Introducción
Este documento describe cómo configurar VPN de acceso remoto (RA VPN) con autenticación y autorización de protocolo ligero de acceso a directorios (LDAP) en Firepower Threat Defense (FTD) gestionado por Firepower Management Center (FMC).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Comprensión básica del funcionamiento de VPN de RA.
- Comprensión de navegar a través del FMC.
- Configuración de servicios LDAP en Microsoft Windows Server.
Componentes Utilizados
La información que contiene este documento se basa en estas versiones de software:
- Cisco Firepower Management Center (FMC) versión 6.7.0
- Cisco Firepower Threat Defense (FTD) versión 6.7.0
- Windows Windows Server 2012, configurado como servidor LDAP
Nota: La información de este documento se creó a partir de dispositivos en un entorno de laboratorio específico. All of the devices used in this document started with a cleared (default) configuration. Si su red está activa, asegúrese de comprender el impacto potencial de cualquier cambio de configuración.
Antecedentes
LDAP es un protocolo de aplicaciones abierto, neutral con respecto al proveedor y estándar del sector para acceder y mantener servicios de información de directorios distribuidos.
Un mapa de atributos LDAP equipara los atributos que existen en Active Directory (AD) o servidor LDAP con los nombres de atributos de Cisco. Luego, cuando el servidor AD o LDAP devuelve respuestas de autenticación al dispositivo FTD durante un establecimiento de conexión VPN de acceso remoto, el dispositivo FTD puede utilizar la información para ajustar cómo el cliente AnyConnect completa la conexión.
La VPN de RA con autenticación LDAP ha sido soportada en el FMC desde la versión 6.2.1 y la autorización LDAP anterior a la versión 6.7.0 de FMC fue aconsejada a través de FlexConfig para configurar el Mapa de Atributo LDAP y asociarlo con el Servidor de Rango. Esta función, con la versión 6.7.0, se ha integrado ahora con el asistente de configuración de VPN RA en el FMC y ya no requiere el uso de FlexConfig.
Nota: Esta función requiere que el FMC esté en la versión 6.7.0 mientras que el FTD administrado podría estar en cualquier versión superior a 6.3.0
Requisitos de licencia
Requiere una licencia AnyConnect Apex, AnyConnect Plus o AnyConnect VPN Only con funcionalidad controlada por exportación habilitada.
Para verificar las licencias, navegue hasta Sistema > Licencias > Licencias inteligentes.


Pasos de configuración en FMC
Configuración del servidor REALM / LDAP
Nota: Los pasos mencionados sólo son necesarios si se configura un nuevo servidor REALM / LDAP. Si tiene un servidor preexistente que se podría utilizar para la autenticación en VPN RA, navegue hasta Configuración de VPN RA.
Paso 1. Vaya a System > Integration, como se muestra en esta imagen.

Paso 2. Como se muestra en la imagen, haga clic en Agregar un nuevo rango.

Paso 3. Proporcione los detalles del servidor AD. Click OK.
A los efectos de esta demostración:
Nombre: LDAP
Tipo: AD
Dominio primario de AD: rohan.com
Nombre de usuario del directorio: CN=Administrador,CN=Usuarios,DC=rohan,DC=com
Contraseña del directorio: <Oculto>
DN base: DC=rohan,DC=com
Grupo DN: DC=rohan,DC=com

Paso 4. Haga clic en Agregar directorio, como se muestra en la imagen, para agregar el nuevo servidor.

Paso 5. Proporcione el nombre de host / dirección IP y el puerto para el servidor.
A los efectos de esta demostración:
Nombre de host / Dirección IP: 10.106.56.136
Puerto: 389 (puerto LDAP predeterminado)
Cifrado: Ninguno

Paso 6. Haga clic en Guardar para guardar los cambios de rango/directorio, como se muestra en esta imagen.

Paso 7. Cambie el botón State para cambiar el estado del servidor a Enabled, como se muestra en esta imagen.

Configuración de VPN de RA
Los siguientes pasos son necesarios para configurar la política de grupo que se asignará a los usuarios de VPN autorizados. Si la Directiva de grupo ya está definida, vaya al Paso 5.
Paso 1. Navegue hasta Objetos > Administración de objetos.

Paso 2: En el panel izquierdo navegue hasta VPN > Directiva de grupo.

Paso 3: Haga clic en Agregar política de grupo.

Paso 4: Proporcione la configuración de directiva de grupo.
A los efectos de esta demostración:
Nombre: RA-VPN
Banner: ! Bienvenido a VPN.
Inicio De Sesión Simultáneo Por Usuario: 3 (Default)


Paso 5. Navegue hasta Dispositivos > VPN > Acceso Remoto.

Paso 6. Haga clic en Agregar una nueva configuración.

Paso 7. Proporcione un Nombre para la Política de VPN de RA. Elija los protocolos VPN y elija los dispositivos dirigidos. Haga clic en Next (Siguiente).
A los efectos de esta demostración:
Nombre: RA-VPN
Protocolos VPN: SSL
Dispositivos objetivo: FTD

Paso 8. Elija el Método de Autenticación como sólo AAA. Elija el servidor REALM / LDAP bajo el Servidor de Autenticación. Haga clic en Configurar mapa de atributos LDAP (para configurar la autorización LDAP).

