Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA 8.0: Configuración de Autenticación LDAP para Usuarios de WebVPN

25 Agosto 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (24 Septiembre 2007) | Comentarios

Contenido

Introducción
Prerrequisitos
Antecedentes
Configuración de Autenticación LDAP
      ASDM
      Interfaz de Línea de Comandos
      Realización de Búsquedas de Dominios Múltiples (Opcional)
Verificación
      Prueba con ASDM
      Prueba con CLI
Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento, se demuestra cómo configurar un Cisco Adaptive Security Appliance (ASA) para utilizar un servidor LDAP para la autenticación de usuarios de WebVPN. En este ejemplo, el servidor LDAP es Microsoft Active Directory (Directorio Activo). Esta configuración se realiza con el Adaptive Security Device Manager (ASDM) 6.0(2) en un ASA que ejecuta el software versión 8.0(2).

Nota: En este ejemplo, la autenticación con Lightweight Directory Access Protocol (LDAP) está configurada para usuarios de WebVPN, pero también puede utilizarse esta configuración para todos los otros tipos de clientes de acceso remoto. Simplemente asigne el AAA server group al perfil de la conexión deseada (tunnel group) como se muestra.

Prerrequisitos

Se requiere una configuración básica de VPN. En este ejemplo, se utiliza WebVPN.

Antecedentes

En este ejemplo, el ASA comprueba con un servidor LDAP para verificar la identidad de los usuarios que autentica. Este proceso no funciona como un intercambio tradicional del Servicio de Usuario de Acceso Telefónico de Autenticación Remota (RADIUS) o del Sistema de Control de Acceso del Controlador de Acceso a Terminales Más (TACACS+). En los siguientes pasos se explica, en forma general, cómo el ASA utiliza un servidor LDAP para comprobar las credenciales de usuario.

  1. El usuario inicia una conexión con el ASA.

  2. El ASA está configurado para autenticar ese usuario con el servidor LDAP/Microsoft Active Directory (AD).

  3. El ASA se enlaza con el servidor LDAP con las credenciales configuradas en el ASA (en este caso, admin) y busca el nombre de usuario proporcionado. El usuario admin también obtiene las credenciales correspondientes para enumerar los contenidos dentro de Active Directory. Consulte http://support.microsoft.com/?id=320528 leavingcisco.com para obtener más información sobre cómo otorgar privilegios de consultas de LDAP.

    Nota: El sitio Web de Microsoft http://support.microsoft.com/?id=320528 leavingcisco.com es administrado por terceros. Cisco no es responsable del contenido de dicho sitio web.

  4. Si se encuentra el nombre de usuario, el ASA intenta enlazarse al servidor LDAP con las credenciales que el usuario proporcionó al iniciar sesión.

  5. Si el segundo enlace es exitoso, se realiza la autenticación y luego el ASA procesa los atributos del usuario.

    Nota: En este ejemplo, los atributos no se utilizan con ningún fin. Consulte ASA/PIX: Ejemplo de Configuración de Mapeo de Clientes de VPN a Policy-Group de VPN a través de LDAP para obtener un ejemplo de cómo el ASA puede procesar los atributos LDAP.

Configuración de Autenticación LDAP

En esta sección, encontrará información para configurar el ASA de modo tal de utilizar un servidor LDAP para la autenticación de los clientes de WebVPN.

ASDM

Complete los siguientes pasos en el ASDM para configurar el ASA de modo tal que se comunique con el servidor LDAP y autentique los clientes de WebVPN.

  1. Vaya a Configuration > Remote Access VPN > AAA Setup > AAA Server Groups.

  2. Haga clic en Add, junto a AAA Server Groups.

  3. Especifique un nombre para el nuevo AAA server group y elija LDAP como protocolo.

    asa_ldap_authentication-1.gif

  4. Asegúrese de que el nuevo grupo esté seleccionado en el panel superior y haga clic en Add, junto al panel Servers in the Selected Group.

  5. Proporcione la información de configuración del servidor LDAP. En la siguiente captura de pantalla, se muestra un ejemplo de configuración. A continuación, se explican muchas de las opciones de configuración:

    • Interface Name: La interfaz que el ASA utiliza para alcanzar el servidor LDAP.

