Ejemplo de Configuración del Uso de ASA de Mapas de Atributo LDAP

Introducción

Este documento describe cómo utilizar mapas de atributos del protocolo ligero de acceso a directorios (LDAP) para configurar políticas de acceso dinámico granulares en un dispositivo de seguridad adaptable (ASA).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• ASA Remote Access VPN SSL (AnyConnect, sin cliente/WebVPN) y VPN IPsec
• Mecanismos de autenticación/identidad AAA (Radius,LDAP)
• Servicios de directorio (Active Directory- AD)

Componentes Utilizados

La información de este documento se basa en la plataforma de hardware ASA-5xxx que funciona como concentrador/servidor VPN para sesiones SSL VPN de acceso remoto (AnyConnect y Clientless/WebVPN) y sesiones IPsec.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

LDAP es un protocolo de aplicaciones abierto, neutral con el proveedor y estándar del sector para acceder y mantener servicios de información de directorios distribuidos a través de una red IP. Los servicios de directorio desempeñan un papel importante en el desarrollo de aplicaciones de intranet e Internet porque permiten compartir información sobre usuarios, sistemas, redes, servicios y aplicaciones en toda la red.

Con frecuencia, los administradores quieren proporcionar a los usuarios VPN diversos permisos de acceso o contenido WebVPN. Esto se puede hacer si configura diferentes políticas VPN en el servidor VPN y asigna estos conjuntos de políticas a cada usuario en función de sus credenciales. Aunque esto se puede hacer manualmente, es más eficiente automatizar el proceso con los Servicios de directorio. Para utilizar LDAP para asignar una política de grupo a un usuario, debe configurar un mapa que mapee un atributo LDAP, como el miembro del atributo Active Directory (AD), al IETF-Radius-Class o Group-Policy que entienda el encabezado VPN.

Nota: En los Encabezados de Cisco IOS, se puede lograr lo mismo si configura diferentes grupos de políticas bajo el contexto WebVPN y usa mapas de atributos LDAP para determinar qué grupo de políticas se asignará al usuario como se describe en el documento. Consulte Ejemplo de Configuración de Asignación de Grupos de Políticas para Clientes AnyConnect que Utilizan LDAP en Encabezados Cisco IOS.

En el ASA, esto se consigue regularmente mediante la asignación de diferentes políticas de grupo a diferentes usuarios. Cuando está en uso la autenticación LDAP, esto se puede conseguir automáticamente con una correspondencia de atributo LDAP. Para utilizar LDAP para asignar una política de grupo a un usuario, debe asignar un atributo LDAP, como el miembro del atributo ADOf al atributo Group-Policy que entiende el ASA. Una vez establecida la asignación de atributos, debe asignar el valor de atributo configurado en el servidor LDAP al nombre de una política de grupo en el ASA.

Nota: El atributo memberOf corresponde al grupo del que el usuario forma parte en Active Directory. Es posible que un usuario sea miembro de más de un grupo en Active Directory. Esto hace que el servidor envíe varios atributos memberOf, pero el ASA sólo puede hacer coincidir un atributo con una política de grupo.

Preguntas frecuentes

P. ¿Hay un límite de configuración en el número de ldap-attribute-maps para el ASA?

A. No, no hay límites. ldap-attribute-maps se asignan dinámicamente durante la sesión de acceso remoto VPN que utiliza autenticación/autorización LDAP.

P. ¿Hay un límite en los números de atributos que se pueden mapear por ldap-attribute-map?

A. No hay límites de configuración.

P. ¿Hay alguna restricción sobre cuántos servidores ldap a los que se puede aplicar un mapa específico de atributos ldap?

A. Sin restricción. El código LDAP sólo verifica que el nombre ldap-attribute-map sea válido.

P. ¿Hay limitaciones con ldap-attribute-maps y atributos multivariados como AD memberOf?

A. Yes. Aquí, sólo se explica AD, pero se aplica a cualquier servidor LDAP que utilice atributos de valor múltiple para las decisiones de políticas. El ldap-attribute-map tiene una limitación con atributos multivariados como el miembro ADOf. Si un usuario es miembro de varios grupos AD (que es común) y el mapa ldap-attribute-map coincide con más de uno de ellos, el valor asignado se elegirá en función de la alfabetización de las entradas coincidentes. Puesto que este comportamiento no es obvio ni intuitivo, es importante tener un conocimiento claro de cómo funciona.

