Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA/PIX: Asociar a los clientes VPN a las directivas del grupo VPN con el ejemplo de la Configuración LDAP

31 Julio 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (31 Julio 2007) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de ejemplo de los clientes VPN SSL (SVC) que conectan con Cisco 5500 Series Adaptive Security Appliance (ASA) y después se mapean a diversas políticas de grupo VPN basadas en una respuesta de un servidor LDAP (Lightweight Directory Access Protocol) de Microsoft. El software ASA 7.2.2 proporciona la asignación del atributo LDAP, que permite los atributos que se envían del servidor LDAP que se asociará a los atributos reconocidos por el ASA, tal como atributo IETF RADIUS 25 (clase).

En este ejemplo, asocian a los usuarios que no se prohiben el acceso del “dial-in” en el servidor AD/LDAP a la directiva del grupo “ALLOWACCESS”, y a los usuarios se prohibe que el acceso del “dial-in” se asignan a la directiva del grupo “NOACCESS” en el ASA. La directiva del grupo “NOACCESS” tiene el número de sesiones de VPN permitidas fijadas a 0, que hace la conexión del usuario fallar.

Nota: Esta configuración utiliza al cliente VPN SSL, pero los mismos principios se pueden aplicar para agrupar las directivas usadas para otros clientes VPN. Por otra parte, esta configuración se puede utilizar para los propósitos con excepción de negar el acceso VPN. En este ejemplo, los atributos LDAP se utilizan simplemente para asociar una directiva del grupo a un usuario. Los detalles de esa directiva (tales como protocolos, lista del túnel dividido, o filtro permitida VPN) se pueden configurar según lo deseado.

Nota: El WebVPN ofrece, por ejemplo SVC está solamente disponible en el dispositivo de seguridad de las 5500 Series ASA, no la serie PIX 500.

Prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Usted es familiar con la configuración de SVC (cliente VPN SSL) en el ASA.

  • Usted es familiar con la Configuración LDAP en su servidor.

    Refiera al RFC 3377leavingcisco.com para aprender más sobre el protocolo LDAP.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Dispositivo de seguridad adaptante de las Cisco 5500 Series (ASA), que funciona con la versión de software 7.2.2

  • Cliente Cisco SSL VPN 1.1.3.173

  • Servidor de Enterprise de Microsoft Windows 2003 con el Service Pack 1 (SP1)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/91831/mappingsvctovpn1.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en un entorno de laboratorio.

Antecedentes

En este ejemplo, el atributo “msNPAllowDialin” AD/LDAP se asocia al atributo “CVPN3000-Radius-IETF-Class ASA.” El atributo de clase se utiliza para aplicar las directivas del grupo en el ASA.

  1. El usuario inicia una conexión de SVC al ASA.

  2. El ASA se configura para autenticar a los usuarios de SVC con el servidor de Microsoft AD/LDAP.

  3. El ASA ata al servidor LDAP con las credenciales configuradas en el ASA (administrador en este caso) y mira para arriba el nombre de usuario proporcionado.

  4. Si se encuentra el nombre de usuario, el ASA intenta atar al servidor LDAP con las credenciales a que el usuario proporcionó en el login.

  5. Si el segundo lazo es acertado, el ASA extrae los atributos de los usuarios, que incluye el msNPAllowDialin.

  6. El atributo del msNPAllowDialin es asociado a CVPN3000-Radius-IETF-Class por la correspondencia configurada del atributo LDAP.

    • El valor FALSO se asocia a NOACCESS

    • El valor verdadero se asocia a ALLLOWACCESS

  7. Se examina el atributo CVPN3000-Radius-IETF-Class y se hace una determinación de la directiva del grupo.

    • El valor NOACCESS hace la directiva del grupo NOACCESS ser asignado al usuario.

    • El valor ALLOWACCESS hace la directiva del grupo ALLOWACCESS ser asignado al usuario.

  8. Si la directiva NOACCESS es aplicada, los usuarios ven el fall del login. Si la directiva ALLOWACCESS es aplicada, la conexión procede normalmente.