    • Server Name or IP address: La dirección que el ASA utiliza para alcanzar el servidor LDAP.

    • Server Type: El tipo de servidor LDAP, por ejemplo, Microsoft.

    • Base DN: La ubicación en la jerarquía de LDAP donde el servidor debe comenzar la búsqueda.

    • Scope: El alcance de la búsqueda que el servidor debe realizar en la jerarquía de LDAP.

    • Naming Attribute: El atributo (o los atributos) de Nombre Distintivo Relativo que identifica/n exclusivamente una entrada del servidor LDAP. El atributo predeterminado en Microsoft Active Directory es sAMAccountName. Otros atributos comúnmente utilizados son CN, UID y userPrincipalName.

    • Login DN: El DN con privilegios suficientes para poder realizar search/read/lookup con los usuarios en el servidor LDAP.

    • Login Password: La contraseña de la cuenta DN.

    • LDAP Attribute Map: Un mapa de atributos LDAP para utilizar con las respuestas de este servidor. Consulte ASA/PIX: Ejemplo de Configuración de Mapeo de Clientes de VPN a Policy-Group de VPN a través de LDAP para obtener más información sobre cómo configurar los mapas de atributos LDAP.

    asa_ldap_authentication-2.gif

  6. Una vez que configuró el AAA server group y le agregó un servidor, debe configurar el perfil de la conexión (tunnel group) para utilizar la nueva configuración AAA. Vaya a Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles.

  7. Elija el perfil de la conexión (tunnel group) para el que se desea configurar AAA y luego haga clic en Edit.

  8. En Authentication, elija el server group LDAP que creó anteriormente.

    asa_ldap_authentication-3.gif

Interfaz de Línea de Comandos

Complete los siguientes pasos en la Interfaz de Línea de Comandos (CLI) para configurar el ASA de modo tal que se comunique con el servidor LDAP y autentique los clientes de WebVPN.

ciscoasa#configure terminal


!--- Configuración de AAA server group.

ciscoasa(config)#aaa-server LDAP_SRV_GRP protocol ldap


!--- Configuración del servidor AAA.

ciscoasa(config-aaa-server-group)#aaa-server LDAP_SRV_GRP (inside) 
   host 192.168.1.2
ciscoasa(config-aaa-server-host)#ldap-base-dn dc=ftwsecurity, dc=cisco, dc=com
ciscoasa(config-aaa-server-host)#ldap-login-dn cn=admin, cn=users, dc=ftwsecurity, dc=cisco, dc=com
ciscoasa(config-aaa-server-host)#ldap-login-password **********
ciscoasa(config-aaa-server-host)#ldap-naming-attribute sAMAccountName
ciscoasa(config-aaa-server-host)#ldap-scope subtree
ciscoasa(config-aaa-server-host)#server-type microsoft
ciscoasa(config-aaa-server-host)#exit


!--- Configuración de tunnel group para utilizar la nueva configuración de AAA.

ciscoasa(config)#tunnel-group ExampleGroup2 general-att
ciscoasa(config-tunnel-general)#authentication-server-group LDAP_SRV_GRP

Realización de Búsquedas de Dominios Múltiples (Opcional)

Opcional. Actualmente, el ASA no soporta el mecanismo de referencia de LDAP para las búsquedas de dominios múltiples (Id. de falla CSCsj32153 de Cisco). El servidor AD soporta las búsquedas de dominios múltiples en el modo Global Catalog Server. Para realizar búsquedas de dominios múltiples, configure el servidor AD en el modo Global Catalog Server, generalmente con los siguientes parámetros de clave para la entrada del servidor LDAP en el ASA. La clave es utilizar un ldap-name-attribute que debe ser único en todo el árbol de directorio.

server-port 3268
ldap-scope subtree
ldap-naming-attribute userPrincipalName

Verificación

Utilice esta sección para confirmar que la configuración funcione correctamente.

Prueba con ASDM

Verifique su configuración LDAP con el botón Test de la pantalla de configuración AAA Server Groups. Una vez que proporcionó un nombre de usuario y una contraseña, este botón permite enviar una petición de autenticación de prueba al servidor LDAP.

