¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Ejemplo de Configuración del Uso de ASA de Mapas de Atributo LDAP

Opciones de descarga

  • PDF     (200.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (93.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (92.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:28 de octubre de 2020
ID del documento:91831
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción
prerrequisitos
Requisitos
Componentes Utilizados
Antecedentes
Preguntas frecuentes
P. ¿Hay un límite de configuración en el número de ldap-attribute-maps para el ASA?
P. ¿Hay un límite en los números de atributos que se pueden mapear por ldap-attribute-map?
P. ¿Hay alguna restricción sobre cuántos servidores ldap a los que se puede aplicar un mapa específico de atributos ldap?
P. ¿Hay limitaciones con ldap-attribute-maps y atributos multivariados como AD memberOf?
Ejemplos de casos prácticos
Opciones de solución temporal/prácticas recomendadas
Configurar - Ejemplos de casos prácticos
1. Aplicación de políticas de atributos basados en el usuario
2. Ejemplo de Ubicación de Usuarios LDAP en una Política de Grupo Específica - Genérica
Configuración de una política de grupo de NOACCESS
3. Aplicación de políticas de atributos basados en grupo: ejemplo
4. Aplicación de Active Directory de "Asignar una dirección IP estática" para túneles IPsec y SVC
5. Aplicación de Active Directory de "acceso remoto telefónico, permitir/denegar acceso"
6. Aplicación de Active Directory de "Miembro de"/pertenencia a grupo para permitir o denegar el acceso
7. Aplicación en Active Directory de "Reglas de hora de inicio de sesión/hora del día"
8. Utilice la configuración ldap-map para asignar un usuario a una política de grupo específica y utilice el comando authorization-server-group, en el caso de la autenticación doble
Verificación
Troubleshoot
Depurar la transacción LDAP
ASA no es capaz de autenticar a los usuarios del servidor LDAP

    Introducción

    Este documento describe cómo utilizar mapas de atributos del protocolo ligero de acceso a directorios (LDAP) para configurar políticas de acceso dinámico granulares en un dispositivo de seguridad adaptable (ASA).

    prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    Componentes Utilizados

    La información de este documento se basa en la plataforma de hardware ASA-5xxx que funciona como concentrador/servidor VPN para sesiones SSL VPN de acceso remoto (AnyConnect y Clientless/WebVPN) y sesiones IPsec.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

    Antecedentes

    LDAP es un protocolo de aplicaciones abierto, neutral con el proveedor y estándar del sector para acceder y mantener servicios de información de directorios distribuidos a través de una red IP. Los servicios de directorio desempeñan un papel importante en el desarrollo de aplicaciones de intranet e Internet porque permiten compartir información sobre usuarios, sistemas, redes, servicios y aplicaciones en toda la red.

    Con frecuencia, los administradores quieren proporcionar a los usuarios VPN diversos permisos de acceso o contenido WebVPN. Esto se puede hacer si configura diferentes políticas VPN en el servidor VPN y asigna estos conjuntos de políticas a cada usuario en función de sus credenciales. Aunque esto se puede hacer manualmente, es más eficiente automatizar el proceso con los Servicios de directorio. Para utilizar LDAP para asignar una política de grupo a un usuario, debe configurar un mapa que mapee un atributo LDAP, como el miembro del atributo Active Directory (AD), al IETF-Radius-Class o al Group-Policy que entienda la cabecera VPN.

    Nota: En los Encabezados de Cisco IOS, se puede lograr lo mismo si configura diferentes grupos de políticas bajo el contexto WebVPN y usa mapas de atributos LDAP para determinar qué grupo de políticas se asignará al usuario como se describe en el documento. Consulte Ejemplo de Configuración de Asignación de Grupos de Políticas para Clientes AnyConnect que Utilizan LDAP en Encabezados Cisco IOS.

    En el ASA, esto se consigue regularmente mediante la asignación de diferentes políticas de grupo a diferentes usuarios. Cuando está en uso la autenticación LDAP, esto se puede conseguir automáticamente con una correspondencia de atributo LDAP. Para utilizar LDAP para asignar una política de grupo a un usuario, debe asignar un atributo LDAP, como el miembro del atributo ADOf al atributo Group-Policy que entiende el ASA. Una vez establecida la asignación de atributos, debe asignar el valor de atributo configurado en el servidor LDAP al nombre de una política de grupo en el ASA.

    Nota: El atributo memberOf corresponde al grupo del que el usuario forma parte en Active Directory. Es posible que un usuario sea miembro de más de un grupo en Active Directory. Esto hace que el servidor envíe varios atributos memberOf, pero el ASA sólo puede hacer coincidir un atributo con una política de grupo.