Resumen: Si la asignación LDAP produce varios valores para un atributo, el valor final del atributo se elegirá de la siguiente manera:

• Primero, seleccione los valores con el menor número de caracteres.
• Si esto da como resultado más de un valor, elija el valor más bajo en orden alfabético.

Ejemplos de casos prácticos

Active Directory-LDAP devuelve estos cuatro miembrosDe instancias para una solicitud de autorización o autenticación de usuario:

memberOf: value = CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Cisco-Eng,CN=Users,DC=stbu,OU=cisco,DC=com
memberOf: value = CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com 

LDAP-MAP #1: Suponga que este ldap-attribute-map está configurado para mapear diferentes políticas de grupo ASA basadas en el miembroDe configuración:

ldap attribute-map Class 
 map-name  memberOf Group-Policy 
 map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup4 
 map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
 map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
 map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1

En este caso, se producirán coincidencias en los cuatro valores de política de grupo (ASAGroup1 - ASAGroup4). Sin embargo, la conexión se asignará a la política de grupo ASAGroup1 porque se produce primero en orden alfabético.

LDAP-MAP #2: Este ldap-attribute-map es el mismo, excepto que el primer miembroOf no tiene asignado un valor de mapa explícito (no ASAGroup4). Tenga en cuenta que cuando no se define ningún valor de mapa explícito, se utiliza el texto del atributo recibido de LDAP.

ldap attribute-map Class 
 map-name  memberOf Group-Policy
 map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com 
 map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
 map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
 map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1

Como en el caso anterior, las coincidencias se producen en las cuatro entradas. En este caso, dado que no se proporciona ningún valor asignado para la entrada APP-SSL-VPN, el valor asignado será de forma predeterminada CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com. Dado que CN=APP-SSL-VPN aparece primero en orden alfabético, APP-SSL-VPN se seleccionará como valor de política.

Consulte Cisco bug ID CSCub64284 para obtener más información. Consulte PIX/ASA 8.0: Utilice la Autenticación LDAP para Asignar una Política de Grupo al Inicio de Sesión, que muestra un caso LDAP simple con un miembroOf que podría funcionar en su implementación particular.

Opciones de solución temporal/prácticas recomendadas

1. Utilizar política de acceso dinámico (DAP): DAP no tiene esta limitación de analizar atributos multivalorados (como memberOf); pero DAP actualmente no puede establecer una política de grupo desde dentro. Esto significa que la sesión tendría que segmentarse correctamente a través de los métodos de asociación tunnel-group/group-policy. En el futuro, DAP tendrá la capacidad de establecer cualquier atributo de autorización, incluida la política de grupo (Id. de bug Cisco CSCsi54718), por lo que la necesidad de un mapa de atributos ldap para este fin finalmente no será necesaria.
2. Como alternativa posible y si el escenario de implementación lo permite, siempre que se debe utilizar un mapa de atributos ldap para establecer el atributo class, también se puede utilizar un atributo de valor único (como Departamento) que represente la diferenciación de grupo en AD.

Nota: En un miembro de DN como "CN=Ingeniería, OU=Office1, DC=cisco,DC=com", sólo puede tomar la decisión sobre el primer DN, es decir CN=Ingeniería, no la Unidad organizativa (OU). Hay una mejora para poder filtrar en cualquier campo DN.

Configurar - Ejemplos de casos prácticos

Nota: Cada ejemplo descrito en esta sección es una configuración independiente, pero puede combinarse y coincidir entre sí para producir la política de acceso deseada.

Consejo: Los nombres y valores de atributos distinguen entre mayúsculas y minúsculas. Si el mapping no ocurre correctamente, asegúrese de que se haya utilizado la ortografía y la capitalización correctas en el mapa de atributos LDAP para los nombres y valores de los atributos de Cisco y LDAP.