  1. Vaya a Configuration > Remote Access VPN > AAA Setup > AAA Server Groups.

  2. Seleccione el AAA server group deseado en el panel superior.

  3. En el panel inferior, seleccione el servidor AAA que desea probar.

  4. Haga clic en el botón Test, que está ubicado a la derecha del panel inferior.

  5. En la ventana que aparece, haga clic en el botón Authentication y suministre las credenciales con las que desea realizar la prueba. Al finalizar, haga clic en OK.

    asa_ldap_authentication-4.gif

  6. Después de que el ASA se comunica con el servidor LDAP, aparece un mensaje de éxito o de falla.

    asa_ldap_authentication-5.gif

Prueba con CLI

Para probar su configuración AAA, puede utilizar el comando test en la línea de comandos. Se envía una petición de prueba al servidor AAA y la salida aparece en la línea de comandos.

ciscoasa#test aaa-server authentication LDAP_SRV_GRP host 192.168.1.2
   username kate password cisco123
INFO: Attempting Authentication test to IP address <192.168.1.2>
   (timeout: 12 seconds)
INFO: Authentication Successful

Troubleshooting

Si no está seguro de qué cadena DN actual debe utilizar, puede ejecutar el comando dsquery en un servidor Windows Active Directory desde un símbolo del sistema para verificar la cadena DN correspondiente de un objeto de usuario.

C:\Documents and Settings\Administrator>dsquery user -samid kate


!--- Consulta a Active Directory por el ID samid "kate"

"CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com"

En esta situación, el comando debug ldap 255 puede ayudar a resolver problemas de autenticación. Este comando activa la debugging LDAP y permite observar el proceso que el ASA utiliza para conectarse con el servidor LDAP. Estas salidas muestran que el ASA se conecta al servidor LDAP según se describe en la sección Antecedentes de este documento.

La siguiente debug muestra una autenticación correcta:

ciscoasa#debug ldap 255
[7] Session Start
[7] New request Session, context 0xd4b11730, reqType = 1
[7] Fiber started
[7] Creating LDAP context with uri=ldap://192.168.1.2:389
[7] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[7] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[7] supportedLDAPVersion: value = 3
[7] supportedLDAPVersion: value = 2
[7] supportedSASLMechanisms: value = GSSAPI
[7] supportedSASLMechanisms: value = GSS-SPNEGO
[7] supportedSASLMechanisms: value = EXTERNAL
[7] supportedSASLMechanisms: value = DIGEST-MD5


!--- El ASA se conecta al servidor LDAP como administrador para buscar a kate.

[7] Binding as administrator
[7] Performing Simple authentication for admin to 192.168.1.2
[7] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=kate]
        Scope   = [SUBTREE]
[7] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com]
[7] Talking to Active Directory server 192.168.1.2
[7] Reading password policy for kate, dn:CN=Kate Austen,CN=Users,
       DC=ftwsecurity,DC=cisco,DC=com
[7] Read bad password count 1


!--- El ASA se vincula al servidor LDAP como kate para probar la contraseña.

[7] Binding as user
[7] Performing Simple authentication for kate to 192.168.1.2
[7] Checking password policy for user kate
[7] Binding as administrator
[7] Performing Simple authentication for admin to 192.168.1.2
[7] Authentication successful for kate to 192.168.1.2
[7] Retrieving user attributes from server 192.168.1.2
[7] Retrieved Attributes:
[7]     objectClass: value = top
[7]     objectClass: value = person
[7]     objectClass: value = organizationalPerson
[7]     objectClass: value = user
[7]     cn: value = Kate Austen
[7]     sn: value = Austen
[7]     givenName: value = Kate
[7]     distinguishedName: value = CN=Kate Austen,CN=Users,DC=ftwsecurity,
           DC=cisco,DC=com
[7]     instanceType: value = 4
[7]     whenCreated: value = 20070815155224.0Z
[7]     whenChanged: value = 20070815195813.0Z
[7]     displayName: value = Kate Austen
[7]     uSNCreated: value = 16430
[7]     memberOf: value = CN=Castaways,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[7]     memberOf: value = CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[7]     uSNChanged: value = 20500
[7]     name: value = Kate Austen
[7]     objectGUID: value = ..z...yC.q0.....
[7]     userAccountControl: value = 66048
[7]     badPwdCount: value = 1
[7]     codePage: value = 0
[7]     countryCode: value = 0
[7]     badPasswordTime: value = 128321799570937500
[7]     lastLogoff: value = 0
[7]     lastLogon: value = 128321798130468750
[7]     pwdLastSet: value = 128316667442656250
[7]     primaryGroupID: value = 513
[7]     objectSid: value = ............Q..p..*.p?E.Z...
[7]     accountExpires: value = 9223372036854775807
[7]     logonCount: value = 0
[7]     sAMAccountName: value = kate
[7]     sAMAccountType: value = 805306368
[7]     userPrincipalName: value = kate@ftwsecurity.cisco.com
[7]     objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
           DC=ftwsecurity,DC=cisco,DC=com
[7]     dSCorePropagationData: value = 20070815195237.0Z
[7]     dSCorePropagationData: value = 20070815195237.0Z
[7]     dSCorePropagationData: value = 20070815195237.0Z
[7]     dSCorePropagationData: value = 16010108151056.0Z
[7] Fiber exit Tx=685 bytes Rx=2690 bytes, status=1
[7] Session End

