المقدمة
يصف هذا المستند تكوين تعيين سمة LDAP على Cisco ASA لتعيين سياسات مجموعة VPN استنادا إلى مجموعات Active Directory.
المتطلبات
متطلبات ASA من Cisco
متطلبات الشبكة
متطلبات العميل
المكونات المستخدمة
لا تقتصر المعلومات الواردة في هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
خطوات التكوين
الخطوة 1. تحديد سياسات المجموعة
تحدد نهج المجموعة الأذونات والقيود الخاصة بمستخدمي VPN. قم بإنشاء سياسات المجموعة الضرورية التي تتوافق مع متطلبات الوصول الخاصة بمؤسستك.
إنشاء نهج مجموعة للمستخدمين المعتمدين
group-policy VPN_User_Policy internal
group-policy VPN_User_Policy attributes
vpn-simultaneous-logins 3
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUNNEL_ACL
إنشاء نهج مجموعة افتراضي لرفض الوصول.
group-policy No_Access_Policy internal
group-policy No_Access_Policy attributes
vpn-simultaneous-logins 0
الخطوة 2. تكوين تعيين سمة LDAP
يترجم مخطط السمة سمات LDAP إلى سمات ASA، مما يمكن ASA من تعيين المستخدمين إلى نهج المجموعة الصحيح استنادا إلى عضوية مجموعة LDAP الخاصة بهم.
ldap attribute-map VPN_Access_Map
map-name memberOf Group-Policy
map-value memberOf "CN=VPN_Users,OU=Groups,DC=example,DC=com" VPN_User_Policy
ملاحظة: يجب دائما تضمين الاسم المميز (DN) لمجموعة LDAP في علامات تنصيص مزدوجة ("). وهذا يضمن أن ال ASA يفسر مسافات وحروف خاصة بشكل صحيح في ال DN.
الخطوة 3. تكوين خادم LDAP AAA
قم بإعداد ASA للاتصال بخادم AD للمصادقة وتخطيط المجموعة.
aaa-server AD_LDAP_Server protocol ldap
aaa-server AD_LDAP_Server (inside) host 192.168.1.10
ldap-base-dn dc=example,dc=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password ********
ldap-login-dn CN=ldap_bind_user,OU=Service Accounts,DC=example,DC=com
ldap-over-ssl enable
ldap-attribute-map VPN_Access_Map
الخطوة 4. تحديد مجموعة الأنفاق
تقوم مجموعة النفق بتعريف معلمات VPN وربط المصادقة بخادم LDAP.
tunnel-group VPN_Tunnel type remote-access
tunnel-group VPN_Tunnel general-attributes
address-pool VPN_Pool
authentication-server-group AD_LDAP_Server
default-group-policy No_Access_Policy
tunnel-group VPN_Tunnel webvpn-attributes
group-alias VPN_Tunnel enable
ملاحظة: تم تعيين نهج المجموعة الافتراضية إلى NO_ACCESS_POLICY، مع رفض وصول المستخدمين الذين لا يتطابقون مع أي معايير خريطة لسمة LDAP.
التحقق من الصحة
بعد إكمال الإعداد، تحقق من مصادقة المستخدمين بشكل صحيح ومن تعيين نهج المجموعة المناسبة.
التحقق من تعيين جلسة شبكة VPN
show vpn-sessiondb anyconnect filter name
استبدل <username> بحساب الاختبار الفعلي.
استكشاف الأخطاء وإصلاحها
أستخدم هذا القسم لاستكشاف أخطاء التكوين وإصلاحها.
تمكين تصحيح أخطاء LDAP
إذا لم يكن المستخدمون يتلقون نهج المجموعة المتوقعة، فقم بتمكين تصحيح الأخطاء لتحديد المشاكل.
debug ldap 255
debug aaa common 255
debug aaa shim 255
بدء اتصال VPN
إجراء محاولة مستخدم إختبار للاتصال باستخدام Cisco Secure Client.
مراجعة إخراج تصحيح الأخطاء
تحقق من سجلات Cisco ASA للتأكد من تعيين المستخدم لنهج المجموعة الصحيح استنادا إلى عضوية مجموعة Active Directory (AD) الخاصة به.
تعطيل تصحيح الأخطاء بعد التحقق
undebug all
المشكلات الشائعة
تعيينات سمة LDAP حساسة لحالة الأحرف. تأكد من أن أسماء مجموعة AD في عبارات قيمة الخريطة متطابقة تماما، بما في ذلك حساسية الحالة.
تحقق من أن المستخدمين هم أعضاء مباشرون في مجموعات AD المحددة. لا يتم التعرف دائما على عضويات المجموعة المتداخلة، مما يؤدي إلى حدوث مشاكل في التخويل.
يتلقى المستخدمون الذين لا يتطابقون مع أي من معايير قيمة الخريطة سياسة المجموعة الافتراضية (NO_ACCESS_POLICY في هذه الحالة)، مما يمنع الوصول.