Seguridad : Cisco IOS SSLVPN

Asignación del grupo de políticas para los clientes de AnyConnect que utilizan el LDAP en el ejemplo de configuración de los Headends del Cisco IOS

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (5 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo configurar las correspondencias del atributo del Lightweight Directory Access Protocol (LDAP) para asignar automáticamente la política del VPN correcta a un usuario basado en sus credenciales.

Nota: El soporte para la autenticación Idap para los usuarios de Secure Sockets Layer VPN (SSL VPN) que conectan con un headend del ® del Cisco IOS es seguido por el Id. de bug Cisco CSCuj20940. Hasta que el soporte se agregue oficialmente, el soporte LDAP es el mejor esfuerzo.

Contribuido por Atri Basu y Heather Dashnau, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • SSL VPN en el Cisco IOS
  • Autenticación Idap en el Cisco IOS
  • Servicios de directorio

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • CISCO881-SEC-K9
  • Cisco IOS Software, software C880 (C880DATA-UNIVERSALK9-M), versión 15.1(4)M, SOFTWARE DE LA VERSIÓN (fc1)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

El LDAP es un Application Protocol abierto, vendedor-neutral, del estándar de la industria para acceder y para mantener los servicios informativos de información del directorio distribuidos sobre una red del Internet Protocol (IP). Los servicios de directorio desempeñan un papel importante en el desarrollo del intranet y de las aplicaciones de Internet mientras que permiten la distribución de la información sobre los usuarios, los sistemas, las redes, los servicios, y las aplicaciones en la red.

Con frecuencia, los administradores quieren proporcionar a los usuarios VPN diversos permisos de acceso o contenido WebVPN. Esto se puede completar con la configuración de diversas políticas del VPN en el servidor VPN y de la asignación de estos directiva-conjuntos a cada dependen del usuario sobre sus credenciales. Mientras que esto se puede completar manualmente, es más eficiente automatizar el proceso con los servicios de directorio. Para utilizar el LDAP para asignar una directiva del grupo a un usuario, usted necesita configurar una correspondencia que asocie un atributo LDAP tal como el atributo “memberOf” del Active Directory (AD) a un atributo que sea entendido por la cabecera VPN.

En el dispositivo de seguridad adaptante (ASA) esto se alcanza regularmente con la asignación de diversas directivas del grupo a diversos usuarios con una correspondencia del atributo LDAP tal y como se muestra en del uso ASA del ejemplo de configuración de las correspondencias del atributo LDAP.

En el Cisco IOS la misma cosa se puede alcanzar con la configuración de diversos grupos de políticas bajo contexto del WebVPN y el uso de las correspondencias del atributo del LDAP para determinar que asignarán el grupo de políticas el usuario. En los headends del Cisco IOS, el atributo AD del “memberOf” se asocia al supplicant-grupo del atributo del Authentication, Authorization, and Accounting (AAA). Para más detalles en las asignaciones del atributo predeterminado, vea el LDAP en los dispositivos IOS usando el ejemplo de configuración dinámico de las correspondencias del atributo. Sin embargo para SSL VPN, hay dos asignaciones relevantes del atributo AAA:

Nombre del atributo AAAImportancia SSL VPN
usuario-VPN-grupocorrespondencias al grupo de políticas definido bajo contexto del WebVPN
WebVPN-contextocorrespondencias al contexto real del WebVPN sí mismo

Por lo tanto la correspondencia del atributo LDAP necesita asociar el atributo relevante LDAP a cualquiera uno de estos dos atributos AAA.

Configurar

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

Esta configuración utiliza una correspondencia del atributo LDAP para asociar el atributo LDAP del “memberOf” al usuario-VPN-grupo del atributo AAA.

  1. Configure el método de autentificación y al Grupo de servidores AAA.

    aaa new-model
    !
    !
    aaa group server ldap AD
     server DC1
    !
    aaa authentication login default local
    aaa authentication login vpn local
    aaa authentication login AD group ldap local
    aaa authorization exec default local
  2. Configure una correspondencia del atributo LDAP.

    ldap attribute-map ADMAP
     map type memberOf user-vpn-group
  3. Configure al servidor LDAP que se refiere a la correspondencia anterior del atributo LDAP.

    ldap server DC1
     ipv4 192.168.0.136
     attribute map ADMAP
     bind authenticate root-dn CN=Cisco Systems,OU=Service Accounts,DC=chillsthrills,
    DC=local password 7 <removed>
     base-dn DC=chillsthrills,DC=local
  4. Configure al router para actuar como servidor WebVPN. En este ejemplo, puesto que el atributo del “memberOf” será asociado al atributo del “usuario-VPN-grupo”, un solo contexto del WebVPN se configura con los grupos de políticas múltiples que incluyen una directiva “NOACCESS”. Este grupo de políticas está para los usuarios que no tienen un valor del “memberOf que corresponde con”.

    ip local pool vpnpool 192.168.200.200 192.168.200.250
    !
    webvpn gateway gateway_1
     hostname vpn
     ip address 173.11.196.220 port 443  
     http-redirect port 80
     ssl trustpoint TP-self-signed-2564112419
     logging enable
     inservice
     !
    webvpn install svc flash:/webvpn/anyconnect-win-2.5.2019-k9.pkg sequence 1
     !
    webvpn install csd flash:/webvpn/sdesktop.pkg
     !
    webvpn context VPNACCESS
     secondary-color white
     title-color #669999
     text-color black
     ssl authenticate verify all
     !
     policy group NOACCESS
       banner "Access denied per user group restrictions in Active Directory.
    Please contact your system administrator or manager to request access."
       hide-url-bar
       timeout idle 60
       timeout session 1
     !
     !
     policy group CN=T,OU=MyBusiness,DC=chillsthrills,DC=local
       functions svc-enabled
       banner "special access-granted"
       svc address-pool "vpnpool"
       svc default-domain "cisco.com"
       svc keep-client-installed
       svc rekey method new-tunnel
       svc split dns "cisco.com"
       svc split include 192.168.0.0 255.255.255.0
       svc split include 10.10.10.0 255.255.255.0
       svc split include 172.16.254.0 255.255.255.0
       svc dns-server primary 192.168.0.136
     default-group-policy NOACCESS
     aaa authentication list AD
     gateway gateway_1
     inservice
    !
    end

