تكوين تعيين سمة LDAP على ASA ل Secure Client VPN

المقدمة

يصف هذا المستند تكوين تعيين سمة LDAP على Cisco ASA لتعيين سياسات مجموعة VPN استنادا إلى مجموعات Active Directory.

المتطلبات

متطلبات ASA من Cisco

• ASA من Cisco الذي يشغل إصدار برنامج مدعوم.

• الوصول الإداري إلى جهاز ASA.

متطلبات الشبكة

• مجال Active Directory (AD) الذي يمكن الوصول إليه من قبل ASA.

• LDAP عبر SSL (LDAPs) تم تكوينه على خادم AD (المنفذ الافتراضي 636).

متطلبات العميل

• تم تثبيت Secure Client على أجهزة العميل.

المكونات المستخدمة

لا تقتصر المعلومات الواردة في هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

خطوات التكوين

الخطوة 1. تحديد سياسات المجموعة

تحدد نهج المجموعة الأذونات والقيود الخاصة بمستخدمي VPN. قم بإنشاء سياسات المجموعة الضرورية التي تتوافق مع متطلبات الوصول الخاصة بمؤسستك.

إنشاء نهج مجموعة للمستخدمين المعتمدين

 group-policy VPN_User_Policy internal
 group-policy VPN_User_Policy attributes
   vpn-simultaneous-logins 3
   split-tunnel-policy tunnelspecified
   split-tunnel-network-list value SPLIT_TUNNEL_ACL

إنشاء نهج مجموعة افتراضي لرفض الوصول.

group-policy No_Access_Policy internal
 group-policy No_Access_Policy attributes
   vpn-simultaneous-logins 0

الخطوة 2. تكوين تعيين سمة LDAP

يترجم مخطط السمة سمات LDAP إلى سمات ASA، مما يمكن ASA من تعيين المستخدمين إلى نهج المجموعة الصحيح استنادا إلى عضوية مجموعة LDAP الخاصة بهم.

ldap attribute-map VPN_Access_Map
   map-name  memberOf Group-Policy
   map-value memberOf "CN=VPN_Users,OU=Groups,DC=example,DC=com" VPN_User_Policy

ملاحظة: يجب دائما تضمين الاسم المميز (DN) لمجموعة LDAP في علامات تنصيص مزدوجة ("). وهذا يضمن أن ال ASA يفسر مسافات وحروف خاصة بشكل صحيح في ال DN.

الخطوة 3. تكوين خادم LDAP AAA

قم بإعداد ASA للاتصال بخادم AD للمصادقة وتخطيط المجموعة.

 aaa-server AD_LDAP_Server protocol ldap
 aaa-server AD_LDAP_Server (inside) host 192.168.1.10
   ldap-base-dn dc=example,dc=com
   ldap-scope subtree
   ldap-naming-attribute sAMAccountName
   ldap-login-password ********
   ldap-login-dn CN=ldap_bind_user,OU=Service Accounts,DC=example,DC=com
   ldap-over-ssl enable
   ldap-attribute-map VPN_Access_Map

الخطوة 4. تحديد مجموعة الأنفاق

تقوم مجموعة النفق بتعريف معلمات VPN وربط المصادقة بخادم LDAP.

 tunnel-group VPN_Tunnel type remote-access
 tunnel-group VPN_Tunnel general-attributes
   address-pool VPN_Pool
   authentication-server-group AD_LDAP_Server
   default-group-policy No_Access_Policy

 tunnel-group VPN_Tunnel webvpn-attributes
   group-alias VPN_Tunnel enable

ملاحظة: تم تعيين نهج المجموعة الافتراضية إلى NO_ACCESS_POLICY، مع رفض وصول المستخدمين الذين لا يتطابقون مع أي معايير خريطة لسمة LDAP.

التحقق من الصحة

بعد إكمال الإعداد، تحقق من مصادقة المستخدمين بشكل صحيح ومن تعيين نهج المجموعة المناسبة.

التحقق من تعيين جلسة شبكة VPN

show vpn-sessiondb anyconnect filter name 

استبدل <username> بحساب الاختبار الفعلي.

استكشاف الأخطاء وإصلاحها

أستخدم هذا القسم لاستكشاف أخطاء التكوين وإصلاحها.

تمكين تصحيح أخطاء LDAP

إذا لم يكن المستخدمون يتلقون نهج المجموعة المتوقعة، فقم بتمكين تصحيح الأخطاء لتحديد المشاكل.

debug ldap 255
debug aaa common 255
debug aaa shim 255

بدء اتصال VPN

إجراء محاولة مستخدم إختبار للاتصال باستخدام Cisco Secure Client.

مراجعة إخراج تصحيح الأخطاء

تحقق من سجلات Cisco ASA للتأكد من تعيين المستخدم لنهج المجموعة الصحيح استنادا إلى عضوية مجموعة Active Directory (AD) الخاصة به.

تعطيل تصحيح الأخطاء بعد التحقق

undebug all

المشكلات الشائعة

تعيينات سمة LDAP حساسة لحالة الأحرف. تأكد من أن أسماء مجموعة AD في عبارات قيمة الخريطة متطابقة تماما، بما في ذلك حساسية الحالة.

تحقق من أن المستخدمين هم أعضاء مباشرون في مجموعات AD المحددة. لا يتم التعرف دائما على عضويات المجموعة المتداخلة، مما يؤدي إلى حدوث مشاكل في التخويل.

يتلقى المستخدمون الذين لا يتطابقون مع أي من معايير قيمة الخريطة سياسة المجموعة الافتراضية (NO_ACCESS_POLICY في هذه الحالة)، مما يمنع الوصول.