    Preguntas frecuentes

    P. ¿Hay un límite de configuración en el número de ldap-attribute-maps para el ASA?

    R. No, no hay límites. ldap-attribute-maps se asignan dinámicamente durante la sesión de acceso remoto VPN que utiliza autenticación/autorización LDAP.

    P. ¿Hay un límite en los números de atributos que se pueden mapear por ldap-attribute-map?

    R. No hay límites de configuración.

    P. ¿Hay alguna restricción sobre cuántos servidores ldap a los que se puede aplicar un mapa específico de atributos ldap?

    R. Sin restricción. El código LDAP sólo verifica que el nombre ldap-attribute-map sea válido.

    P. ¿Hay limitaciones con ldap-attribute-maps y atributos multivariados como AD memberOf?

    R. Yes. Aquí, sólo se explica AD, pero se aplica a cualquier servidor LDAP que utilice atributos de valor múltiple para las decisiones de políticas. El ldap-attribute-map tiene una limitación con atributos multivariados como el miembro ADOf. Si un usuario es miembro de varios grupos AD (que es común) y el mapa ldap-attribute-map coincide con más de uno de ellos, el valor asignado se elegirá en función de la alfabetización de las entradas coincidentes. Puesto que este comportamiento no es obvio ni intuitivo, es importante tener un conocimiento claro de cómo funciona.

    Resumen: Si la asignación LDAP produce varios valores para un atributo, el valor final del atributo se elegirá de la siguiente manera:

    • Primero, seleccione los valores con el menor número de caracteres.
    • Si esto da como resultado más de un valor, elija el valor más bajo en orden alfabético.

    Ejemplos de casos prácticos

    Active Directory-LDAP devuelve estos cuatro miembrosDe instancias para una solicitud de autorización o autenticación de usuario:

    memberOf: value = CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
    memberOf: value = CN=Cisco-Eng,CN=Users,DC=stbu,OU=cisco,DC=com
    memberOf: value = CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com
    memberOf: value = CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com

    LDAP-MAP #1: Suponga que este ldap-attribute-map está configurado para mapear diferentes políticas de grupo ASA basadas en el miembroDe configuración:

    ldap attribute-map Class 
     map-name  memberOf Group-Policy 
     map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup4 
     map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
     map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
     map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1

    En este caso, se producirán coincidencias en los cuatro valores de política de grupo (ASAGroup1 - ASAGroup4). Sin embargo, la conexión se asignará a la política de grupo ASAGroup1 porque se produce primero en orden alfabético.

    LDAP-MAP #2: Este ldap-attribute-map es el mismo, excepto que el primer miembroOf no tiene asignado un valor de mapa explícito (no ASAGroup4). Tenga en cuenta que cuando no se define ningún valor de mapa explícito, se utiliza el texto del atributo recibido de LDAP.

    ldap attribute-map Class 
     map-name  memberOf Group-Policy
     map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com 
     map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
     map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
     map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1

    Como en el caso anterior, las coincidencias se producen en las cuatro entradas. En este caso, dado que no se proporciona ningún valor asignado para la entrada APP-SSL-VPN, el valor asignado será el valor predeterminado CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com. Dado que CN=APP-SSL-VPN aparece primero en orden alfabético, APP-SSL-VPN se seleccionará como valor de política.

    Consulte Cisco bug ID CSCub64284 para obtener más información. Consulte PIX/ASA 8.0: Utilice la Autenticación LDAP para Asignar una Política de Grupo al Inicio de Sesión, que muestra un caso LDAP simple con un miembroOf que podría funcionar en su implementación particular.

    Opciones de solución temporal/prácticas recomendadas

    1. Utilizar política de acceso dinámico (DAP): DAP no tiene esta limitación de analizar atributos multivalorados (como memberOf); pero DAP actualmente no puede establecer una política de grupo desde dentro. Esto significa que la sesión tendría que segmentarse correctamente a través de los métodos de asociación tunnel-group/group-policy. En el futuro, DAP tendrá la capacidad de establecer cualquier atributo de autorización, incluida la política de grupo (Id. de bug Cisco CSCsi54718), por lo que la necesidad de un mapa de atributos ldap para este fin finalmente no será necesaria.
    2. Como alternativa posible y si el escenario de implementación lo permite, siempre que se debe utilizar un mapa de atributos ldap para establecer el atributo class, también se puede utilizar un atributo de valor único (como Departamento) que represente la diferenciación de grupo en AD.

