Configuración de RA VPN con autenticación LDAP y autorización para FTD administrado por FMC

Introducción

Este documento describe cómo configurar VPN de acceso remoto (RA VPN) con autenticación y autorización de protocolo ligero de acceso a directorios (LDAP) en Firepower Threat Defense (FTD) gestionado por Firepower Management Center (FMC).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Comprensión básica del funcionamiento de VPN de RA.
• Comprensión de navegar a través del FMC.
• Configuración de servicios LDAP en Microsoft Windows Server.

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software:

• Cisco Firepower Management Center (FMC) versión 6.7.0
• Cisco Firepower Threat Defense (FTD) versión 6.7.0
• Windows Windows Server 2012, configurado como servidor LDAP

Nota: La información de este documento se creó a partir de dispositivos en un entorno de laboratorio específico. All of the devices used in this document started with a cleared (default) configuration. Si su red está activa, asegúrese de comprender el impacto potencial de cualquier cambio de configuración.

Antecedentes

LDAP es un protocolo de aplicaciones abierto, neutral con respecto al proveedor y estándar del sector para acceder y mantener servicios de información de directorios distribuidos.

Un mapa de atributos LDAP equipara los atributos que existen en Active Directory (AD) o servidor LDAP con los nombres de atributos de Cisco. Luego, cuando el servidor AD o LDAP devuelve respuestas de autenticación al dispositivo FTD durante un establecimiento de conexión VPN de acceso remoto, el dispositivo FTD puede utilizar la información para ajustar cómo el cliente AnyConnect completa la conexión.

La VPN de RA con autenticación LDAP ha sido soportada en el FMC desde la versión 6.2.1 y la autorización LDAP anterior a la versión 6.7.0 de FMC fue aconsejada a través de FlexConfig para configurar el Mapa de Atributo LDAP y asociarlo con el Servidor de Rango. Esta función, con la versión 6.7.0, se ha integrado ahora con el asistente de configuración de VPN RA en el FMC y ya no requiere el uso de FlexConfig.

Nota: Esta función requiere que el FMC esté en la versión 6.7.0 mientras que el FTD administrado podría estar en cualquier versión superior a 6.3.0

Requisitos de licencia

Requiere una licencia AnyConnect Apex, AnyConnect Plus o AnyConnect VPN Only con funcionalidad controlada por exportación habilitada.

Para verificar las licencias, navegue hasta Sistema > Licencias > Licencias inteligentes.

Pasos de configuración en FMC

Configuración del servidor REALM / LDAP

Nota: Los pasos mencionados sólo son necesarios si se configura un nuevo servidor REALM / LDAP. Si tiene un servidor preexistente que se podría utilizar para la autenticación en VPN RA, navegue hasta Configuración de VPN RA.

Paso 1. Vaya a System > Integration, como se muestra en esta imagen.

Paso 2. Como se muestra en la imagen, haga clic en Agregar un nuevo rango.

Paso 3. Proporcione los detalles del servidor AD. Click OK.

A los efectos de esta demostración:

Nombre: LDAP

Tipo: AD

Dominio primario de AD: rohan.com

Nombre de usuario del directorio: CN=Administrador,CN=Usuarios,DC=rohan,DC=com

Contraseña del directorio: <Oculto>

DN base: DC=rohan,DC=com

Grupo DN: DC=rohan,DC=com

Paso 4. Haga clic en Agregar directorio, como se muestra en la imagen, para agregar el nuevo servidor.

Paso 5. Proporcione el nombre de host / dirección IP y el puerto para el servidor.

A los efectos de esta demostración:

Nombre de host / Dirección IP: 10.106.56.136

Puerto: 389 (puerto LDAP predeterminado)

Cifrado: Ninguno

    

Paso 6. Haga clic en Guardar para guardar los cambios de rango/directorio, como se muestra en esta imagen.

Paso 7. Cambie el botón State para cambiar el estado del servidor a Enabled, como se muestra en esta imagen.

Configuración de VPN de RA

Los siguientes pasos son necesarios para configurar la política de grupo que se asignará a los usuarios de VPN autorizados. Si la Directiva de grupo ya está definida, vaya al Paso 5.

Paso 1. Navegue hasta Objetos > Administración de objetos.

Paso 2: En el panel izquierdo navegue hasta VPN > Directiva de grupo.

Paso 3: Haga clic en Agregar política de grupo.

Paso 4: Proporcione la configuración de directiva de grupo.

A los efectos de esta demostración:

Nombre: RA-VPN

Banner: ! Bienvenido a VPN.

Inicio De Sesión Simultáneo Por Usuario: 3 (Default)

   

Paso 5. Navegue hasta Dispositivos > VPN > Acceso Remoto.

Paso 6. Haga clic en Agregar una nueva configuración.

Paso 7. Proporcione un Nombre para la Política de VPN de RA. Elija los protocolos VPN y elija los dispositivos dirigidos. Haga clic en Next (Siguiente).

A los efectos de esta demostración:

Nombre: RA-VPN

Protocolos VPN: SSL

Dispositivos objetivo: FTD

Paso 8. Elija el Método de Autenticación como sólo AAA. Elija el servidor REALM / LDAP bajo el Servidor de Autenticación. Haga clic en Configurar mapa de atributos LDAP (para configurar la autorización LDAP).

