¿Tiene una cuenta?
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo utilizar mapas de atributos del protocolo ligero de acceso a directorios (LDAP) para configurar políticas de acceso dinámico granulares en un dispositivo de seguridad adaptable (ASA).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información de este documento se basa en la plataforma de hardware ASA-5xxx que funciona como concentrador/servidor VPN para sesiones SSL VPN de acceso remoto (AnyConnect y Clientless/WebVPN) y sesiones IPsec.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
LDAP es un protocolo de aplicaciones abierto, neutral con el proveedor y estándar del sector para acceder y mantener servicios de información de directorios distribuidos a través de una red IP. Los servicios de directorio desempeñan un papel importante en el desarrollo de aplicaciones de intranet e Internet porque permiten compartir información sobre usuarios, sistemas, redes, servicios y aplicaciones en toda la red.
Con frecuencia, los administradores quieren proporcionar a los usuarios VPN diversos permisos de acceso o contenido WebVPN. Esto se puede hacer si configura diferentes políticas VPN en el servidor VPN y asigna estos conjuntos de políticas a cada usuario en función de sus credenciales. Aunque esto se puede hacer manualmente, es más eficiente automatizar el proceso con los Servicios de directorio. Para utilizar LDAP para asignar una política de grupo a un usuario, debe configurar un mapa que mapee un atributo LDAP, como el miembro del atributo Active Directory (AD), al IETF-Radius-Class o Group-Policy que entienda el encabezado VPN.
Nota: En los Encabezados de Cisco IOS, se puede lograr lo mismo si configura diferentes grupos de políticas bajo el contexto WebVPN y usa mapas de atributos LDAP para determinar qué grupo de políticas se asignará al usuario como se describe en el documento. Consulte Ejemplo de Configuración de Asignación de Grupos de Políticas para Clientes AnyConnect que Utilizan LDAP en Encabezados Cisco IOS.
En el ASA, esto se consigue regularmente mediante la asignación de diferentes políticas de grupo a diferentes usuarios. Cuando está en uso la autenticación LDAP, esto se puede conseguir automáticamente con una correspondencia de atributo LDAP. Para utilizar LDAP para asignar una política de grupo a un usuario, debe asignar un atributo LDAP, como el miembro del atributo ADOf al atributo Group-Policy que entiende el ASA. Una vez establecida la asignación de atributos, debe asignar el valor de atributo configurado en el servidor LDAP al nombre de una política de grupo en el ASA.
Nota: El atributo memberOf corresponde al grupo del que el usuario forma parte en Active Directory. Es posible que un usuario sea miembro de más de un grupo en Active Directory. Esto hace que el servidor envíe varios atributos memberOf, pero el ASA sólo puede hacer coincidir un atributo con una política de grupo.
A. No, no hay límites. ldap-attribute-maps se asignan dinámicamente durante la sesión de acceso remoto VPN que utiliza autenticación/autorización LDAP.
A. No hay límites de configuración.
A. Sin restricción. El código LDAP sólo verifica que el nombre ldap-attribute-map sea válido.
A. Yes. Aquí, sólo se explica AD, pero se aplica a cualquier servidor LDAP que utilice atributos de valor múltiple para las decisiones de políticas. El ldap-attribute-map tiene una limitación con atributos multivariados como el miembro ADOf. Si un usuario es miembro de varios grupos AD (que es común) y el mapa ldap-attribute-map coincide con más de uno de ellos, el valor asignado se elegirá en función de la alfabetización de las entradas coincidentes. Puesto que este comportamiento no es obvio ni intuitivo, es importante tener un conocimiento claro de cómo funciona.
Resumen: Si la asignación LDAP produce varios valores para un atributo, el valor final del atributo se elegirá de la siguiente manera:
Active Directory-LDAP devuelve estos cuatro miembrosDe instancias para una solicitud de autorización o autenticación de usuario:
memberOf: value = CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Cisco-Eng,CN=Users,DC=stbu,OU=cisco,DC=com
memberOf: value = CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com
LDAP-MAP #1: Suponga que este ldap-attribute-map está configurado para mapear diferentes políticas de grupo ASA basadas en el miembroDe configuración:
ldap attribute-map Class
map-name memberOf Group-Policy
map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup4
map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1
En este caso, se producirán coincidencias en los cuatro valores de política de grupo (ASAGroup1 - ASAGroup4). Sin embargo, la conexión se asignará a la política de grupo ASAGroup1 porque se produce primero en orden alfabético.