La siguiente debug muestra una autenticación que falló debido a una contraseña incorrecta:

ciscoasa#debug ldap 255
[8] Session Start
[8] New request Session, context 0xd4b11730, reqType = 1
[8] Fiber started
[8] Creating LDAP context with uri=ldap://192.168.1.2:389
[8] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[8] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[8] supportedLDAPVersion: value = 3
[8] supportedLDAPVersion: value = 2
[8] supportedSASLMechanisms: value = GSSAPI
[8] supportedSASLMechanisms: value = GSS-SPNEGO
[8] supportedSASLMechanisms: value = EXTERNAL
[8] supportedSASLMechanisms: value = DIGEST-MD5


!--- El ASA se conecta al servidor LDAP como administrador para buscar a kate.

[8] Binding as administrator
[8] Performing Simple authentication for admin to 192.168.1.2
[8] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=kate]
        Scope   = [SUBTREE]
[8] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com]
[8] Talking to Active Directory server 192.168.1.2
[8] Reading password policy for kate, dn:CN=Kate Austen,CN=Users,
       DC=ftwsecurity,DC=cisco,DC=com
[8] Read bad password count 1


!--- El ASA intenta vincularse como kate, pero la contraseña es incorrecta.

[8] Binding as user
[8] Performing Simple authentication for kate to 192.168.1.2
[8] Simple authentication for kate returned code (49) Invalid credentials
[8] Binding as administrator
[8] Performing Simple authentication for admin to 192.168.1.2
[8] Reading bad password count for kate, dn: CN=Kate Austen,CN=Users,
       DC=ftwsecurity,DC=cisco,DC=com
[8] Received badPwdCount=1 for user kate
[8] badPwdCount=1 before, badPwdCount=1 after for kate
[8] now: Tue, 28 Aug 2007 15:33:05 GMT, lastset: Wed, 15 Aug 2007 15:52:24 GMT,
       delta=1122041, maxage=3710851 secs
[8] Invalid password for kate
[8] Fiber exit Tx=788 bytes Rx=2904 bytes, status=-1
[8] Session End

La siguiente debug muestra una autenticación que falló porque no se puede encontrar el usuario en el servidor LDAP:

ciscoasa#debug ldap 255
[9] Session Start
[9] New request Session, context 0xd4b11730, reqType = 1
[9] Fiber started
[9] Creating LDAP context with uri=ldap://192.168.1.2:389
[9] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[9] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[9] supportedLDAPVersion: value = 3
[9] supportedLDAPVersion: value = 2
[9] supportedSASLMechanisms: value = GSSAPI
[9] supportedSASLMechanisms: value = GSS-SPNEGO
[9] supportedSASLMechanisms: value = EXTERNAL
[9] supportedSASLMechanisms: value = DIGEST-MD5


!--- No se encuentra el usuario mikhail.

[9] Binding as administrator
[9] Performing Simple authentication for admin to 192.168.1.2
[9] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=mikhail]
        Scope   = [SUBTREE]
[9] Requested attributes not found
[9] Fiber exit Tx=256 bytes Rx=607 bytes, status=-1
[9] Session End

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 98625