Paso 9. Proporcione el Nombre de Atributo LDAP y el Nombre de Atributo de Cisco. Haga clic en Agregar mapa de valor.

A los efectos de esta demostración:

Nombre de atributo LDAP: miembroOf

Nombre de atributo de Cisco: Group-Policy

Paso 10. Proporcione el Valor de Atributo LDAP y el Valor de Atributo Cisco. Haga clic en Aceptar.

A los efectos de esta demostración:

Valor de Atributo LDAP: CN=VPN,DC=rohan,DC=com

Valor de atributo de Cisco: RA-VPN

Nota: Puede agregar más Value Maps según el requisito.

Paso 11. Agregue el Pool de Direcciones para la asignación de direcciones locales. Click OK.

Paso 12. Proporcione el nombre del perfil de conexión y la política de grupo. Haga clic en Next (Siguiente).

A los efectos de esta demostración:

Nombre del perfil de conexión: RA-VPN

método de autentificación: Sólo AAA

Servidor de autenticación: LDAP

Grupo de Direcciones IPv4: VPN-Pool

Política de grupo: Sin acceso

Nota: El Método de Autenticación, Servidor de Autenticación y el Grupo de Direcciones IPV4 se configuraron en pasos anteriores.

La política de grupo sin acceso tiene la configuración Inicio de sesión simultáneo por usuario establecida en 0 (Para no permitir que los usuarios puedan iniciar sesión si reciben la política de grupo predeterminada Sin acceso).

Paso 13. Haga clic en Add new AnyConnect Image para agregar una imagen de cliente AnyConnect al FTD.

Paso 14. Proporcione un Nombre para la imagen cargada y busque desde el almacenamiento local para cargar la imagen. Click Save.

Paso 15. Marque la casilla de verificación situada junto a la imagen para habilitarla para su uso. Haga clic en Next (Siguiente).

Paso 16. Elija el grupo de interfaces/zona de seguridad y el certificado de dispositivo. Haga clic en Next (Siguiente).

A los efectos de esta demostración:

Grupo de interfaz/Zona de seguridad: Zona externa

Certificado del dispositivo: Autofirmado

Nota: Puede optar por activar la opción de directiva Bypass Access Control para omitir cualquier comprobación de control de acceso para el tráfico cifrado (VPN). (Desactivado de forma predeterminada).

Paso 17. Vea el resumen de la configuración de RA VPN. Haga clic en Finalizar para guardarlo, como se muestra en la imagen.

Paso 18. Navegue hasta Implementar > Implementación. Elija el FTD al que se debe implementar la configuración y haga clic en Implementar.

Configuración enviada a la CLI de FTD después de una implementación correcta:

!--- LDAP Server Configuration ---!

ldap attribute-map LDAP
 map-name memberOf Group-Policy
 map-value memberOf CN=VPN,DC=rohan,DC=com RA-VPN

aaa-server LDAP protocol ldap
 max-failed-attempts 4
 realm-id 2
aaa-server LDAP host 10.106.56.137
 server-port 389
 ldap-base-dn DC=rohan,DC=com
 ldap-group-base-dn DC=rohan,DC=com
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn CN=Administrator,CN=Users,DC=rohan,DC=com
 server-type microsoft
 ldap-attribute-map LDAP

!--- RA VPN Configuration ---!

webvpn
 enable Outside
 anyconnect image disk0:/csm/anyconnect-win-4.7.02036-webdeploy-k9.pkg 1 regex "Windows"
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable

ssl trust-point Self-Signed

group-policy No-Access internal
group-policy No-Access attributes 
 vpn-simultaneous-logins 0
 vpn-idle-timeout 30

 !--- Output Omitted ---!

 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 ipv6-split-tunnel-policy tunnelall
 split-tunnel-network-list none

group-policy RA-VPN internal
group-policy RA-VPN attributes
 banner value ! Welcome to VPN !
 vpn-simultaneous-logins 3
 vpn-idle-timeout 30

!--- Output Omitted ---!

 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 ipv6-split-tunnel-policy tunnelall
 split-tunnel-network-list non

ip local pool VPN-Pool 192.168.90.1-192.168.90.100 mask 255.255.255.0

tunnel-group RA-VPN type remote-access
tunnel-group RA-VPN general-attributes
address-pool VPN-Pool
authentication-server-group LDAP
default-group-policy No-Access
tunnel-group RA-VPN webvpn-attributes
group-alias RA-VPN enable

Verificación

En el cliente AnyConnect, inicie sesión usando Credenciales de grupo de usuarios de VPN válidas y obtendrá la política de grupo correcta asignada por el mapa de atributos LDAP:

Desde el fragmento de depuración LDAP (debug ldap 255) puede ver que hay una coincidencia en el mapa de atributos LDAP:

Authentication successful for rohan to 10.106.56.137

memberOf: value = CN=VPN,DC=rohan,DC=com
        mapped to Group-Policy: value = RA-VPN
        mapped to LDAP-Class: value = RA-VPN

En el cliente AnyConnect, inicie sesión con una Credenciales de grupo de usuarios de VPN no válidas y obtendrá la política de grupo Sin acceso.

%FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator
%FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator
%FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator

Desde el fragmento de depuración LDAP (debug ldap 255) puede ver que no hay coincidencia en el mapa de atributos LDAP:

Authentication successful for Administrator to 10.106.56.137

memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
memberOf: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com