Configurar

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Configure el dispositivo de seguridad

Configuración ASA:

Cisco ASA
CiscoASA #show running-config 
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address dhcp
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.8.27.2 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
 shutdown
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 switchport access vlan 2
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa722-k8.bin
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid


!--- Access list to exempt traffic to the VPN clients from NAT

access-list NONAT extended permit ip any 192.168.100.0 255.255.255.0

pager lines 24
mtu inside 1500
mtu outside 1500


!--- IP address pool for the VPN clients

ip local pool CISCOPOOL 192.168.100.1-192.168.100.254

no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400


!--- NAT configuration

global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 10.8.27.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute


!--- The LDAP attribute map. msNPAllowDialin is 
   mapped to cVPN3000-IETF-Radius-Class
!--- A value of FALSE is mapped to a value of NOACCESS
!--- A value of TRUE is mapped to a value of ALLOWACCESS

ldap attribute-map CISCOMAP
  map-name  msNPAllowDialin cVPN3000-IETF-Radius-Class
  map-value msNPAllowDialin FALSE NOACCESS
  map-value msNPAllowDialin TRUE ALLOWACCESS


!--- AAA server configuration

aaa-server LDAPGROUP protocol ldap
aaa-server LDAPGROUP host 172.18.254.49
 ldap-base-dn dc=rtpsecurity, dc=cisco, dc=com
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *
 ldap-login-dn CN=Administrator,CN=Users,DC=rtpsecurity,DC=cisco,DC=com
 server-type microsoft
 ldap-attribute-map CISCOMAP



!--- The NOACCESS group policy.
!--- vpn-simultaneous-logins is 0 to prevent access

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol IPSec webvpn
 webvpn
  svc required



!--- The ALLOWACCESS group policy

group-policy ALLOWACCESS internal
group-policy ALLOWACCESS attributes
 banner value This is the ALLOWACCESS Policy
 vpn-tunnel-protocol IPSec webvpn
 webvpn
  svc required


username cisco password ffIRPGpDSOJh9YLq encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- The tunnel group that users connect to

tunnel-group TESTWEBVPN type webvpn
tunnel-group TESTWEBVPN general-attributes
 address-pool CISCOPOOL
 authentication-server-group LDAPGROUP
tunnel-group TESTWEBVPN webvpn-attributes
 group-alias TestWebVPN enable

telnet timeout 5
ssh timeout 5
console timeout 0

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global


!--- The WebVPN configuration.  "tunnel-group-list enable"
!--- allows users to choose the TESTWEBVPN tunnel group at login.

webvpn
 enable outside
 svc image disk0:/sslclient-win-1.1.3.173.pkg 1
 svc enable
 tunnel-group-list enable

prompt hostname context
Cryptochecksum:80879cf44975e65beed984ee308f7c57
: end

Configure el servidor LDAP

Complete estos pasos para configurar el servidor LDAP:

  1. Elija a un usuario en el Active Directory.

    mappingsvctovpn2.gif

  2. Configure al usuario para permitir o para negar el acceso dial in.

    /image/gif/paws/91831/mappingsvctovpn3.gif

    O

    /image/gif/paws/91831/mappingsvctovpn4.gif

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Vea las sesiones

Utilice el comando svc del detalle de VPN-sessiondb de la demostración de ver las sesiones conectadas de SVC. En el ejemplo abajo, han asignado el usuario mate la directiva ALLOWACCESS como se esperaba.

ciscoasa# sh vpn-sessiondb detail svc

Session Type: SVC Detailed

Username     : matt
Index        : 1
Assigned IP  : 192.168.100.1          Public IP    : 10.8.27.10
Protocol     : SVC                    Encryption   : 3DES
Hashing      : SHA1                   Auth Mode    : userPassword
TCP Dst Port : 443                    TCP Src Port : 1393
Bytes Tx     : 130163                 Bytes Rx     : 2625
Pkts Tx      : 131                    Pkts Rx      : 13
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; 
   Windows NT 5.2; SV1; .NET CLR 1.1.4322)
Client Ver   : Cisco Systems SSL VPN Client 1, 1, 3, 173
Group Policy : ALLOWACCESS
Tunnel Group : TESTWEBVPN
Login Time   : 16:15:03 UTC Thu Aug 9 2007
Duration     : 0h:00m:05s
Filter Name  :