1. Aplicación de políticas de atributos basados en el usuario

Cualquier atributo LDAP estándar se puede asignar a un atributo específico del proveedor del dispositivo (VSA) conocido. Uno o más atributos LDAP se pueden asignar a uno o más atributos LDAP de Cisco. Para obtener una lista completa de VSAs LDAP de Cisco, consulte Atributos de Cisco Soportados para Autorización LDAP. Este ejemplo muestra cómo aplicar un banner para LDAP user1. User1 puede ser cualquier tipo de acceso remoto VPN: IPsec, SVC o WebVPN sin cliente. Este ejemplo utiliza el atributo/campo Properties/General/Office para aplicar el Banner1.

Nota: Puede utilizar el atributo/campo de Departamento de AD para asignar a Cisco IETF-Radius-Class VSA para aplicar políticas desde una política de grupo ASA/PIX. Hay ejemplos de esto más adelante en el documento.

La asignación de atributos LDAP (para Microsoft AD y Sun) es compatible con la versión 7.1.x de PIX/ASA. Cualquier atributo de Microsoft/AD se puede asignar a un atributo de Cisco. Este es el procedimiento para realizar esto:

1. En el servidor AD/LDAP:

   • Seleccione user1.
   • Haga clic con el botón derecho del ratón > Propiedades.
   • Seleccione una ficha que se utilizará para establecer un atributo (Ejemplo. General).
   • Seleccione un campo/atributo, por ejemplo el campo "Office", que se utilizará para aplicar el rango de tiempo, e introduzca el texto del banner (por ejemplo, Bienvenido a LDAP !!!!). La configuración "Office" en la GUI se almacena en el atributo AD/LDAP "physicalDeliveryOfficeName".
2. En ASA, para crear una tabla de asignación de atributos LDAP, mapee el atributo AD/LDAP "physicalDeliveryOfficeName" al atributo ASA "Banner1":
   

   B200-54(config)# show run ldap
   ldap attribute-map Banner
    map-name  physicalDeliveryOfficeName Banner1

3. Asocie el atributo LDAP map a la entrada aaa-server:
   

   B200-54(config-time-range)# show runn aaa-server microsoft
   
   aaa-server microsoft protocol ldap
   aaa-server microsoft host audi-qa.frdevtestad.local
    ldap-base-dn dc=frdevtestad,dc=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password hello
    ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
    ldap-attribute-map Banner

4. Establezca la sesión de acceso remoto y verifique que el banner "Welcome to LDAP !!!!" se presenta al usuario de VPN.

2. Ejemplo de Ubicación de Usuarios LDAP en una Política de Grupo Específica - Genérica

Este ejemplo muestra la autenticación de user1 en el servidor AD-LDAP y recupera el valor del campo de departamento para que pueda ser mapeado a una política de grupo ASA/PIX desde la cual se aplicarán las políticas.

1. En el servidor AD/LDAP:

   • Seleccione user1.
   • Haga clic con el botón derecho del ratón > Propiedades.
   • Seleccione una ficha que se utilizará para establecer un atributo (Ejemplo. Organización).
   • Seleccione un campo/atributo, por ejemplo "Departamento", que se utilizará para aplicar una política de grupo e introduzca el valor de la política de grupo (Directiva de grupo1) en el ASA/PIX. La configuración "Departamento" en la GUI se almacena en el atributo "departamento" de AD/LDAP.
2. Defina una tabla ldap-attribute-map.
   

   5520-1(config)# show runn ldap
   ldap attribute-map Our-AD-Map
   map-name  department Group-Policy
   5520-1(config)#

   Nota:  Como resultado de la implementación del Id. de bug Cisco CSCsv43552, se introdujo un nuevo atributo ldap-attribute-map, Group-Policy, para reemplazar IETF-Radius-Class. La CLI en ASA versión 8.2 soporta la palabra clave IETF-Radius-Class como una opción válida en los comandos map-name y map-value para leer un archivo de configuración 8.0 (escenario de actualización de software). El código del administrador adaptable de dispositivos de seguridad (ASDM) ya se ha actualizado para que deje de mostrar IETF-Radius-Class como opción al configurar una entrada de mapa de atributos. Además, ASDM escribirá el atributo IETF-Radius-Class (si se lee desde una configuración 8.0) como atributo Group-Policy.

3. Defina Group-policy Group_policy1 en el dispositivo y los atributos de política necesarios.
4. Establezca el túnel de acceso remoto VPN y verifique que la sesión herede los atributos de Group-Policy1 (y cualquier otro atributo aplicable de la política de grupo predeterminada).