    Nota: En un miembro de DN como "CN=Ingeniería, OU=Office1, DC=cisco,DC=com", sólo puede tomar la decisión sobre el primer DN, es decir CN=Ingeniería, no la Unidad organizativa (OU). Hay una mejora para poder filtrar en cualquier campo DN.

    Configurar - Ejemplos de casos prácticos

    Nota: Cada ejemplo descrito en esta sección es una configuración independiente, pero puede combinarse y coincidir entre sí para producir la política de acceso deseada.

    Consejo: Los nombres y valores de atributos distinguen entre mayúsculas y minúsculas. Si el mapping no ocurre correctamente, asegúrese de que la ortografía y la capitalización correctas se hayan utilizado en el mapa de atributos LDAP para los nombres y valores de los atributos de Cisco y LDAP.

    1. Aplicación de políticas de atributos basados en el usuario

    Cualquier atributo LDAP estándar se puede asignar a un atributo específico del proveedor del dispositivo (VSA) conocido. Uno o más atributos LDAP se pueden asignar a uno o más atributos LDAP de Cisco. Para obtener una lista completa de VSAs LDAP de Cisco, consulte Atributos de Cisco Soportados para Autorización LDAP. Este ejemplo muestra cómo aplicar un banner para LDAP user1. User1 puede ser cualquier tipo de acceso remoto VPN: IPsec, SVC o WebVPN sin cliente. Este ejemplo utiliza el atributo/campo Properties/General/Office para aplicar el Banner1.

    Nota: Puede utilizar el atributo/campo de Departamento de AD para asignar a Cisco IETF-Radius-Class VSA para aplicar políticas desde una política de grupo ASA/PIX. Hay ejemplos de esto más adelante en el documento.

    La asignación de atributos LDAP (para Microsoft AD y Sun) es compatible con la versión 7.1.x de PIX/ASA. Cualquier atributo de Microsoft/AD se puede asignar a un atributo de Cisco. Este es el procedimiento para realizar esto:

    1. En el servidor AD/LDAP:

      • Seleccione user1.
      • Haga clic con el botón derecho del ratón > Propiedades.
      • Seleccione una ficha que se utilizará para establecer un atributo (Ejemplo. General).
      • Seleccione un campo/atributo, por ejemplo el campo "Office", que se utilizará para aplicar el rango de tiempo, e introduzca el texto del banner (por ejemplo, Bienvenido a LDAP !!!!). La configuración "Office" en la GUI se almacena en el atributo AD/LDAP "physicalDeliveryOfficeName".
    2. En ASA, para crear una tabla de asignación de atributos LDAP, mapee el atributo AD/LDAP "physicalDeliveryOfficeName" al atributo ASA "Banner1":
      B200-54(config)# show run ldap
      ldap attribute-map Banner
       map-name  physicalDeliveryOfficeName Banner1
    3. Asocie el atributo LDAP map a la entrada aaa-server:
      B200-54(config-time-range)# show runn aaa-server microsoft
      
aaa-server microsoft protocol ldap
      aaa-server microsoft host audi-qa.frdevtestad.local
       ldap-base-dn dc=frdevtestad,dc=local
       ldap-scope subtree
       ldap-naming-attribute sAMAccountName
       ldap-login-password hello
       ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
       ldap-attribute-map Banner
    4. Establezca la sesión de acceso remoto y verifique que el banner "Welcome to LDAP !!!!" se presenta al usuario de VPN.

    2. Ejemplo de Ubicación de Usuarios LDAP en una Política de Grupo Específica - Genérica

    Este ejemplo muestra la autenticación de user1 en el servidor AD-LDAP y recupera el valor del campo de departamento para que pueda ser mapeado a una política de grupo ASA/PIX desde la cual se aplicarán las políticas.

    1. En el servidor AD/LDAP:

      • Seleccione user1.
      • Haga clic con el botón derecho del ratón > Propiedades.
      • Seleccione una ficha que se utilizará para establecer un atributo (Ejemplo. Organización).
      • Seleccione un campo/atributo, por ejemplo "Departamento", que se utilizará para aplicar una política de grupo e introduzca el valor de la política de grupo (Directiva de grupo1) en el ASA/PIX. La configuración "Departamento" en la GUI se almacena en el atributo "departamento" de AD/LDAP.
    2. Defina una tabla ldap-attribute-map.
      5520-1(config)# show runn ldap
      ldap attribute-map Our-AD-Map
      map-name  department Group-Policy
      5520-1(config)#

      Nota:  Como resultado de la implementación del Id. de bug Cisco CSCsv43552, se introdujo un nuevo atributo ldap-attribute-map, Group-Policy, para reemplazar IETF-Radius-Class. La CLI en ASA versión 8.2 soporta la palabra clave IETF-Radius-Class como una opción válida en los comandos map-name y map-value para leer un archivo de configuración 8.0 (escenario de actualización de software). El código del administrador adaptable de dispositivos de seguridad (ASDM) ya se ha actualizado para que deje de mostrar IETF-Radius-Class como opción al configurar una entrada de mapa de atributos. Además, ASDM escribirá el atributo IETF-Radius-Class (si se lee desde una configuración 8.0) como atributo Group-Policy.