Troubleshooting

Debugging LDAP

Cuando se habilita el debugging LDAP, usted puede ver el proceso de la asignación del atributo. El primer ejemplo muestra la salida entera cuando el msNPAllowDialin se fija PARA VERDAD. El segundo ejemplo muestra la salida relevante cuando el valor es FALSO.

el msNPAllowDialin es VERDAD:

ciscoasa# debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[34] Session Start
[34] New request Session, context 0x3bbe9f4, reqType = 1
[34] Fiber started
[34] Creating LDAP context with uri=ldap://172.18.254.49:389
[34] Binding as administrator
[34] Performing Simple authentication for Administrator to 172.18.254.49
[34] Connect to LDAP server: ldap://172.18.254.49:389, status = Successful
[34] LDAP Search:
        Base DN = [dc=rtpsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=matt]
        Scope   = [SUBTREE]
[34] User DN = [CN=matt,CN=Users,DC=rtpsecurity,DC=cisco,DC=com]
[34] Talking to Active Directory server 172.18.254.49
[34] Reading password policy for matt, 
   dn:CN=matt,CN=Users,DC=rtpsecurity,DC=cisco,DC=com
[34] Read bad password count 0
[34] Binding as user
[34] Performing Simple authentication for matt to 172.18.254.49
[34] Checking password policy for user matt
[34] Binding as administrator
[34] Performing Simple authentication for Administrator to 172.18.254.49
[34] Authentication successful for matt to 172.18.254.49
[34] Retrieving user attributes from server 172.18.254.49
[34] Retrieved Attributes:
[34]    objectClass: value = top
[34]    objectClass: value = person
[34]    objectClass: value = organizationalPerson
[34]    objectClass: value = user
[34]    cn: value = matt
[34]    givenName: value = matt
[34]    distinguishedName: value = CN=matt,
   CN=Users,DC=rtpsecurity,DC=cisco,DC=com
[34]    instanceType: value = 4
[34]    whenCreated: value = 20070809124516.0Z
[34]    whenChanged: value = 20070809142528.0Z
[34]    displayName: value = matt
[34]    uSNCreated: value = 102442
[34]    uSNChanged: value = 102453
[34]    name: value = matt
[34]    objectGUID: value = .eC...aI..X.....
[34]    userAccountControl: value = 66048
[34]    badPwdCount: value = 0
[34]    codePage: value = 0
[34]    countryCode: value = 0
[34]    badPasswordTime: value = 0
[34]    lastLogoff: value = 0
[34]    lastLogon: value = 0
[34]    pwdLastSet: value = 128311371167812500
[34]    primaryGroupID: value = 513
[34]    userParameters: value = m:                    d.
[34]    objectSid: value = .............."B.4.....K....
[34]    accountExpires: value = 9223372036854775807
[34]    logonCount: value = 0
[34]    sAMAccountName: value = matt
[34]    sAMAccountType: value = 805306368
[34]    userPrincipalName: value = matt@rtpsecurity.cisco.com
[34]    objectCategory: value = CN=Person,CN=Schema,
   CN=Configuration,DC=rtpsecurity,DC=cisco,DC=com
[34]    msNPAllowDialin: value = TRUE
[34]            mapped to cVPN3000-IETF-Radius-Class: value = ALLOWACCESS
[34] Fiber exit Tx=634 bytes Rx=2217 bytes, status=1
[34] Session End

el msNPAllowDialin es FALSO:

ciscoasa# debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[31] Session Start

!--- Output supressed

[31]    userPrincipalName: value = matt@rtpsecurity.cisco.com
[31]    objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
   DC=rtpsecurity,DC=cisco,DC=com
[31]    msNPAllowDialin: value = FALSE
[31]            mapped to cVPN3000-IETF-Radius-Class: value = NOACCESS
[31] Fiber exit Tx=634 bytes Rx=2218 bytes, status=1
[31] Session End

Atributos no asociados

Los nombres de los atributos en este ejemplo son todos con diferenciación entre mayúsculas y minúsculas. Si los atributos LDAP no se asocian al atributo de Cisco, marque que el deletreo en su correspondencia del atributo hace juego exactamente el nombre del atributo enviado por el servidor LDAP. Usted puede ver los atributos exactamente mientras que aparecen del servidor LDAP con el debug ilustrado en la sección arriba.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 91831