   Nota: Agregue más atributos al mapa según sea necesario. Este ejemplo muestra sólo el mínimo para controlar esta función específica (coloque un usuario en una política de grupo específica ASA/PIX 7.1.x). El tercer ejemplo muestra este tipo de mapa.

Configuración de una política de grupo de NOACCESS

Puede crear una política de grupo NOACCESS para denegar la conexión VPN cuando el usuario no forma parte de ninguno de los grupos LDAP. Este fragmento de configuración se muestra para su referencia:

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol IPSec webvpn

Debe aplicar esta política de grupo como política de grupo predeterminada al grupo de túnel. Esto permite a los usuarios que obtienen una asignación del mapa de atributos LDAP, por ejemplo aquellos que pertenecen a un grupo LDAP deseado, obtener sus políticas de grupo y usuarios que no obtienen ninguna asignación, por ejemplo aquellos que no pertenecen a ninguno de los grupos LDAP deseados, obtener NOACCESS group-policy del grupo de túnel, que bloquea el acceso para ellos.

Consejo: Dado que el atributo vpn-simultáneamente-logins se establece en 0 aquí, también debe definirse explícitamente en todas las demás políticas de grupo; de lo contrario, se heredará de la política de grupo predeterminada para ese grupo de túnel, que en este caso es la política NOACCESS.

3. Aplicación de políticas de atributos basados en grupo: ejemplo

Nota: Se requiere la implementación/corrección del ID de bug Cisco CSCse08736, por lo que el ASA debe ejecutar al menos la versión 7.2.2.

1. En el servidor AD-LDAP, Active Directory Users and Computers, configure un registro de usuario (VPNUserGroup) que represente un grupo donde se configuran los atributos VPN.
2. En el servidor AD-LDAP, Usuarios y equipos de Active Directory, defina el campo Departamento de cada registro de usuario para señalar al registro de grupo (VPNUserGroup) en el paso 1. El nombre de usuario en este ejemplo es web1.

   Nota: El atributo AD del departamento se utilizó sólo porque lógicamente "departamento" se refiere a la política de grupo. En realidad, se podría utilizar cualquier campo. El requisito es que este campo debe asignarse al atributo de Cisco VPN Group-Policy como se muestra en este ejemplo.

3. Definir una tabla ldap-attribute-map:
   

   5520-1(config)# show runn ldap
   ldap attribute-map Our-AD-Map
   map-name  department IETF-Radius-Class
   map-name  description\Banner1
   map-name  physicalDeliveryOfficeName IETF-Radius-Session-Timeout
   5520-1(config)#

   Los dos atributos AD-LDAP Description y Office (representados por la descripción de nombres AD y PhysicalDeliveryOfficeName) son los atributos de registro de grupo (para VPNUSerGroup) que se asignan a los atributos VPN de Cisco Banner1 e IETF-Radius-Session-Timeout.

   El atributo de departamento corresponde al registro de usuario para que se asigne al nombre de la política de grupo externa en el ASA (VPNUSer), que a continuación se asigna al registro VPNuserGroup en el servidor AD-LDAP, donde se definen los atributos.

   Nota: El atributo de Cisco (Group-Policy ) debe definirse en ldap-attribute-map. Su atributo AD asignado puede ser cualquier atributo AD configurable. Este ejemplo utiliza el departamento porque es el nombre más lógico que hace referencia a la política de grupo.

4. Configure el aaa-server con el nombre ldap-attribute-map que se utilizará para las operaciones de Autenticación, Autorización y Contabilización (AAA) de LDAP:

   5520-1(config)# show runn aaa-server LDAP-AD11
   aaa-server LDAP-AD11 protocol ldap
   aaa-server LDAP-AD11 host 90.148.1.11
   ldap-base-dn cn=Users,dc=nelson,dc=cisco,dc=com
   ldap-scope onelevel
   ldap-naming-attribute sAMAccountName
   ldap-login-password altiga
   ldap-login-dn cn=Administrator,cn=Users,dc=nelson,dc=cisco,dc=com
   ldap-attribute-map Our-AD-Map
   5520-1(config)#

5. Defina un grupo de túnel con autenticación LDAP o autorización LDAP.
   • Ejemplo con autenticación LDAP. Realiza la aplicación de políticas de atributos de autenticación + (autorización) si se definen atributos.