    3. Defina Group-policy Group_policy1 en el dispositivo y los atributos de política necesarios.
    4. Establezca el túnel de acceso remoto VPN y verifique que la sesión herede los atributos de Group-Policy1 (y cualquier otro atributo aplicable de la política de grupo predeterminada).

      Nota: Agregue más atributos al mapa según sea necesario. Este ejemplo muestra sólo el mínimo para controlar esta función específica (coloque un usuario en una política de grupo específica ASA/PIX 7.1.x). El tercer ejemplo muestra este tipo de mapa.

    Configuración de una política de grupo de NOACCESS

    Puede crear una política de grupo NOACCESS para denegar la conexión VPN cuando el usuario no forma parte de ninguno de los grupos LDAP. Este fragmento de configuración se muestra para su referencia:

    group-policy NOACCESS internal
    group-policy NOACCESS attributes
     vpn-simultaneous-logins 0
     vpn-tunnel-protocol IPSec webvpn

    Debe aplicar esta política de grupo como política de grupo predeterminada al grupo de túnel. Esto permite a los usuarios que obtienen una asignación del mapa de atributos LDAP, por ejemplo aquellos que pertenecen a un grupo LDAP deseado, obtener sus políticas de grupo y usuarios que no obtienen ninguna asignación, por ejemplo aquellos que no pertenecen a ninguno de los grupos LDAP deseados, obtener NOACCESS group-policy del grupo de túnel, que bloquea el acceso para ellos.

    Consejo: Dado que el atributo vpn-simultáneamente-logins se establece en 0 aquí, también debe definirse explícitamente en todas las demás políticas de grupo; de lo contrario, se heredará de la política de grupo predeterminada para ese grupo de túnel, que en este caso es la política NOACCESS.

    3. Aplicación de políticas de atributos basados en grupo: ejemplo

    Nota: Se requiere la implementación/corrección del ID de bug Cisco CSCse08736, por lo que el ASA debe ejecutar al menos la versión 7.2.2.

    1. En el servidor AD-LDAP, Active Directory Users and Computers, configure un registro de usuario (VPNUserGroup) que represente un grupo donde se configuran los atributos VPN.
    2. En el servidor AD-LDAP, Usuarios y equipos de Active Directory, defina el campo Departamento de cada registro de usuario para señalar al registro de grupo (VPNUserGroup) en el paso 1. El nombre de usuario en este ejemplo es web1.

      Nota: El atributo AD del departamento se utilizó sólo porque lógicamente "departamento" se refiere a la política de grupo. En realidad, se podría utilizar cualquier campo. El requisito es que este campo debe asignarse al atributo de Cisco VPN Group-Policy como se muestra en este ejemplo.

    3. Definir una tabla ldap-attribute-map:
      5520-1(config)# show runn ldap
      ldap attribute-map Our-AD-Map
      map-name  department IETF-Radius-Class
      map-name  description\Banner1
      map-name  physicalDeliveryOfficeName IETF-Radius-Session-Timeout
      5520-1(config)#

      Los dos atributos AD-LDAP Description y Office (representados por la descripción de nombres AD y PhysicalDeliveryOfficeName) son los atributos de registro de grupo (para VPNUSerGroup) que se asignan a los atributos VPN de Cisco Banner1 e IETF-Radius-Session-Timeout.

      El atributo de departamento corresponde al registro de usuario para que se asigne al nombre de la política de grupo externa en el ASA (VPNUSer), que a continuación se asigna al registro VPNuserGroup en el servidor AD-LDAP, donde se definen los atributos.

      Nota: El atributo de Cisco (Group-Policy ) debe definirse en ldap-attribute-map. Su atributo AD asignado puede ser cualquier atributo AD configurable. Este ejemplo utiliza el departamento porque es el nombre más lógico que hace referencia a la política de grupo.