Paso 9. Proporcione el Nombre de Atributo LDAP y el Nombre de Atributo de Cisco. Haga clic en Agregar mapa de valor.
A los efectos de esta demostración:
Nombre de atributo LDAP: miembroOf
Nombre de atributo de Cisco: Group-Policy

Paso 10. Proporcione el Valor de Atributo LDAP y el Valor de Atributo Cisco. Haga clic en Aceptar.
A los efectos de esta demostración:
Valor de Atributo LDAP: CN=VPN,DC=rohan,DC=com
Valor de atributo de Cisco: RA-VPN

Nota: Puede agregar más Value Maps según el requisito.
Paso 11. Agregue el Pool de Direcciones para la asignación de direcciones locales. Click OK.

Paso 12. Proporcione el nombre del perfil de conexión y la política de grupo. Haga clic en Next (Siguiente).
A los efectos de esta demostración:
Nombre del perfil de conexión: RA-VPN
método de autentificación: Sólo AAA
Servidor de autenticación: LDAP
Grupo de Direcciones IPv4: VPN-Pool
Política de grupo: Sin acceso
Nota: El Método de Autenticación, Servidor de Autenticación y el Grupo de Direcciones IPV4 se configuraron en pasos anteriores.

La política de grupo sin acceso tiene la configuración Inicio de sesión simultáneo por usuario establecida en 0 (Para no permitir que los usuarios puedan iniciar sesión si reciben la política de grupo predeterminada Sin acceso).

Paso 13. Haga clic en Add new AnyConnect Image para agregar una imagen de cliente AnyConnect al FTD.

Paso 14. Proporcione un Nombre para la imagen cargada y busque desde el almacenamiento local para cargar la imagen. Click Save.

Paso 15. Marque la casilla de verificación situada junto a la imagen para habilitarla para su uso. Haga clic en Next (Siguiente).

Paso 16. Elija el grupo de interfaces/zona de seguridad y el certificado de dispositivo. Haga clic en Next (Siguiente).
A los efectos de esta demostración:
Grupo de interfaz/Zona de seguridad: Zona externa
Certificado del dispositivo: Autofirmado
Nota: Puede optar por activar la opción de directiva Bypass Access Control para omitir cualquier comprobación de control de acceso para el tráfico cifrado (VPN). (Desactivado de forma predeterminada).

Paso 17. Vea el resumen de la configuración de RA VPN. Haga clic en Finalizar para guardarlo, como se muestra en la imagen.

Paso 18. Navegue hasta Implementar > Implementación. Elija el FTD al que se debe implementar la configuración y haga clic en Implementar.
Configuración enviada a la CLI de FTD después de una implementación correcta:
!--- LDAP Server Configuration ---!
ldap attribute-map LDAP
map-name memberOf Group-Policy
map-value memberOf CN=VPN,DC=rohan,DC=com RA-VPN
aaa-server LDAP protocol ldap
max-failed-attempts 4
realm-id 2
aaa-server LDAP host 10.106.56.137
server-port 389
ldap-base-dn DC=rohan,DC=com
ldap-group-base-dn DC=rohan,DC=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn CN=Administrator,CN=Users,DC=rohan,DC=com
server-type microsoft
ldap-attribute-map LDAP
!--- RA VPN Configuration ---!
webvpn
enable Outside
anyconnect image disk0:/csm/anyconnect-win-4.7.02036-webdeploy-k9.pkg 1 regex "Windows"
anyconnect enable
tunnel-group-list enable
error-recovery disable
ssl trust-point Self-Signed
group-policy No-Access internal
group-policy No-Access attributes
vpn-simultaneous-logins 0
vpn-idle-timeout 30
!--- Output Omitted ---!
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list none
group-policy RA-VPN internal
group-policy RA-VPN attributes
banner value ! Welcome to VPN !
vpn-simultaneous-logins 3
vpn-idle-timeout 30
!--- Output Omitted ---!
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list non
ip local pool VPN-Pool 192.168.90.1-192.168.90.100 mask 255.255.255.0
tunnel-group RA-VPN type remote-access
tunnel-group RA-VPN general-attributes
address-pool VPN-Pool
authentication-server-group LDAP
default-group-policy No-Access
tunnel-group RA-VPN webvpn-attributes
group-alias RA-VPN enable
Verificación
En el cliente AnyConnect, inicie sesión usando Credenciales de grupo de usuarios de VPN válidas y obtendrá la política de grupo correcta asignada por el mapa de atributos LDAP:

Desde el fragmento de depuración LDAP (debug ldap 255) puede ver que hay una coincidencia en el mapa de atributos LDAP:
Authentication successful for rohan to 10.106.56.137
memberOf: value = CN=VPN,DC=rohan,DC=com
mapped to Group-Policy: value = RA-VPN
mapped to LDAP-Class: value = RA-VPN
En el cliente AnyConnect, inicie sesión con una Credenciales de grupo de usuarios de VPN no válidas y obtendrá la política de grupo Sin acceso.

%FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator
%FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator
%FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator
Desde el fragmento de depuración LDAP (debug ldap 255) puede ver que no hay coincidencia en el mapa de atributos LDAP:
Authentication successful for Administrator to 10.106.56.137
memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
memberOf: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com