     5520-1(config)# show runn tunnel-group 
     remoteAccessLDAPTunnelGroup
     tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
     authentication-server-group  LDAP-AD11
     accounting-server-group RadiusACS28
     5520-1(config)#

   • Ejemplo con Autorización LDAP. Configuración utilizada para utilizar certificados digitales.

     5520-1(config)# show runn tunnel-group
      remoteAccessLDAPTunnelGroup
     tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
     authentication-server-group none
     authorization-server-group LDAP-AD11
     accounting-server-group RadiusACS28
     authorization-required
     authorization-dn-attributes ea
     5520-1(config)#

6. Defina una política de grupo externa. El nombre de la política de grupo es el valor del registro de usuario de AD-LDAP que representa al grupo (VPNUserGroup).

   5520-1(config)# show runn group-policy VPNUserGroup
   group-policy VPNUserGroup external server-group LDAP-AD11
   5520-1(config)#

7. Establezca el túnel y verifique que se aplican los atributos. En este caso, el Banner y el Tiempo de espera de sesión se aplican desde el registro VPNuserGroup en el AD.

4. Aplicación de Active Directory de "Asignar una dirección IP estática" para túneles IPsec y SVC

El atributo AD es msRADIUSFramedIPAddress. El atributo se configura en AD User Properties, ficha Dial-in, "Assign a Static IP Address" (Asignar una dirección IP estática).

Éstos son los pasos:

1. En el servidor AD, en la ficha Propiedades del usuario, Marcado en, "Asignar una dirección IP estática", introduzca el valor de la dirección IP para asignarla a la sesión IPsec/SVC (10.20.30.6).
2. En ASA, cree un mapa ldap-attribute con esta asignación:

   5540-1# show running-config ldap
   ldap attribute-map Assign-IP
     map-name  msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
   5540-1#

3. En ASA, verifique que vpn-address-assigment esté configurado para incluir "vpn-addr-Assign-aaa":

   5520-1(config)# show runn all vpn-addr-assign
   vpn-addr-assign aaa
   no vpn-addr-assign dhcp
   vpn-addr-assign local
   5520-1(config)#

4. Establezca las sesiones de la Autoridad Remota de IPSec/SVC (RA) y verifique la con "show vpn-sessiondb remote|svc" que el campo "IP asignada" es correcto (10.20.30.6).

5. Aplicación de Active Directory de "acceso remoto telefónico, permitir/denegar acceso"

Admite todas las sesiones de acceso remoto VPN: IPSec, WebVPN y SVC. Allow Access tiene un valor TRUE. Denegar acceso tiene un valor FALSO. El nombre del atributo AD es msNPAllowDialin.

En este ejemplo se muestra la creación de un mapa ldap-attribute que utiliza los protocolos de túnel de Cisco para crear las condiciones Allow Access (TRUE) y Deny (FALSE). Por ejemplo, si asigna el tunnel-protocol=L2TPover IPsec (8), puede crear una condición FALSE si intenta imponer el acceso para WebVPN e IPsec. La lógica inversa también se aplica.

Éstos son los pasos:

1. En el servidor AD user1 Properties, Dial-In, seleccione la opción adecuada permitir acceso o Denegar acceso para cada usuario.

   Nota: Si selecciona la tercera opción "Control access through the Remote Access Policy" (Control del acceso a través de la política de acceso remoto), no se devuelve ningún valor del servidor AD, por lo que los permisos que se aplican se basan en la configuración de la política interna de grupo de ASA/PIX.

2. En ASA, cree un mapa ldap-attribute-map con esta asignación:

   ldap attribute-map LDAP-MAP
     map-name  msNPAllowDialin Tunneling-Protocols
     map-value msNPAllowDialin FALSE 8
     map-value msNPAllowDialin TRUE 20
   5540-1#

   Nota: Agregue más atributos al mapa según sea necesario. En este ejemplo se muestra sólo el mínimo para controlar esta función específica (Permitir o Denegar acceso basado en la configuración de acceso telefónico).

   ¿Qué significa o aplica ldap-attribute-map?

   • map-value msNPAllowDialin FALSE 8

   Denegar acceso para un usuario1. La condición de valor FALSE se asigna a L2TPoverIPsec de protocolo de túnel (valor 8).