    4. Configure el aaa-server con el nombre ldap-attribute-map que se utilizará para las operaciones de Autenticación, Autorización y Contabilización (AAA) de LDAP: 
      5520-1(config)# show runn aaa-server LDAP-AD11
      aaa-server LDAP-AD11 protocol ldap
      aaa-server LDAP-AD11 host 90.148.1.11
      ldap-base-dn cn=Users,dc=nelson,dc=cisco,dc=com
      ldap-scope onelevel
      ldap-naming-attribute sAMAccountName
      ldap-login-password altiga
      ldap-login-dn cn=Administrator,cn=Users,dc=nelson,dc=cisco,dc=com
      ldap-attribute-map Our-AD-Map
      5520-1(config)#
    5. Defina un grupo de túnel con autenticación LDAP o autorización LDAP.
      • Ejemplo con autenticación LDAP. Realiza la aplicación de políticas de atributos de autenticación + (autorización) si se definen atributos. 
        5520-1(config)# show runn tunnel-group 
        remoteAccessLDAPTunnelGroup
        tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
        authentication-server-group  LDAP-AD11
        accounting-server-group RadiusACS28
        5520-1(config)#
      • Ejemplo con Autorización LDAP. Configuración utilizada para utilizar certificados digitales. 
        5520-1(config)# show runn tunnel-group
         remoteAccessLDAPTunnelGroup
        tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
        authentication-server-group none
        authorization-server-group LDAP-AD11
        accounting-server-group RadiusACS28
        authorization-required
        authorization-dn-attributes ea
        5520-1(config)#
    6. Defina una política de grupo externa. El nombre de la política de grupo es el valor del registro de usuario de AD-LDAP que representa al grupo (VPNUserGroup). 
      5520-1(config)# show runn group-policy VPNUserGroup
      group-policy VPNUserGroup external server-group LDAP-AD11
      5520-1(config)#
    7. Establezca el túnel y verifique que se aplican los atributos. En este caso, el Banner y el Tiempo de espera de sesión se aplican desde el registro VPNuserGroup en el AD.

    4. Aplicación de Active Directory de "Asignar una dirección IP estática" para túneles IPsec y SVC

    El atributo AD es msRADIUSFramedIPAddress. El atributo se configura en AD User Properties, ficha Dial-in, "Assign a Static IP Address" (Asignar una dirección IP estática).

    Éstos son los pasos:

    1. En el servidor AD, en la ficha Propiedades del usuario, Marcado en, "Asignar una dirección IP estática", introduzca el valor de la dirección IP para asignarla a la sesión IPsec/SVC (10.20.30.6).
    2. En ASA, cree un mapa ldap-attribute con esta asignación: 
      5540-1# show running-config ldap
      ldap attribute-map Assign-IP
        map-name  msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
      5540-1#
    3. En ASA, verifique que vpn-address-assigment esté configurado para incluir "vpn-addr-Assign-aaa": 
      5520-1(config)# show runn all vpn-addr-assign
      vpn-addr-assign aaa
      no vpn-addr-assign dhcp
      vpn-addr-assign local
      5520-1(config)#
    4. Establezca las sesiones de la Autoridad Remota de IPSec/SVC (RA) y verifique la con "show vpn-sessiondb remote|svc" que el campo "IP asignada" es correcto (10.20.30.6).

    5. Aplicación de Active Directory de "acceso remoto telefónico, permitir/denegar acceso"

    Admite todas las sesiones de acceso remoto VPN: IPSec, WebVPN y SVC. Allow Access tiene un valor TRUE. Denegar acceso tiene un valor FALSO. El nombre del atributo AD es msNPAllowDialin.

    En este ejemplo se muestra la creación de un mapa ldap-attribute que utiliza los protocolos de túnel de Cisco para crear las condiciones Allow Access (TRUE) y Deny (FALSE). Por ejemplo, si asigna el tunnel-protocol=L2TPover IPsec (8), puede crear una condición FALSE si intenta imponer el acceso para WebVPN e IPsec. La lógica inversa también se aplica.

    Éstos son los pasos:

    1. En el servidor AD user1 Properties, Dial-In, seleccione la opción adecuada permitir acceso o Denegar acceso para cada usuario.

      Nota: Si selecciona la tercera opción "Control access through the Remote Access Policy" (Control del acceso a través de la política de acceso remoto), no se devuelve ningún valor del servidor AD, por lo que los permisos que se aplican se basan en la configuración de la política interna de grupo de ASA/PIX.