LDAP-MAP #2: Este ldap-attribute-map es el mismo, excepto que el primer miembroOf no tiene asignado un valor de mapa explícito (no ASAGroup4). Tenga en cuenta que cuando no se define ningún valor de mapa explícito, se utiliza el texto del atributo recibido de LDAP.
ldap attribute-map Class
map-name memberOf Group-Policy
map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1
Como en el caso anterior, las coincidencias se producen en las cuatro entradas. En este caso, dado que no se proporciona ningún valor asignado para la entrada APP-SSL-VPN, el valor asignado será de forma predeterminada CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com. Dado que CN=APP-SSL-VPN aparece primero en orden alfabético, APP-SSL-VPN se seleccionará como valor de política.
Consulte Cisco bug ID CSCub64284 para obtener más información. Consulte PIX/ASA 8.0: Utilice la Autenticación LDAP para Asignar una Política de Grupo al Inicio de Sesión, que muestra un caso LDAP simple con un miembroOf que podría funcionar en su implementación particular.
Nota: En un miembro de DN como "CN=Ingeniería, OU=Office1, DC=cisco,DC=com", sólo puede tomar la decisión sobre el primer DN, es decir CN=Ingeniería, no la Unidad organizativa (OU). Hay una mejora para poder filtrar en cualquier campo DN.
Nota: Cada ejemplo descrito en esta sección es una configuración independiente, pero puede combinarse y coincidir entre sí para producir la política de acceso deseada.
Consejo: Los nombres y valores de atributos distinguen entre mayúsculas y minúsculas. Si el mapping no ocurre correctamente, asegúrese de que se haya utilizado la ortografía y la capitalización correctas en el mapa de atributos LDAP para los nombres y valores de los atributos de Cisco y LDAP.
Cualquier atributo LDAP estándar se puede asignar a un atributo específico del proveedor del dispositivo (VSA) conocido. Uno o más atributos LDAP se pueden asignar a uno o más atributos LDAP de Cisco. Para obtener una lista completa de VSAs LDAP de Cisco, consulte Atributos de Cisco Soportados para Autorización LDAP. Este ejemplo muestra cómo aplicar un banner para LDAP user1. User1 puede ser cualquier tipo de acceso remoto VPN: IPsec, SVC o WebVPN sin cliente. Este ejemplo utiliza el atributo/campo Properties/General/Office para aplicar el Banner1.
Nota: Puede utilizar el atributo/campo de Departamento de AD para asignar a Cisco IETF-Radius-Class VSA para aplicar políticas desde una política de grupo ASA/PIX. Hay ejemplos de esto más adelante en el documento.
La asignación de atributos LDAP (para Microsoft AD y Sun) es compatible con la versión 7.1.x de PIX/ASA. Cualquier atributo de Microsoft/AD se puede asignar a un atributo de Cisco. Este es el procedimiento para realizar esto:
En el servidor AD/LDAP:
B200-54(config)# show run ldap
ldap attribute-map Banner
map-name physicalDeliveryOfficeName Banner1
B200-54(config-time-range)# show runn aaa-server microsoft
aaa-server microsoft protocol ldap
aaa-server microsoft host audi-qa.frdevtestad.local
ldap-base-dn dc=frdevtestad,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password hello
ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
ldap-attribute-map Banner
Este ejemplo muestra la autenticación de user1 en el servidor AD-LDAP y recupera el valor del campo de departamento para que pueda ser mapeado a una política de grupo ASA/PIX desde la cual se aplicarán las políticas.
En el servidor AD/LDAP:
5520-1(config)# show runn ldap
ldap attribute-map Our-AD-Map
map-name department Group-Policy
5520-1(config)#
Nota: Como resultado de la implementación del Id. de bug Cisco CSCsv43552, se introdujo un nuevo atributo ldap-attribute-map, Group-Policy, para reemplazar IETF-Radius-Class. La CLI en ASA versión 8.2 soporta la palabra clave IETF-Radius-Class como una opción válida en los comandos map-name y map-value para leer un archivo de configuración 8.0 (escenario de actualización de software). El código del administrador adaptable de dispositivos de seguridad (ASDM) ya se ha actualizado para que deje de mostrar IETF-Radius-Class como opción al configurar una entrada de mapa de atributos. Además, ASDM escribirá el atributo IETF-Radius-Class (si se lee desde una configuración 8.0) como atributo Group-Policy.