   Permitir acceso para el usuario2 . La condición de valor TRUE se asigna a WebVPN de protocolo de túnel + IPsec, (valor 20).

   • Un usuario de WebVPN/IPsec, autenticado como usuario1 en AD, fallaría debido a la discordancia del protocolo de túnel.
   • Un L2TPoverIPsec, autenticado como user1 en AD, fallaría debido a la regla Denegar.
   • Un usuario WebVPN/IPsec, autenticado como usuario2 en AD, tendría éxito (Permitir regla + protocolo de túnel coincidente).
   • Un L2TPoverIPsec, autenticado como user2 en AD, fallaría debido a la discordancia del protocolo de túnel.
   
   Soporte para el Protocolo de Túnel, como se define en los RFC 2867 y 2868.

6. Aplicación de Active Directory de "Miembro de"/pertenencia a grupo para permitir o denegar el acceso

Este caso está estrechamente relacionado con el caso 5, proporciona un flujo más lógico y es el método recomendado, ya que establece la comprobación de pertenencia al grupo como condición.

1. Configure el usuario de AD para que sea "Miembro de" un grupo específico. Utilice un nombre que lo sitúe en la parte superior de la jerarquía de grupos (ASA-VPN-Consultants). En AD-LDAP, la pertenencia al grupo se define por el atributo AD "memberOf". Es importante que el grupo esté en la parte superior de la lista, ya que actualmente sólo puede aplicar las reglas a la primera cadena group/"memberOf". En la versión 7.3, podrá realizar el filtrado y la aplicación de varios grupos.
2. En el ASA, cree un mapa ldap-attribute-map con la asignación mínima:

   ldap attribute-map LDAP-MAP
     map-name  memberOf Tunneling-Protocols
     map-value memberOf cn=ASA-VPN-Consultants,cn=Users,dc=abcd,dc=com 4
   5540-1#

   Nota: Agregue más atributos al mapa según sea necesario. En estos ejemplos se muestra sólo el mínimo para controlar esta función específica (Permitir o Denegar acceso en función de la pertenencia al grupo).

   ¿Qué significa o aplica ldap-attribute-map?

   • User=joe_consulting, parte de AD, que es miembro del grupo de AD "ASA-VPN-Consultants", sólo podrá acceder si el usuario utiliza IPsec (tunnel-protocol=4=IPSec).
   • User=joe_consulting, parte de AD, no podrá acceder a VPN durante cualquier otro cliente de acceso remoto (PPTP/L2TP, L2TP/IPSec, WebVPN/SVC, etc.).
   • User=bill_the_hacker NO se permitirá entrar porque el usuario no tiene pertenencia a AD.

7. Aplicación en Active Directory de "Reglas de hora de inicio de sesión/hora del día"

Este caso práctico describe cómo configurar y aplicar las reglas de hora del día en AD/LDAP.

Este es el procedimiento para hacer esto:

1. En el servidor AD/LDAP:

   • Seleccione el usuario.
   • Haga clic con el botón derecho del ratón > Propiedades.
   • Seleccione una ficha que se utilizará para establecer un atributo (Ejemplo. General).
   • Seleccione un campo o atributo, por ejemplo el campo "Office", que se utilizará para aplicar el rango de tiempo, e introduzca el nombre del rango de tiempo (por ejemplo, Boston). La configuración "Office" en la GUI se almacena en el atributo AD/LDAP "physicalDeliveryOfficeName".
2. En ASA
   • Cree una tabla de asignación de atributos LDAP.
   • Asigne el atributo AD/LDAP "physicalDeliveryOfficeName" al atributo ASA "Access-Hours".

   Ejemplo:

   B200-54(config-time-range)# show run ldap
   ldap attribute-map TimeOfDay
     map-name  physicalDeliveryOfficeName Access-Hours

3. En el ASA, asocie el mapa de atributos LDAP a la entrada aaa-server:

   B200-54(config-time-range)# show runn aaa-server microsoft
   aaa-server microsoft protocol ldap
   aaa-server microsoft host audi-qa.frdevtestad.local
    ldap-base-dn dc=frdevtestad,dc=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password hello
    ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
    ldap-attribute-map TimeOfDay

4. En el ASA, cree un objeto time-range que tenga el valor name asignado al usuario (valor de Office en el paso 1):

   B200-54(config-time-range)# show runn time-range
   !
   time-range Boston
   periodic weekdays 8:00 to 17:00
   !

5. Establezca la sesión de acceso remoto VPN:
   • La sesión debería tener éxito si se encuentra dentro del intervalo de tiempo.
   • La sesión debe fallar si se encuentra fuera del rango de tiempo.

8. Utilice la configuración ldap-map para asignar un usuario a una política de grupo específica y utilice el comando authorization-server-group, en el caso de la autenticación doble

1. En este escenario, se utiliza la autenticación doble. El primer servidor de autenticación utilizado es RADIUS y el segundo servidor de autenticación utilizado es un servidor LDAP.
   1. Configure el servidor LDAP así como el servidor RADIUS. Aquí tiene un ejemplo:

      ASA5585-S10-K9# show runn aaa-server
      aaa-server test-ldap protocol ldap
      aaa-server test-ldap (out) host 10.201.246.130
       ldap-base-dn cn=users, dc=htts-sec, dc=com
       ldap-login-password *****
       ldap-login-dn cn=Administrator, cn=Users, dc=htts-sec, dc=com
       server-type microsoft
       ldap-attribute-map Test-Safenet-MAP
      aaa-server test-rad protocol radius
      aaa-server test-rad (out) host 10.201.249.102
       key *****

   2. Defina el atributo mapa LDAP. Aquí tiene un ejemplo:

      ASA5585-S10-K9# show runn ldap
      ldap attribute-map Test-Safenet-MAP
       map-name memberOf IETF-Radius-Class
       map-value memberOf "CN=DHCP Users,CN=Users,DC=htts-sec,DC=com" Test-Policy-Safenet

   3. Defina el grupo de túnel y asocie el servidor RADIUS y LDAP para la autenticación. Aquí tiene un ejemplo:

      ASA5585-S10-K9# show runn tunnel-group
      tunnel-group Test_Safenet type remote-access
      tunnel-group Test_Safenet general-attributes
       address-pool RA_VPN_IP_Pool
       authentication-server-group test-rad
       secondary-authentication-server-group test-ldap use-primary-username
       default-group-policy NoAccess
      tunnel-group Test_Safenet webvpn-attributes
        group-alias Test_Safenet enable

   4. Vea la política de grupo que se utiliza en la configuración del grupo de túnel:

      ASA5585-S10-K9# show runn group-policy
      group-policy NoAccess internal
      group-policy NoAccess attributes
       wins-server none
       dns-server value 10.34.32.227 10.34.32.237
       vpn-simultaneous-logins 0
       default-domain none
      group-policy Test-Policy-Safenet internal
      group-policy Test-Policy-Safenet attributes
       dns-server value 10.34.32.227 10.34.32.237
       vpn-simultaneous-logins 15 
       vpn-idle-timeout 30 
       vpn-tunnel-protocol ikev1 ssl-client ssl-clientless
       split-tunnel-policy tunnelspecified
       split-tunnel-network-list value Safenet-Group-Policy-SplitAcl
       default-domain none

      Con esta configuración, los usuarios de AnyConnect que se asignaron correctamente con el uso de atributos LDAP no se colocaron en la política de grupo, Test-Policy-Safenet. En su lugar, se siguieron colocando en la política de grupo predeterminada, en este caso NoAccess.

      Vea el fragmento de los debugs (debug ldap 255) y syslogs en información de nivel:

      --------------------------------------------------------------------------------
      
      memberOf: value = CN=DHCP Users,CN=Users,DC=htts-sec,DC=com
      
      [47]                       mapped to IETF-Radius-Class: value = Test-Policy-Safenet
      
      [47]                       mapped to LDAP-Class: value = Test-Policy-Safenet
      
      --------------------------------------------------------------------------------
      
      Syslogs :   
      
      %ASA-6-113004: AAA user authentication Successful : server = 10.201.246.130 : user = test123
      
      %ASA-6-113003: AAA group policy for user test123 is being set to Test-Policy-Safenet
      
      %ASA-6-113011: AAA retrieved user specific group policy (Test-Policy-Safenet) for user =
      test123
      
      %ASA-6-113009: AAA retrieved default group policy (NoAccess) for user = test123
      
      %ASA-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins
      exceeded for user : user = test123
      
      %ASA-6-716039: Group <DfltGrpPolicy> User <test123> IP <10.116.122.154> Authentication: 
      rejected, Session Type: WebVPN.