Advertencias

  1. Si el usuario es múltiples grupos de un “memberOf”, el primer valor del “memberOf” es utilizado por el router.

  2. Cuál es impar en esta configuración es que el nombre del grupo de políticas tiene que ser un exacto - coincidencia para la cadena completa avanzada por el servidor LDAP para el “valor del memberOf”. Los administradores utilizan generalmente nombres más cortos y más relevantes para el grupo de políticas, tal como VPNACCESS, pero aparte del problema estético éste puede llevar a un problema más grande. No es infrecuente que la cadena del atributo del “memberOf” sea considerablemente más grande que lo que se ha utilizado en este ejemplo. Por ejemplo, considere este mensaje del debug:

    004090: Aug 23 08:26:57.235 PCTime: %SSLVPN-6-INVALID_RADIUS_CONFIGURATION:
    Radius configured group policy "CN=VPNACCESS,OU=SecurityGroups,OU=MyBusiness,
    DC=chillsthrills,DC=local" does not exist

    Muestra claramente que es la cadena recibida del AD:

    "CN=VPNACCESS,OU=SecurityGroups,OU=MyBusiness,DC=chillsthrills,DC=local" 

    Sin embargo, puesto que no hay tal grupo de políticas definido, si el administrador intenta configurar tal directiva del grupo da lugar a un error porque el Cisco IOS tiene un límite en el número de caracteres en el nombre de grupo de políticas:

    HOURTR1(config-webvpn-context)#webvpn context VPNACCESS
    HOURTR1(config-webvpn-context)# policy group "CN=VPNACCESS,OU=Security Groups,
    OU=MyBusiness,DC=chillsthrills,DC=local"
    Error: group policy name cannot exceed 63 characters

En tales situaciones hay dos soluciones alternativas posibles:

  1. Utilice un diverso atributo LDAP, tal como “departamento”.

    Considere esta correspondencia del atributo LDAP:

    ldap attribute-map ADMAP
     map type department user-vpn-group

    En este caso el valor del atributo del departamento para un usuario se puede fijar a un valor tal como VPNACCESS y la configuración del WebVPN es un bit más simple:

    webvpn context VPNACCESS
     secondary-color white
     title-color #669999
     text-color black
     ssl authenticate verify all
     !
     policy group NOACCESS
       banner "Access denied per user group restrictions in Active Directory.
    Please contact your system administrator or manager to request access."
     !
     policy group VPNACCESS
       functions svc-enabled
       banner "access-granted"
       svc address-pool "vpnpool"
       svc default-domain "cisco.com"
       svc keep-client-installed
       svc rekey method new-tunnel
       svc split dns "cisco.com"
       svc split include 192.168.0.0 255.255.255.0
       svc split include 10.10.10.0 255.255.255.0
       svc split include 172.16.254.0 255.255.255.0
       svc dns-server primary 192.168.0.136
     default-group-policy NOACCESS
     aaa authentication list AD
     gateway gateway_1
     inservice
    !
    end
  2. Utilice la palabra clave de la DN-a-cadena en la correspondencia del atributo LDAP.

    Si la solución alternativa anterior no es conveniente entonces el administrador puede utilizar la palabra clave de la dn-a-cadena en la correspondencia del atributo LDAP para extraer apenas el valor del Common Name (CN) de la cadena del “memberOf”. En este escenario la correspondencia del atributo LDAP sería:

    ldap attribute-map ADMAP
     map type memberOf user-vpn-group format dn-to-string

    Y la configuración del WebVPN sería:

    webvpn context VPNACCESS
     secondary-color white
     title-color #669999
     text-color black
     ssl authenticate verify all
     !
     policy group NOACCESS
       banner "Access denied per user group restrictions in Active Directory.
    Please contact your system administrator or manager to request access."
     !
     policy group VPNACCESS
       functions svc-enabled
       banner "access-granted"
       svc address-pool "vpnpool"
       svc default-domain "cisco.com"
       svc keep-client-installed
       svc rekey method new-tunnel
       svc split dns "cisco.com"
       svc split include 192.168.0.0 255.255.255.0
       svc split include 10.10.10.0 255.255.255.0
       svc split include 172.16.254.0 255.255.255.0
       svc dns-server primary 192.168.0.136
     default-group-policy NOACCESS
     aaa authentication list AD
     gateway gateway_1
     inservice
    !
    end

Nota: A diferencia en de los ASA donde usted puede utilizar el comando value de la correspondencia bajo una correspondencia del atributo para hacer juego el valor recibido del servidor LDAP a algún otro localmente - el valor significativo, los headends del Cisco IOS no tiene esta opción y está por lo tanto no como flexible. El Id. de bug Cisco CSCts31840 se ha clasifiado para dirigir esto.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

  • muestre los atributos del ldap
  • muestre al servidor LDAP todo

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Para resolver problemas la asignación del atributo LDAP, habilite estos debugs:

  • haga el debug del ldap todo
  • haga el debug del evento del ldap
  • debug aaa authentication
  • debug aaa authorization


Document ID: 118695