    2. En ASA, cree un mapa ldap-attribute-map con esta asignación: 
      ldap attribute-map LDAP-MAP
        map-name  msNPAllowDialin Tunneling-Protocols
        map-value msNPAllowDialin FALSE 8
        map-value msNPAllowDialin TRUE 20
      5540-1#

      Nota: Agregue más atributos al mapa según sea necesario. En este ejemplo se muestra sólo el mínimo para controlar esta función específica (Permitir o Denegar acceso basado en la configuración de acceso telefónico).

      ¿Qué significa o aplica ldap-attribute-map?

      • map-value msNPAllowDialin FALSE 8

      Denegar acceso para un usuario1. La condición de valor FALSE se asigna a L2TPoverIPsec de protocolo de túnel (valor 8).

      Permitir acceso para el usuario2 . La condición de valor TRUE se asigna a WebVPN de protocolo de túnel + IPsec, (valor 20).

      • Un usuario de WebVPN/IPsec, autenticado como usuario1 en AD, fallaría debido a la discordancia del protocolo de túnel.
      • Un L2TPoverIPsec, autenticado como user1 en AD, fallaría debido a la regla Denegar.
      • Un usuario WebVPN/IPsec, autenticado como usuario2 en AD, tendría éxito (Permitir regla + protocolo de túnel coincidente).
      • Un L2TPoverIPsec, autenticado como user2 en AD, fallaría debido a la discordancia del protocolo de túnel.

      Soporte para el Protocolo de Túnel, como se define en los RFC 2867 y 2868.

    6. Aplicación de Active Directory de "Miembro de"/pertenencia a grupo para permitir o denegar el acceso

    Este caso está estrechamente relacionado con el caso 5, proporciona un flujo más lógico y es el método recomendado, ya que establece la comprobación de pertenencia al grupo como condición.

    1. Configure el usuario de AD para que sea "Miembro de" un grupo específico. Utilice un nombre que lo sitúe en la parte superior de la jerarquía de grupos (ASA-VPN-Consultants). En AD-LDAP, la pertenencia al grupo se define por el atributo AD "memberOf". Es importante que el grupo esté en la parte superior de la lista, ya que actualmente sólo puede aplicar las reglas a la primera cadena group/"memberOf". En la versión 7.3, podrá realizar el filtrado y la aplicación de varios grupos.
    2. En el ASA, cree un mapa ldap-attribute-map con la asignación mínima: 
      ldap attribute-map LDAP-MAP
        map-name  memberOf Tunneling-Protocols
        map-value memberOf cn=ASA-VPN-Consultants,cn=Users,dc=abcd,dc=com 4
      5540-1#

      Nota: Agregue más atributos al mapa según sea necesario. En estos ejemplos se muestra sólo el mínimo para controlar esta función específica (Permitir o Denegar acceso en función de la pertenencia al grupo).

      ¿Qué significa o aplica ldap-attribute-map?

      • User=joe_consulting, parte de AD, que es miembro del grupo de AD "ASA-VPN-Consultants", sólo podrá acceder si el usuario utiliza IPsec (tunnel-protocol=4=IPSec).
      • User=joe_consulting, parte de AD, no podrá acceder a VPN durante cualquier otro cliente de acceso remoto (PPTP/L2TP, L2TP/IPSec, WebVPN/SVC, etc.).
      • User=bill_the_hacker NO se permitirá entrar porque el usuario no tiene pertenencia a AD.

    7. Aplicación en Active Directory de "Reglas de hora de inicio de sesión/hora del día"

    Este caso práctico describe cómo configurar y aplicar las reglas de hora del día en AD/LDAP.

    Este es el procedimiento para hacer esto:

    1. En el servidor AD/LDAP:

      • Seleccione el usuario.
      • Haga clic con el botón derecho del ratón > Propiedades.
      • Seleccione una ficha que se utilizará para establecer un atributo (Ejemplo. General).
      • Seleccione un campo o atributo, por ejemplo el campo "Office", que se utilizará para aplicar el rango de tiempo, e introduzca el nombre del rango de tiempo (por ejemplo, Boston). La configuración "Office" en la GUI se almacena en el atributo AD/LDAP "physicalDeliveryOfficeName".
    2. En ASA
      • Cree una tabla de asignación de atributos LDAP.
      • Asigne el atributo AD/LDAP "physicalDeliveryOfficeName" al atributo ASA "Access-Hours".

