Dépannez

Élimination des imperfections de LDAP

Quand l'élimination des imperfections de LDAP est activée, vous pouvez voir le processus de mappage d'attribut. Le premier exemple affiche la sortie entière quand le msNPAllowDialin est placé POUR RECTIFIER. Le deuxième exemple affiche la sortie appropriée quand la valeur est FAUSSE.

le msNPAllowDialin est VRAI :

ciscoasa# debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[34] Session Start
[34] New request Session, context 0x3bbe9f4, reqType = 1
[34] Fiber started
[34] Creating LDAP context with uri=ldap://172.18.254.49:389
[34] Binding as administrator
[34] Performing Simple authentication for Administrator to 172.18.254.49
[34] Connect to LDAP server: ldap://172.18.254.49:389, status = Successful
[34] LDAP Search:
        Base DN = [dc=rtpsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=matt]
        Scope   = [SUBTREE]
[34] User DN = [CN=matt,CN=Users,DC=rtpsecurity,DC=cisco,DC=com]
[34] Talking to Active Directory server 172.18.254.49
[34] Reading password policy for matt, 
   dn:CN=matt,CN=Users,DC=rtpsecurity,DC=cisco,DC=com
[34] Read bad password count 0
[34] Binding as user
[34] Performing Simple authentication for matt to 172.18.254.49
[34] Checking password policy for user matt
[34] Binding as administrator
[34] Performing Simple authentication for Administrator to 172.18.254.49
[34] Authentication successful for matt to 172.18.254.49
[34] Retrieving user attributes from server 172.18.254.49
[34] Retrieved Attributes:
[34]    objectClass: value = top
[34]    objectClass: value = person
[34]    objectClass: value = organizationalPerson
[34]    objectClass: value = user
[34]    cn: value = matt
[34]    givenName: value = matt
[34]    distinguishedName: value = CN=matt,
   CN=Users,DC=rtpsecurity,DC=cisco,DC=com
[34]    instanceType: value = 4
[34]    whenCreated: value = 20070809124516.0Z
[34]    whenChanged: value = 20070809142528.0Z
[34]    displayName: value = matt
[34]    uSNCreated: value = 102442
[34]    uSNChanged: value = 102453
[34]    name: value = matt
[34]    objectGUID: value = .eC...aI..X.....
[34]    userAccountControl: value = 66048
[34]    badPwdCount: value = 0
[34]    codePage: value = 0
[34]    countryCode: value = 0
[34]    badPasswordTime: value = 0
[34]    lastLogoff: value = 0
[34]    lastLogon: value = 0
[34]    pwdLastSet: value = 128311371167812500
[34]    primaryGroupID: value = 513
[34]    userParameters: value = m:                    d.
[34]    objectSid: value = .............."B.4.....K....
[34]    accountExpires: value = 9223372036854775807
[34]    logonCount: value = 0
[34]    sAMAccountName: value = matt
[34]    sAMAccountType: value = 805306368
[34]    userPrincipalName: value = matt@rtpsecurity.cisco.com
[34]    objectCategory: value = CN=Person,CN=Schema,
   CN=Configuration,DC=rtpsecurity,DC=cisco,DC=com
[34]    msNPAllowDialin: value = TRUE
[34]            mapped to cVPN3000-IETF-Radius-Class: value = ALLOWACCESS
[34] Fiber exit Tx=634 bytes Rx=2217 bytes, status=1
[34] Session End

le msNPAllowDialin est FAUX :

ciscoasa# debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[31] Session Start

!--- Output supressed

[31]    userPrincipalName: value = matt@rtpsecurity.cisco.com
[31]    objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
   DC=rtpsecurity,DC=cisco,DC=com
[31]    msNPAllowDialin: value = FALSE
[31]            mapped to cVPN3000-IETF-Radius-Class: value = NOACCESS
[31] Fiber exit Tx=634 bytes Rx=2218 bytes, status=1
[31] Session End

Attributs non tracés

Les noms des attributs dans cet exemple distinguent les majuscules et minuscules tous. Si les attributs de LDAP ne sont pas tracés à l'attribut de Cisco, vérifiez que l'orthographe dans votre carte d'attribut apparie exactement le nom de l'attribut envoyé par le serveur LDAP. Vous pouvez voir les attributs exactement pendant qu'ils apparaissent du serveur LDAP avec le débogage illustré dans la section ci-dessus.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 91831