Nota: Agregue más atributos al mapa según sea necesario. Este ejemplo muestra sólo el mínimo para controlar esta función específica (coloque un usuario en una política de grupo específica ASA/PIX 7.1.x). El tercer ejemplo muestra este tipo de mapa.
Puede crear una política de grupo NOACCESS para denegar la conexión VPN cuando el usuario no forma parte de ninguno de los grupos LDAP. Este fragmento de configuración se muestra para su referencia:
group-policy NOACCESS internal
group-policy NOACCESS attributes
vpn-simultaneous-logins 0
vpn-tunnel-protocol IPSec webvpn
Debe aplicar esta política de grupo como política de grupo predeterminada al grupo de túnel. Esto permite a los usuarios que obtienen una asignación del mapa de atributos LDAP, por ejemplo aquellos que pertenecen a un grupo LDAP deseado, obtener sus políticas de grupo y usuarios que no obtienen ninguna asignación, por ejemplo aquellos que no pertenecen a ninguno de los grupos LDAP deseados, obtener NOACCESS group-policy del grupo de túnel, que bloquea el acceso para ellos.
Consejo: Dado que el atributo vpn-simultáneamente-logins se establece en 0 aquí, también debe definirse explícitamente en todas las demás políticas de grupo; de lo contrario, se heredará de la política de grupo predeterminada para ese grupo de túnel, que en este caso es la política NOACCESS.
Nota: Se requiere la implementación/corrección del ID de bug Cisco CSCse08736, por lo que el ASA debe ejecutar al menos la versión 7.2.2.
Nota: El atributo AD del departamento se utilizó sólo porque lógicamente "departamento" se refiere a la política de grupo. En realidad, se podría utilizar cualquier campo. El requisito es que este campo debe asignarse al atributo de Cisco VPN Group-Policy como se muestra en este ejemplo.
5520-1(config)# show runn ldap
ldap attribute-map Our-AD-Map
map-name department IETF-Radius-Class
map-name description\Banner1
map-name physicalDeliveryOfficeName IETF-Radius-Session-Timeout
5520-1(config)#
Los dos atributos AD-LDAP Description y Office (representados por la descripción de nombres AD y PhysicalDeliveryOfficeName) son los atributos de registro de grupo (para VPNUSerGroup) que se asignan a los atributos VPN de Cisco Banner1 e IETF-Radius-Session-Timeout.
El atributo de departamento corresponde al registro de usuario para que se asigne al nombre de la política de grupo externa en el ASA (VPNUSer), que a continuación se asigna al registro VPNuserGroup en el servidor AD-LDAP, donde se definen los atributos.
Nota: El atributo de Cisco (Group-Policy ) debe definirse en ldap-attribute-map. Su atributo AD asignado puede ser cualquier atributo AD configurable. Este ejemplo utiliza el departamento porque es el nombre más lógico que hace referencia a la política de grupo.
5520-1(config)# show runn aaa-server LDAP-AD11
aaa-server LDAP-AD11 protocol ldap
aaa-server LDAP-AD11 host 90.148.1.11
ldap-base-dn cn=Users,dc=nelson,dc=cisco,dc=com
ldap-scope onelevel
ldap-naming-attribute sAMAccountName
ldap-login-password altiga
ldap-login-dn cn=Administrator,cn=Users,dc=nelson,dc=cisco,dc=com
ldap-attribute-map Our-AD-Map
5520-1(config)#
5520-1(config)# show runn tunnel-group
remoteAccessLDAPTunnelGroup
tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
authentication-server-group LDAP-AD11
accounting-server-group RadiusACS28
5520-1(config)#
5520-1(config)# show runn tunnel-group
remoteAccessLDAPTunnelGroup
tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
authentication-server-group none
authorization-server-group LDAP-AD11
accounting-server-group RadiusACS28
authorization-required
authorization-dn-attributes ea
5520-1(config)#
5520-1(config)# show runn group-policy VPNUserGroup
group-policy VPNUserGroup external server-group LDAP-AD11
5520-1(config)#
El atributo AD es msRADIUSFramedIPAddress. El atributo se configura en AD User Properties, ficha Dial-in, "Assign a Static IP Address" (Asignar una dirección IP estática).
Éstos son los pasos:
5540-1# show running-config ldap
ldap attribute-map Assign-IP
map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
5540-1#
5520-1(config)# show runn all vpn-addr-assign
vpn-addr-assign aaa
no vpn-addr-assign dhcp
vpn-addr-assign local
5520-1(config)#
Admite todas las sesiones de acceso remoto VPN: IPSec, WebVPN y SVC. Allow Access tiene un valor TRUE. Denegar acceso tiene un valor FALSO. El nombre del atributo AD es msNPAllowDialin.