      Ejemplo:

      B200-54(config-time-range)# show run ldap
      ldap attribute-map TimeOfDay
        map-name  physicalDeliveryOfficeName Access-Hours
    3. En el ASA, asocie el mapa de atributos LDAP a la entrada aaa-server: 
      B200-54(config-time-range)# show runn aaa-server microsoft
      aaa-server microsoft protocol ldap
      aaa-server microsoft host audi-qa.frdevtestad.local
       ldap-base-dn dc=frdevtestad,dc=local
       ldap-scope subtree
       ldap-naming-attribute sAMAccountName
       ldap-login-password hello
       ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
       ldap-attribute-map TimeOfDay
    4. En el ASA, cree un objeto time-range que tenga el valor name asignado al usuario (valor de Office en el paso 1): 
      B200-54(config-time-range)# show runn time-range
      !
      time-range Boston
      periodic weekdays 8:00 to 17:00
      !
    5. Establezca la sesión de acceso remoto VPN:
      • La sesión debería tener éxito si se encuentra dentro del intervalo de tiempo.
      • La sesión debe fallar si se encuentra fuera del rango de tiempo.

    8. Utilice la configuración ldap-map para asignar un usuario a una política de grupo específica y utilice el comando authorization-server-group, en el caso de la autenticación doble

    1. En este escenario, se utiliza la autenticación doble. El primer servidor de autenticación utilizado es RADIUS y el segundo servidor de autenticación utilizado es un servidor LDAP.
      1. Configure el servidor LDAP así como el servidor RADIUS. Aquí tiene un ejemplo: 
        ASA5585-S10-K9# show runn aaa-server
        aaa-server test-ldap protocol ldap
        aaa-server test-ldap (out) host 10.201.246.130
         ldap-base-dn cn=users, dc=htts-sec, dc=com
         ldap-login-password *****
         ldap-login-dn cn=Administrator, cn=Users, dc=htts-sec, dc=com
         server-type microsoft
         ldap-attribute-map Test-Safenet-MAP
        aaa-server test-rad protocol radius
        aaa-server test-rad (out) host 10.201.249.102
         key *****
      2. Defina el atributo mapa LDAP. Aquí tiene un ejemplo: 
        ASA5585-S10-K9# show runn ldap
        ldap attribute-map Test-Safenet-MAP
         map-name memberOf IETF-Radius-Class
         map-value memberOf "CN=DHCP Users,CN=Users,DC=htts-sec,DC=com" Test-Policy-Safenet
      3. Defina el grupo de túnel y asocie el servidor RADIUS y LDAP para la autenticación. Aquí tiene un ejemplo: 
        ASA5585-S10-K9# show runn tunnel-group
        tunnel-group Test_Safenet type remote-access
        tunnel-group Test_Safenet general-attributes
         address-pool RA_VPN_IP_Pool
         authentication-server-group test-rad
         secondary-authentication-server-group test-ldap use-primary-username
         default-group-policy NoAccess
        tunnel-group Test_Safenet webvpn-attributes
          group-alias Test_Safenet enable
      4. Vea la política de grupo que se utiliza en la configuración del grupo de túnel: 
        ASA5585-S10-K9# show runn group-policy
        group-policy NoAccess internal
        group-policy NoAccess attributes
         wins-server none
         dns-server value 10.34.32.227 10.34.32.237
         vpn-simultaneous-logins 0
         default-domain none
        group-policy Test-Policy-Safenet internal
        group-policy Test-Policy-Safenet attributes
                 dns-server value 10.34.32.227 10.34.32.237
         vpn-simultaneous-logins 15 
         vpn-idle-timeout 30 
         vpn-tunnel-protocol ikev1 ssl-client ssl-clientless
         split-tunnel-policy tunnelspecified
         split-tunnel-network-list value Safenet-Group-Policy-SplitAcl
         default-domain none

        Con esta configuración, los usuarios de AnyConnect que se asignaron correctamente con el uso de atributos LDAP no se colocaron en la política de grupo, Test-Policy-Safenet. En su lugar, se siguieron colocando en la política de grupo predeterminada, en este caso NoAccess.

        Vea el fragmento de los debugs (debug ldap 255) y syslogs en información de nivel:

        --------------------------------------------------------------------------------

        memberOf: value = CN=DHCP Users,CN=Users,DC=htts-sec,DC=com

        [47]                       mapped to IETF-Radius-Class: value = Test-Policy-Safenet

        [47]                       mapped to LDAP-Class: value = Test-Policy-Safenet

        --------------------------------------------------------------------------------

        Syslogs :   

        %ASA-6-113004: AAA user authentication Successful : server = 10.201.246.130 : user = test123

        %ASA-6-113003: AAA group policy for user test123 is being set to Test-Policy-Safenet

        %ASA-6-113011: AAA retrieved user specific group policy (Test-Policy-Safenet) for user =
        test123

        %ASA-6-113009: AAA retrieved default group policy (NoAccess) for user = test123

        %ASA-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins
        exceeded for user : user = test123

        %ASA-6-716039: Group <DfltGrpPolicy> User <test123> IP <10.116.122.154> Authentication: 
        rejected, Session Type: WebVPN.