      Estos syslogs muestran fallas cuando al usuario se le estaba dando la política de grupo NoAccess que tenía el login simultáneo configurado en 0 aunque los syslogs dicen que recuperó una política de grupo específica del usuario.

      Para que el usuario sea asignado en la política de grupo, en base al mapa LDAP, debe tener este comando: authorization-server-group test-ldap (en este caso, test-ldap es el nombre del servidor LDAP). Aquí tiene un ejemplo:

      ASA5585-S10-K9# show runn tunnel-group
      tunnel-group Test_Safenet type remote-access
      tunnel-group Test_Safenet general-attributes
       address-pool RA_VPN_IP_Pool
       authentication-server-group test-rad
       secondary-authentication-server-group test-ldap use-primary-username
       authorization-server-group test-ldap
       default-group-policy NoAccess
      tunnel-group Test_Safenet webvpn-attributes
        group-alias Test_Safenet enable

2. Ahora, si el primer servidor de autenticación (RADIUS, en este ejemplo) envió los atributos específicos del usuario, por ejemplo el atributo de clase IEFT, en ese caso, el usuario se asignará a la política de grupo enviada por RADIUS. Por lo tanto, aunque el servidor secundario tiene un mapa LDAP configurado y los atributos LDAP del usuario sí mapean al usuario a una política de grupo diferente, se aplicará la política de grupo enviada por el primer servidor de autenticación.

   Para tener el lugar del usuario en una política de grupo basada en el atributo de mapa LDAP, debe especificar este comando bajo el grupo de túnel: authorization-server-group test-ldap.

3. Si el primer servidor de autenticación es SDI u OTP, que no puede pasar el atributo específico del usuario, el usuario caería en la política de grupo predeterminada del grupo de túnel. En este caso, NoAccess aunque la asignación LDAP sea correcta.

   En este caso, también necesitará el comando authorization-server-group test-ldap, en el túnel-group para que el usuario se coloque en la política de grupo correcta.

4. Si ambos servidores son los mismos servidores RADIUS o LDAP, entonces no necesita el comando authorization-server-group para que funcione el bloqueo de política de grupo.

Verificación

ASA5585-S10-K9# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : test123                  Index        : 2
Assigned IP  : 10.34.63.1             Public IP    : 10.116.122.154
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : 3DES 3DES 3DES         Hashing      : SHA1 SHA1 SHA1
Bytes Tx     : 14042                  Bytes Rx     : 8872
Group Policy : Test-Policy-Safenet    Tunnel Group : Test_Safenet
Login Time   : 10:45:28 UTC Fri Sep 12 2014
Duration     : 0h:01m:12s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

Troubleshoot

Use esta sección para resolver problemas su configuración.

Depurar la transacción LDAP

Estas depuraciones se pueden utilizar para ayudar a aislar los problemas con la configuración DAP:

• debug ldap 255
• debug dap trace
• debug aaa authentication

ASA no es capaz de autenticar a los usuarios del servidor LDAP

En caso de que el ASA no pueda autenticar a los usuarios del servidor LDAP, aquí hay algunos debugs de ejemplo:

ldap 255 output:[1555805] Session Start[1555805] New request Session, context
0xcd66c028, reqType = 1[1555805]
Fiber started[1555805] Creating LDAP context with uri=ldaps://172.30.74.70:636
[1555805] Connect to LDAP server:
ldaps://172.30.74.70:636, status = Successful[1555805] supportedLDAPVersion:
value = 3[1555805]
supportedLDAPVersion: value = 2[1555805] Binding as administrator[1555805]
Performing Simple
authentication for sysservices to 172.30.74.70[1555805] Simple authentication
for sysservices returned code (49)
Invalid credentials[1555805] Failed to bind as administrator returned code
(-1) Can't contact LDAP server[1555805]
Fiber exit Tx=222 bytes Rx=605 bytes, status=-2[1555805] Session End

Desde estos debugs, el formato LDAP Login DN es incorrecto o la contraseña es incorrecta, así que verifique ambos para resolver el problema.