En este ejemplo se muestra la creación de un mapa ldap-attribute que utiliza los protocolos de túnel de Cisco para crear las condiciones Allow Access (TRUE) y Deny (FALSE). Por ejemplo, si asigna el tunnel-protocol=L2TPover IPsec (8), puede crear una condición FALSE si intenta imponer el acceso para WebVPN e IPsec. La lógica inversa también se aplica.
Éstos son los pasos:
Nota: Si selecciona la tercera opción "Control access through the Remote Access Policy" (Control del acceso a través de la política de acceso remoto), no se devuelve ningún valor del servidor AD, por lo que los permisos que se aplican se basan en la configuración de la política interna de grupo de ASA/PIX.
ldap attribute-map LDAP-MAP
map-name msNPAllowDialin Tunneling-Protocols
map-value msNPAllowDialin FALSE 8
map-value msNPAllowDialin TRUE 20
5540-1#
Nota: Agregue más atributos al mapa según sea necesario. En este ejemplo se muestra sólo el mínimo para controlar esta función específica (Permitir o Denegar acceso basado en la configuración de acceso telefónico).
¿Qué significa o aplica ldap-attribute-map?
Denegar acceso para un usuario1. La condición de valor FALSE se asigna a L2TPoverIPsec de protocolo de túnel (valor 8).
Permitir acceso para el usuario2 . La condición de valor TRUE se asigna a WebVPN de protocolo de túnel + IPsec, (valor 20).
Este caso está estrechamente relacionado con el caso 5, proporciona un flujo más lógico y es el método recomendado, ya que establece la comprobación de pertenencia al grupo como condición.
ldap attribute-map LDAP-MAP
map-name memberOf Tunneling-Protocols
map-value memberOf cn=ASA-VPN-Consultants,cn=Users,dc=abcd,dc=com 4
5540-1#
Nota: Agregue más atributos al mapa según sea necesario. En estos ejemplos se muestra sólo el mínimo para controlar esta función específica (Permitir o Denegar acceso en función de la pertenencia al grupo).
¿Qué significa o aplica ldap-attribute-map?
Este caso práctico describe cómo configurar y aplicar las reglas de hora del día en AD/LDAP.
Este es el procedimiento para hacer esto:
En el servidor AD/LDAP:
Ejemplo:
B200-54(config-time-range)# show run ldap
ldap attribute-map TimeOfDay
map-name physicalDeliveryOfficeName Access-Hours
B200-54(config-time-range)# show runn aaa-server microsoft
aaa-server microsoft protocol ldap
aaa-server microsoft host audi-qa.frdevtestad.local
ldap-base-dn dc=frdevtestad,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password hello
ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
ldap-attribute-map TimeOfDay
B200-54(config-time-range)# show runn time-range
!
time-range Boston
periodic weekdays 8:00 to 17:00
!
ASA5585-S10-K9# show runn aaa-server
aaa-server test-ldap protocol ldap
aaa-server test-ldap (out) host 10.201.246.130
ldap-base-dn cn=users, dc=htts-sec, dc=com
ldap-login-password *****
ldap-login-dn cn=Administrator, cn=Users, dc=htts-sec, dc=com
server-type microsoft
ldap-attribute-map Test-Safenet-MAP
aaa-server test-rad protocol radius
aaa-server test-rad (out) host 10.201.249.102
key *****
ASA5585-S10-K9# show runn ldap
ldap attribute-map Test-Safenet-MAP
map-name memberOf IETF-Radius-Class
map-value memberOf "CN=DHCP Users,CN=Users,DC=htts-sec,DC=com" Test-Policy-Safenet
ASA5585-S10-K9# show runn tunnel-group
tunnel-group Test_Safenet type remote-access
tunnel-group Test_Safenet general-attributes
address-pool RA_VPN_IP_Pool
authentication-server-group test-rad
secondary-authentication-server-group test-ldap use-primary-username
default-group-policy NoAccess
tunnel-group Test_Safenet webvpn-attributes
group-alias Test_Safenet enable
ASA5585-S10-K9# show runn group-policy
group-policy NoAccess internal
group-policy NoAccess attributes
wins-server none
dns-server value 10.34.32.227 10.34.32.237
vpn-simultaneous-logins 0
default-domain none
group-policy Test-Policy-Safenet internal
group-policy Test-Policy-Safenet attributes
dns-server value 10.34.32.227 10.34.32.237
vpn-simultaneous-logins 15
vpn-idle-timeout 30
vpn-tunnel-protocol ikev1 ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Safenet-Group-Policy-SplitAcl
default-domain none
Con esta configuración, los usuarios de AnyConnect que se asignaron correctamente con el uso de atributos LDAP no se colocaron en la política de grupo, Test-Policy-Safenet. En su lugar, se siguieron colocando en la política de grupo predeterminada, en este caso NoAccess.
Vea el fragmento de los debugs (debug ldap 255) y syslogs en información de nivel:
--------------------------------------------------------------------------------
memberOf: value = CN=DHCP Users,CN=Users,DC=htts-sec,DC=com
[47] mapped to IETF-Radius-Class: value = Test-Policy-Safenet
[47] mapped to LDAP-Class: value = Test-Policy-Safenet
--------------------------------------------------------------------------------
Syslogs :
%ASA-6-113004: AAA user authentication Successful : server = 10.201.246.130 : user = test123
%ASA-6-113003: AAA group policy for user test123 is being set to Test-Policy-Safenet
%ASA-6-113011: AAA retrieved user specific group policy (Test-Policy-Safenet) for user =
test123
%ASA-6-113009: AAA retrieved default group policy (NoAccess) for user = test123
%ASA-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins
exceeded for user : user = test123
%ASA-6-716039: Group <DfltGrpPolicy> User <test123> IP <10.116.122.154> Authentication:
rejected, Session Type: WebVPN.
Estos syslogs muestran fallas cuando al usuario se le estaba dando la política de grupo NoAccess que tenía el login simultáneo configurado en 0 aunque los syslogs dicen que recuperó una política de grupo específica del usuario.
Para que el usuario sea asignado en la política de grupo, en base al mapa LDAP, debe tener este comando: authorization-server-group test-ldap (en este caso, test-ldap es el nombre del servidor LDAP). Aquí tiene un ejemplo:
ASA5585-S10-K9# show runn tunnel-group
tunnel-group Test_Safenet type remote-access
tunnel-group Test_Safenet general-attributes
address-pool RA_VPN_IP_Pool
authentication-server-group test-rad
secondary-authentication-server-group test-ldap use-primary-username
authorization-server-group test-ldap
default-group-policy NoAccess
tunnel-group Test_Safenet webvpn-attributes
group-alias Test_Safenet enable
Para tener el lugar del usuario en una política de grupo basada en el atributo de mapa LDAP, debe especificar este comando bajo el grupo de túnel: authorization-server-group test-ldap.
En este caso, también necesitará el comando authorization-server-group test-ldap, en el túnel-group para que el usuario se coloque en la política de grupo correcta.
ASA5585-S10-K9# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : test123 Index : 2
Assigned IP : 10.34.63.1 Public IP : 10.116.122.154
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : 3DES 3DES 3DES Hashing : SHA1 SHA1 SHA1
Bytes Tx : 14042 Bytes Rx : 8872
Group Policy : Test-Policy-Safenet Tunnel Group : Test_Safenet
Login Time : 10:45:28 UTC Fri Sep 12 2014
Duration : 0h:01m:12s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
Use esta sección para resolver problemas su configuración.
Estas depuraciones se pueden utilizar para ayudar a aislar los problemas con la configuración DAP:
En caso de que el ASA no pueda autenticar a los usuarios del servidor LDAP, aquí hay algunos debugs de ejemplo:
ldap 255 output:[1555805] Session Start[1555805] New request Session, context
0xcd66c028, reqType = 1[1555805]
Fiber started[1555805] Creating LDAP context with uri=ldaps://172.30.74.70:636
[1555805] Connect to LDAP server:
ldaps://172.30.74.70:636, status = Successful[1555805] supportedLDAPVersion:
value = 3[1555805]
supportedLDAPVersion: value = 2[1555805] Binding as administrator[1555805]
Performing Simple
authentication for sysservices to 172.30.74.70[1555805] Simple authentication
for sysservices returned code (49)
Invalid credentials[1555805] Failed to bind as administrator returned code
(-1) Can't contact LDAP server[1555805]
Fiber exit Tx=222 bytes Rx=605 bytes, status=-2[1555805] Session End
Desde estos debugs, el formato LDAP Login DN es incorrecto o la contraseña es incorrecta, así que verifique ambos para resolver el problema.