        Estos syslogs muestran fallas cuando al usuario se le estaba dando la política de grupo NoAccess que tenía el login simultáneo configurado en 0 aunque los syslogs dicen que recuperó una política de grupo específica del usuario.

        Para que el usuario sea asignado en la política de grupo, en base al mapa LDAP, debe tener este comando: authorization-server-group test-ldap (en este caso, test-ldap es el nombre del servidor LDAP). Aquí tiene un ejemplo:

        ASA5585-S10-K9# show runn tunnel-group
        tunnel-group Test_Safenet type remote-access
        tunnel-group Test_Safenet general-attributes
         address-pool RA_VPN_IP_Pool
         authentication-server-group test-rad
         secondary-authentication-server-group test-ldap use-primary-username
         authorization-server-group test-ldap
         default-group-policy NoAccess
        tunnel-group Test_Safenet webvpn-attributes
          group-alias Test_Safenet enable
    2. Ahora, si el primer servidor de autenticación (RADIUS, en este ejemplo) envió los atributos específicos del usuario, por ejemplo el atributo de clase IEFT, en ese caso, el usuario se asignará a la política de grupo enviada por RADIUS. Por lo tanto, aunque el servidor secundario tiene un mapa LDAP configurado y los atributos LDAP del usuario sí mapean al usuario a una política de grupo diferente, se aplicará la política de grupo enviada por el primer servidor de autenticación.

      Para tener el lugar del usuario en una política de grupo basada en el atributo de mapa LDAP, debe especificar este comando bajo el grupo de túnel: authorization-server-group test-ldap.

    3. Si el primer servidor de autenticación es SDI u OTP, que no puede pasar el atributo específico del usuario, el usuario caería en la política de grupo predeterminada del grupo de túnel. En este caso, NoAccess aunque la asignación LDAP sea correcta.

      En este caso, también necesitará el comando authorization-server-group test-ldap, en el túnel-group para que el usuario se coloque en la política de grupo correcta.

    4. Si ambos servidores son los mismos servidores RADIUS o LDAP, entonces no necesita el comando authorization-server-group para que funcione el bloqueo de política de grupo.

    Verificación

    ASA5585-S10-K9# show vpn-sessiondb anyconnect 

    Session Type: AnyConnect

    Username     : test123                  Index        : 2
    Assigned IP  : 10.34.63.1             Public IP    : 10.116.122.154
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Essentials
    Encryption   : 3DES 3DES 3DES         Hashing      : SHA1 SHA1 SHA1
    Bytes Tx     : 14042                  Bytes Rx     : 8872
    Group Policy : Test-Policy-Safenet    Tunnel Group : Test_Safenet
    Login Time   : 10:45:28 UTC Fri Sep 12 2014
    Duration     : 0h:01m:12s
    Inactivity   : 0h:00m:00s
    NAC Result   : Unknown
    VLAN Mapping : N/A                    VLAN         : none

    Troubleshoot

    Use esta sección para resolver problemas su configuración.

    Depurar la transacción LDAP

    Estas depuraciones se pueden utilizar para ayudar a aislar los problemas con la configuración DAP:

    • debug ldap 255
    • debug dap trace
    • debug aaa authentication

    ASA no es capaz de autenticar a los usuarios del servidor LDAP

    En caso de que el ASA no pueda autenticar a los usuarios del servidor LDAP, aquí hay algunos debugs de ejemplo:

    ldap 255 output:[1555805] Session Start[1555805] New request Session, context
    0xcd66c028, reqType = 1[1555805]
    Fiber started[1555805] Creating LDAP context with uri=ldaps://172.30.74.70:636
    [1555805] Connect to LDAP server:
    ldaps://172.30.74.70:636, status = Successful[1555805] supportedLDAPVersion:
    value = 3[1555805]
    supportedLDAPVersion: value = 2[1555805] Binding as administrator[1555805]
    Performing Simple
    authentication for sysservices to 172.30.74.70[1555805] Simple authentication
    for sysservices returned code (49)
    Invalid credentials[1555805] Failed to bind as administrator returned code
    (-1) Can't contact LDAP server[1555805]
    Fiber exit Tx=222 bytes Rx=605 bytes, status=-2[1555805] Session End

    Desde estos debugs, el formato LDAP Login DN es incorrecto o la contraseña es incorrecta, así que verifique ambos para resolver el problema.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros