Exemple de configuration de l'utilisation ASA des mappages d'attributs LDAP

Introduction

Ce document décrit comment utiliser des mappages d'attributs LDAP (Lightweight Directory Access Protocol) afin de configurer des stratégies d'accès dynamique granulaires sur un appareil de sécurité adaptatif (ASA).

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• VPN d'accès à distance ASA SSL (AnyConnect, sans client/WebVPN) et VPN IPsec
• Mécanismes d'authentification/d'identité AAA (Radius, LDAP)
• Services d'annuaire (Active Directory - AD)

Components Used

Les informations de ce document sont basées sur la plate-forme matérielle ASA-5xxx qui fonctionne comme concentrateur/serveur VPN pour accès distant VPN SSL (AnyConnect et Clientless/WebVPN) et sessions IPsec.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

LDAP est un protocole d'application ouvert, indépendant du fournisseur et standard pour accéder aux services d'informations d'annuaire distribués et les gérer sur un réseau IP. Les services d'annuaire jouent un rôle important dans le développement d'applications intranet et Internet, car ils permettent le partage d'informations sur les utilisateurs, les systèmes, les réseaux, les services et les applications sur l'ensemble du réseau.

Fréquemment, les administrateurs veulent fournir à des utilisateurs VPN différentes autorisations d'accès ou de contenu WebVPN. Cela peut être fait si vous configurez différentes stratégies VPN sur le serveur VPN et affectez ces jeux de stratégies à chaque utilisateur en fonction de leurs informations d'identification. Bien que cela puisse être fait manuellement, il est plus efficace d'automatiser le processus avec les services d'annuaire. Afin d'utiliser LDAP pour affecter une stratégie de groupe à un utilisateur, vous devez configurer une carte qui mappe un attribut LDAP, tel que le membre de l'attribut Active Directory (AD), à l'attribut IETF-Radius-Class ou Group-Policy compris par la tête de réseau VPN.

Remarque: Sur les têtes de réseau Cisco IOS, la même chose peut être obtenue si vous configurez différents groupes de stratégies sous le contexte WebVPN et utilisez des mappages d'attributs LDAP afin de déterminer quel groupe de stratégies l'utilisateur sera affecté comme décrit dans le document. Voir Exemple de configuration de l'affectation de groupe de stratégies pour les clients AnyConnect qui utilisent LDAP sur les têtes de réseau Cisco IOS.

Sur l'ASA, ceci est régulièrement réalisé grâce à l'affectation de différentes stratégies de groupe à différents utilisateurs. Quand l'authentification LDAP est en service, ceci peut être réalisé automatiquement avec une carte d'attribut LDAP. Afin d'utiliser LDAP pour affecter une stratégie de groupe à un utilisateur, vous devez mapper un attribut LDAP, tel que le membre de l'attribut AD à l'attribut Group-Policy compris par l'ASA. Une fois le mappage d'attribut établi, vous devez mapper la valeur d'attribut configurée sur le serveur LDAP au nom d'une stratégie de groupe sur l'ASA.

Remarque : l'attribut memberOf correspond au groupe dont l'utilisateur fait partie dans Active Directory. Il est possible pour un utilisateur d'être membre de plusieurs groupes dans Active Directory. Cela entraîne l'envoi par le serveur de plusieurs attributs memberOf, mais l'ASA ne peut faire correspondre qu'un attribut à une stratégie de groupe.

FAQ

Q. Existe-t-il une limite de configuration sur le nombre de ldap-attribute-maps pour l'ASA ?

A. Non, il n'y a pas de limites. ldap-attribute-maps sont alloués dynamiquement pendant la session d'accès à distance VPN qui utilise l'authentification/autorisation LDAP.

Q. Y a-t-il une limite sur le nombre d'attributs pouvant être mappés par ldap-attribute-map ?

A. Aucune limite de configuration.

Q. Existe-t-il une restriction sur le nombre de serveurs ldap auxquels une ldap-attribute-map spécifique peut être appliquée ?

A. Aucune restriction. Le code LDAP vérifie uniquement que le nom ldap-attribute-map est valide.

Q. Existe-t-il des limitations avec les ldap-attribute-maps et les attributs à valeurs multiples comme AD memberOf ?

A. Oui. Ici, seule AD est expliquée, mais elle s'applique à tout serveur LDAP qui utilise des attributs à plusieurs valeurs pour les décisions de stratégie. La ldap-attribute-map a une limite avec des attributs à valeurs multiples comme le membre ADOf. Si un utilisateur est membreDe plusieurs groupes AD (ce qui est courant) et que la ldap-attribute-map correspond à plusieurs d'entre eux, la valeur mappée sera choisie en fonction de l'alphabétisme des entrées correspondantes. Comme ce comportement n'est ni évident ni intuitif, il est important d'avoir une connaissance claire de son fonctionnement.

Résumé : si le mappage LDAP donne plusieurs valeurs pour un attribut, la valeur finale de l'attribut sera choisie comme suit :

• Tout d'abord, sélectionnez la ou les valeurs comportant le plus petit nombre de caractères.
• Si cela donne plus d'une valeur, choisissez la valeur la plus basse dans l'ordre alphabétique.

Exemples d'utilisation

Active Directory-LDAP renvoie ces quatre instances de membreOf pour une demande d'authentification ou d'autorisation utilisateur :

memberOf: value = CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Cisco-Eng,CN=Users,DC=stbu,OU=cisco,DC=com
memberOf: value = CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com 

LDAP-MAP #1 : Supposez que cette carte-attribut-ldap est configurée pour mapper différentes stratégies de groupe ASA en fonction du paramètre memberOf :

ldap attribute-map Class 
 map-name  memberOf Group-Policy 
 map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup4 
 map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
 map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
 map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1

Dans ce cas, des correspondances se produiront sur les quatre valeurs de stratégie de groupe (ASAGroup1 - ASAGroup4). Cependant, la connexion sera affectée à la stratégie de groupe ASAGroup1 car elle se produit en premier dans l'ordre alphabétique.

LDAP-MAP #2 : Cette carte-attribut-ldap est identique, sauf que le premier membreOf n'a pas de valeur-carte explicite assignée (aucun groupe ASAG4). Notez que lorsqu'aucune valeur de mappage explicite n'est définie, le texte d'attribut reçu de LDAP est utilisé.

ldap attribute-map Class 
 map-name  memberOf Group-Policy
 map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com 
 map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
 map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
 map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1

Comme dans le cas précédent, des correspondances se produisent sur les quatre entrées. Dans ce cas, étant donné qu'aucune valeur mappée n'est fournie pour l'entrée APP-SSL-VPN, la valeur mappée sera par défaut définie sur CN=APP-SSL-VPN Managers, CN=Users, OU=stbu, DC=cisco, DC=com. Puisque CN=APP-SSL-VPN apparaît en premier dans l'ordre alphabétique, APP-SSL-VPN sera sélectionné comme valeur de stratégie.

Référez-vous à l'ID de bogue Cisco CSCub64284 pour plus d'informations. Reportez-vous à PIX/ASA 8.0 : Utilisez l'authentification LDAP pour attribuer une stratégie de groupe à la connexion, qui affiche un cas LDAP simple avec memberOf qui peut fonctionner dans votre déploiement particulier.

Options de solutions/meilleures pratiques

1. Utiliser la politique d'accès dynamique (DAP) - DAP ne dispose pas de cette limite d'analyse des attributs à valeurs multiples (comme memberOf); mais le DAP ne peut pas actuellement définir une politique de groupe à partir de lui-même. Cela signifie que la session doit être correctement segmentée via les méthodes d'association tunnel-group/group-policy. À l'avenir, DAP aura la capacité de définir n'importe quel attribut d'autorisation, y compris la stratégie de groupe (ID de bogue Cisco CSCsi54718), de sorte que la nécessité d'une carte ldap-attribute à cette fin ne sera plus nécessaire.
2. Comme alternative possible et si le scénario de déploiement le permet, chaque fois que vous devez utiliser une ldap-attribute-map pour définir l'attribut class, vous pouvez également utiliser un attribut à valeur unique (comme Department) qui représente la différenciation de votre groupe sur AD.

Remarque : dans un membre de DN tel que « CN=Engineering, OU=Office1, DC=cisco, DC=com », vous ne pouvez prendre la décision que sur le premier DN, c'est-à-dire CN=Engineering, et non sur l'unité d'organisation (OU). Il y a une amélioration pour pouvoir filtrer sur n'importe quel champ DN.

Configurer - Exemples d'utilisation

Remarque: Chaque exemple décrit dans cette section est une configuration autonome, mais peut être mélangée et appariée l'une avec l'autre pour produire la stratégie d'accès souhaitée.

Astuce : Les noms et les valeurs des attributs sont sensibles à la casse. Si le mappage ne se produit pas correctement, assurez-vous que l'orthographe et la majuscule correctes ont été utilisées dans la carte d'attribut LDAP pour les noms et les valeurs des attributs Cisco et LDAP.

1. Application de la stratégie des attributs basés sur l'utilisateur

Tout attribut LDAP standard peut être mappé à un attribut VSA (Vendor Specific Attribute) d'appliance connu. Un ou plusieurs attributs LDAP peuvent être mappés à un ou plusieurs attributs LDAP Cisco. Pour obtenir la liste complète des VSA LDAP Cisco, référez-vous à Attributs Cisco pris en charge pour l'autorisation LDAP. Cet exemple montre comment appliquer une bannière pour LDAP user1. L’utilisateur 1 peut être n’importe quel type d’accès à distance VPN : IPsec, SVC ou WebVPN sans client. Cet exemple utilise le champ Propriétés/Général/Attribut Office pour appliquer la bannière 1.

Remarque: Vous pouvez utiliser l'attribut/le champ AD Department pour mapper vers Cisco IETF-Radius-Class VSA afin d'appliquer des stratégies à partir d'une stratégie de groupe ASA/PIX. Il en existe des exemples plus loin dans le document.

Le mappage d'attribut LDAP (pour Microsoft AD et Sun) est pris en charge à partir de la version 7.1.x de PIX/ASA. Tout attribut Microsoft/AD peut être mappé à un attribut Cisco. Voici la procédure à suivre :

1. Sur le serveur AD/LDAP :

   • Sélectionnez user1.
   • Cliquez avec le bouton droit > Propriétés.
   • Sélectionnez un onglet à utiliser pour définir un attribut (Exemple). onglet Général).
   • Sélectionnez un champ/attribut, par exemple le champ « Office », à utiliser pour appliquer la plage de temps, et entrez le texte de la bannière (par exemple, Bienvenue dans LDAP ! ! ! !). La configuration « Office » de l'interface utilisateur graphique est stockée dans l'attribut AD/LDAP « PhysicalDeliveryOfficeName ».
2. Sur l'ASA, afin de créer une table de mappage d'attribut LDAP, mappez l'attribut AD/LDAP « PhysicalDeliveryOfficeName » à l'attribut ASA « Banner1 » :
   

   B200-54(config)# show run ldap
   ldap attribute-map Banner
    map-name  physicalDeliveryOfficeName Banner1

3. Associez le mappage d'attribut LDAP à l'entrée aaa-server :
   

   B200-54(config-time-range)# show runn aaa-server microsoft
   
   aaa-server microsoft protocol ldap
   aaa-server microsoft host audi-qa.frdevtestad.local
    ldap-base-dn dc=frdevtestad,dc=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password hello
    ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
    ldap-attribute-map Banner

4. Établissez la session d'accès à distance et vérifiez que la bannière “ Bienvenue dans LDAP ! ! ! ! ” est présenté à l'utilisateur VPN.

2. Placer des utilisateurs LDAP dans une stratégie de groupe spécifique - Exemple générique

Cet exemple montre l'authentification de user1 sur le serveur AD-LDAP et récupère la valeur du champ de service afin qu'elle puisse être mappée à une stratégie de groupe ASA/PIX à partir de laquelle les stratégies seront appliquées.

1. Sur le serveur AD/LDAP :

   • Sélectionnez user1.
   • Cliquez avec le bouton droit de la souris > Propriétés.
   • Sélectionnez un onglet à utiliser pour définir un attribut (Exemple). Onglet Organisation).
   • Sélectionnez un champ/attribut, par exemple « Service », à utiliser pour appliquer une stratégie de groupe, et entrez la valeur de la stratégie de groupe (Group-Policy1) sur l'ASA/PIX. La configuration « Service » de l'interface utilisateur graphique est stockée dans l'attribut « Service » AD/LDAP.
2. Définissez une table ldap-attribute-map.
   

   5520-1(config)# show runn ldap
   ldap attribute-map Our-AD-Map
   map-name  department Group-Policy
   5520-1(config)#

   Remarque:  Suite à la mise en oeuvre de l'ID de bogue Cisco CSCsv43552, un nouvel attribut ldap-attribute-map, Group-Policy, a été introduit afin de remplacer IETF-Radius-Class. L'interface de ligne de commande sur ASA version 8.2 prend en charge le mot clé IETF-Radius-Class comme choix valide dans les commandes map-name et map-value afin de lire un fichier de configuration 8.0 (scénario de mise à niveau logicielle). Le code ASDM (Adaptive Security Device Manager) a déjà été mis à jour pour ne plus afficher IETF-Radius-Class comme choix lorsque vous configurez une entrée de mappage d'attribut. En outre, ASDM écrira l'attribut IETF-Radius-Class (s'il est lu dans une configuration 8.0) comme attribut Group-Policy.

3. Définissez la stratégie de groupe Group_policy1 sur l'appliance et les attributs de stratégie requis.
4. Établissez le tunnel d'accès à distance VPN et vérifiez que la session hérite des attributs de Group-Policy1 (et de tous les autres attributs applicables de Group-Policy par défaut).

   Remarque: Ajoutez d'autres attributs à la carte si nécessaire. Cet exemple montre uniquement le minimum nécessaire pour contrôler cette fonction spécifique (placer un utilisateur dans une stratégie de groupe ASA/PIX 7.1.x spécifique). Le troisième exemple montre ce type de carte.

Configurer une stratégie de groupe NOACCESS

Vous pouvez créer une stratégie de groupe NOACCESS afin de refuser la connexion VPN lorsque l'utilisateur ne fait partie d'aucun des groupes LDAP. Cet extrait de configuration s'affiche à titre de référence :

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol IPSec webvpn

Vous devez appliquer cette stratégie de groupe comme stratégie de groupe par défaut au groupe de tunnels. Cela permet aux utilisateurs qui obtiennent un mappage à partir de la carte d'attribut LDAP, par exemple ceux qui appartiennent à un groupe LDAP souhaité, d'obtenir leurs stratégies de groupe souhaitées et aux utilisateurs qui n'obtiennent aucun mappage, par exemple ceux qui n'appartiennent à aucun des groupes LDAP souhaités, d'obtenir la stratégie de groupe NOACCESS à partir du groupe de tunnels, qui bloque l'accès pour eux.

Astuce : Puisque l'attribut vpn-simultanationlogins est défini sur 0 ici, il doit également être explicitement défini dans toutes les autres stratégies de groupe ; sinon, il sera hérité de la stratégie de groupe par défaut pour ce groupe de tunnels, qui dans ce cas est la stratégie NOACCESS.

3. Application de la stratégie d'attributs basée sur le groupe - Exemple

Remarque: L'implémentation/la correction de l'ID de bogue Cisco CSCse08736 est requise, de sorte que l'ASA doit exécuter au moins la version 7.2.2.

1. Sur le serveur AD-LDAP, Utilisateurs et ordinateurs Active Directory, configurez un enregistrement utilisateur (VPNUserGroup) qui représente un groupe où les attributs VPN sont configurés.
2. Sur le serveur AD-LDAP, Utilisateurs et ordinateurs Active Directory, définissez le champ Service de chaque enregistrement utilisateur pour pointer vers l'enregistrement de groupe (VPNUserGroup) de l'étape 1. Le nom d'utilisateur dans cet exemple est web1.

   Remarque: L'attribut AD du service a été utilisé uniquement parce que logiquement, « service » fait référence à la politique de groupe. En réalité, n'importe quel domaine pourrait être utilisé. La condition est que ce champ doit correspondre à l'attribut Cisco VPN Group-Policy, comme indiqué dans cet exemple.

3. Définissez une table ldap-attribute-map :
   

   5520-1(config)# show runn ldap
   ldap attribute-map Our-AD-Map
   map-name  department IETF-Radius-Class
   map-name  description\Banner1
   map-name  physicalDeliveryOfficeName IETF-Radius-Session-Timeout
   5520-1(config)#

   Les deux attributs AD-LDAP Description et Office (représentés par la description des noms AD et PhysicalDeliveryOfficeName) sont les attributs d'enregistrement de groupe (pour VPONSerGroup) qui correspondent aux attributs VPN Cisco Banner1 et IETF-Radius-Session-Timeout.

   L'attribut service est que l'enregistrement utilisateur doit correspondre au nom de la stratégie de groupe externe sur l'ASA (VPONSer), qui est ensuite mappé à l'enregistrement VPNuserGroup sur le serveur AD-LDAP, où les attributs sont définis.

   Remarque: L'attribut Cisco (Group-Policy ) doit être défini dans la ldap-attribute-map. Son attribut AD mappé peut être n'importe quel attribut AD paramétrable. Cet exemple utilise le service, car il s'agit du nom le plus logique faisant référence à la stratégie de groupe.

4. Configurez le serveur aaa avec le nom ldap-attribute-map à utiliser pour les opérations AAA (Authentication, Authorization, and Accounting) LDAP :

   5520-1(config)# show runn aaa-server LDAP-AD11
   aaa-server LDAP-AD11 protocol ldap
   aaa-server LDAP-AD11 host 90.148.1.11
   ldap-base-dn cn=Users,dc=nelson,dc=cisco,dc=com
   ldap-scope onelevel
   ldap-naming-attribute sAMAccountName
   ldap-login-password altiga
   ldap-login-dn cn=Administrator,cn=Users,dc=nelson,dc=cisco,dc=com
   ldap-attribute-map Our-AD-Map
   5520-1(config)#

5. Définissez un groupe de tunnels avec l'authentification LDAP ou l'autorisation LDAP.
   • Exemple avec l'authentification LDAP. Effectue l'application de la stratégie d'attribut d'authentification + (autorisation) si les attributs sont définis.

     5520-1(config)# show runn tunnel-group 
     remoteAccessLDAPTunnelGroup
     tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
     authentication-server-group  LDAP-AD11
     accounting-server-group RadiusACS28
     5520-1(config)#

   • Exemple avec l'autorisation LDAP. Configuration utilisée pour l'utilisation des certificats numériques.

     5520-1(config)# show runn tunnel-group
      remoteAccessLDAPTunnelGroup
     tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
     authentication-server-group none
     authorization-server-group LDAP-AD11
     accounting-server-group RadiusACS28
     authorization-required
     authorization-dn-attributes ea
     5520-1(config)#

6. Définissez une stratégie de groupe externe. Le nom de la stratégie de groupe est la valeur de l'enregistrement utilisateur AD-LDAP qui représente le groupe (VPNUserGroup).

   5520-1(config)# show runn group-policy VPNUserGroup
   group-policy VPNUserGroup external server-group LDAP-AD11
   5520-1(config)#

7. Établissez le tunnel et vérifiez que les attributs sont appliqués. Dans ce cas, la bannière et le délai d'attente de session sont appliqués à partir de l'enregistrement VPNuserGroup sur AD.

4. Application Active Directory des “ Affecter une ” d'adresse IP statique pour les tunnels IPsec et SVC

L'attribut AD est msRADIUSFramedIPAddress. L'attribut est configuré dans Propriétés de l'utilisateur AD, onglet Composer, « Attribuer une adresse IP statique ».

Voici les étapes :

1. Sur le serveur AD, sous Propriétés de l'utilisateur, onglet Composer, « Attribuer une adresse IP statique », saisissez la valeur de l'adresse IP afin d'attribuer à la session IPsec/SVC (10.20.30.6).
2. Sur l'ASA, créez une carte ldap-attribute-map avec ce mappage :

   5540-1# show running-config ldap
   ldap attribute-map Assign-IP
     map-name  msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
   5540-1#

3. Sur l'ASA, vérifiez que le vpn-address-assigment est configuré pour inclure “ vpn-addr-assignation-aaa ” :

   5520-1(config)# show runn all vpn-addr-assign
   vpn-addr-assign aaa
   no vpn-addr-assign dhcp
   vpn-addr-assign local
   5520-1(config)#

4. Établissez les sessions IPsec/SVC Remote Authority (RA) et vérifiez le avec “ show vpn-sessiondb remote|svc ” que le champ « Assigned IP » est correct (10.20.30.6).

5. Application Active Directory de “ accès à distance Accès commuté, Autoriser/Refuser l'accès ”

Prend en charge toutes les sessions d'accès à distance VPN : IPSec, WebVPN et SVC. Allow Access a la valeur TRUE. La valeur FALSE est attribuée à Refuser l'accès. Le nom de l'attribut AD est msNPAllowDialin.

Cet exemple montre la création d'une carte ldap-attribute-map qui utilise les protocoles de tunnellisation Cisco pour créer des conditions Allow Access (TRUE) et Deny (FALSE). Par exemple, si vous mappez le tunnel-protocol=L2TPover IPsec (8), vous pouvez créer une condition FALSE si vous essayez d'appliquer l'accès pour WebVPN et IPsec. La logique inverse s'applique également.

Voici les étapes :

1. Dans Propriétés de l'utilisateur 1 du serveur AD, Composer, sélectionnez l'accès autorisé ou Refuser approprié pour chaque utilisateur.

   Remarque: Si vous sélectionnez la troisième option “ Contrôle de l'accès via la stratégie d'accès à distance, ” aucune valeur n'est retournée par le serveur AD. Les autorisations appliquées sont donc basées sur le paramètre de stratégie de groupe interne ASA/PIX.

2. Sur l'ASA, créez un ldap-attribute-map avec ce mappage :

   ldap attribute-map LDAP-MAP
     map-name  msNPAllowDialin Tunneling-Protocols
     map-value msNPAllowDialin FALSE 8
     map-value msNPAllowDialin TRUE 20
   5540-1#

   Remarque: Ajoutez d'autres attributs à la carte si nécessaire. Cet exemple montre uniquement le minimum nécessaire pour contrôler cette fonction spécifique (Autoriser ou Refuser l'accès en fonction du paramètre de numérotation).

   Que signifie ou applique la ldap-attribute-map ?

   • map-value msNPAllowDialin FALSE 8

   Refuser l’accès à un utilisateur1. La condition de valeur FALSE correspond au protocole de tunnel L2TPoverIPsec, (valeur 8).

   Autoriser l'accès à user2 . La condition de valeur TRUE correspond au protocole de tunnel WebVPN + IPsec, (valeur 20).

   • Un utilisateur WebVPN/IPsec, authentifié en tant qu'utilisateur 1 sur AD, échouerait en raison d'une non-correspondance de protocole de tunnel.
   • Un L2TPoverIPsec, authentifié en tant que user1 sur AD, échouerait en raison de la règle Deny.
   • Un utilisateur WebVPN/IPsec, authentifié en tant qu'utilisateur 2 sur AD, réussirait (Autoriser la règle + le protocole de tunnel correspondant).
   • Un L2TPoverIPsec, authentifié en tant qu'utilisateur2 sur AD, échouerait en raison d'une non-correspondance de protocole de tunnel.
   
   Prise en charge du protocole de tunnel, tel que défini dans les documents RFC 2867 et 2868.

6. Application Active Directory de “ membre de ”/groupe pour autoriser ou refuser l'accès

Ce cas est étroitement lié au cas 5, il prévoit un flux plus logique et est la méthode recommandée, puisqu'il établit la vérification de l'appartenance au groupe comme condition.

1. Configurez l'utilisateur AD pour qu'il soit “ membre de ” groupe spécifique. Utilisez un nom qui le place en haut de la hiérarchie de groupe (ASA-VPN-Consultants). Dans AD-LDAP, l'appartenance au groupe est définie par l'attribut AD “ membreDe ”. Il est important que le groupe soit en haut de la liste, car vous ne pouvez actuellement appliquer les règles qu'à la première chaîne de groupe/« memberOf ». Dans la version 7.3, vous pourrez effectuer le filtrage et l'application de plusieurs groupes.
2. Sur l'ASA, créez une carte ldap-attribute-map avec le mappage minimal :

   ldap attribute-map LDAP-MAP
     map-name  memberOf Tunneling-Protocols
     map-value memberOf cn=ASA-VPN-Consultants,cn=Users,dc=abcd,dc=com 4
   5540-1#

   Remarque: Ajoutez d'autres attributs à la carte si nécessaire. Cet exemple montre uniquement le minimum nécessaire pour contrôler cette fonction spécifique (Autoriser ou Refuser l'accès en fonction de l'appartenance au groupe).

   Que signifie ou applique la ldap-attribute-map ?

   • User=joe_consultant, partie d'AD, qui est membre du groupe AD “ ASA-VPN-Consultants ” sera autorisé à accéder uniquement si l'utilisateur utilise IPsec (tunnel-protocol=4=IPSec).
   • User=joe_consultant, qui fait partie d'AD, échouera l'accès VPN au cours de tout autre client d'accès distant (PPTP/L2TP, L2TP/IPSec, WebVPN/SVC, etc.).
   • User=bill_the_hacker ne sera PAS autorisé car l'utilisateur n'a pas d'appartenance à AD.

7. Application Active Directory de “ règles d'heures de connexion/d'heure ”

Ce cas d'utilisation décrit comment configurer et appliquer les règles de l'heure sur AD/LDAP.

Voici la procédure à suivre :

1. Sur le serveur AD/LDAP :

   • Sélectionnez l'utilisateur.
   • Cliquez avec le bouton droit > Propriétés.
   • Sélectionnez un onglet à utiliser pour définir un attribut (Exemple). onglet Général).
   • Sélectionnez un champ/attribut, par exemple le champ « Office », à utiliser pour appliquer la plage de temps, et entrez le nom de la plage de temps (par exemple, Boston). La configuration « Office » de l'interface utilisateur graphique est stockée dans l'attribut AD/LDAP « PhysicalDeliveryOfficeName ».
2. Sur l'ASA
   • Créez une table de mappage d'attribut LDAP.
   • Mappez l'attribut AD/LDAP « PhysicalDeliveryOfficeName » à l'attribut ASA « Access-Hours ».

   Exemple :

   B200-54(config-time-range)# show run ldap
   ldap attribute-map TimeOfDay
     map-name  physicalDeliveryOfficeName Access-Hours

3. Sur l'ASA, associez la carte d'attribut LDAP à l'entrée aaa-server :

   B200-54(config-time-range)# show runn aaa-server microsoft
   aaa-server microsoft protocol ldap
   aaa-server microsoft host audi-qa.frdevtestad.local
    ldap-base-dn dc=frdevtestad,dc=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password hello
    ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
    ldap-attribute-map TimeOfDay

4. Sur l'ASA, créez un objet de plage de temps dont la valeur de nom est attribuée à l'utilisateur (valeur Office à l'étape 1) :

   B200-54(config-time-range)# show runn time-range
   !
   time-range Boston
   periodic weekdays 8:00 to 17:00
   !

5. Établissez la session d'accès à distance VPN :
   • La session doit aboutir si elle se situe dans le délai imparti.
   • La session doit échouer en dehors de la plage de temps.

8. Utilisez la configuration ldap-map pour mapper un utilisateur dans une stratégie de groupe spécifique et utilisez la commande autorisation-server-group, dans le cas d'une double authentification

1. Dans ce scénario, une double authentification est utilisée. Le premier serveur d'authentification utilisé est RADIUS et le deuxième serveur d'authentification utilisé est un serveur LDAP.
   1. Configurez le serveur LDAP ainsi que le serveur RADIUS. Voici un exemple :

      ASA5585-S10-K9# show runn aaa-server
      aaa-server test-ldap protocol ldap
      aaa-server test-ldap (out) host 10.201.246.130
       ldap-base-dn cn=users, dc=htts-sec, dc=com
       ldap-login-password *****
       ldap-login-dn cn=Administrator, cn=Users, dc=htts-sec, dc=com
       server-type microsoft
       ldap-attribute-map Test-Safenet-MAP
      aaa-server test-rad protocol radius
      aaa-server test-rad (out) host 10.201.249.102
       key *****

   2. Définissez le mappage d'attribut LDAP. Voici un exemple :

      ASA5585-S10-K9# show runn ldap
      ldap attribute-map Test-Safenet-MAP
       map-name memberOf IETF-Radius-Class
       map-value memberOf "CN=DHCP Users,CN=Users,DC=htts-sec,DC=com" Test-Policy-Safenet

   3. Définissez le groupe de tunnels et associez le serveur RADIUS et LDAP pour l'authentification. Voici un exemple :

      ASA5585-S10-K9# show runn tunnel-group
      tunnel-group Test_Safenet type remote-access
      tunnel-group Test_Safenet general-attributes
       address-pool RA_VPN_IP_Pool
       authentication-server-group test-rad
       secondary-authentication-server-group test-ldap use-primary-username
       default-group-policy NoAccess
      tunnel-group Test_Safenet webvpn-attributes
        group-alias Test_Safenet enable

   4. Affichez la stratégie de groupe utilisée dans la configuration tunnel-group :

      ASA5585-S10-K9# show runn group-policy
      group-policy NoAccess internal
      group-policy NoAccess attributes
       wins-server none
       dns-server value 10.34.32.227 10.34.32.237
       vpn-simultaneous-logins 0
       default-domain none
      group-policy Test-Policy-Safenet internal
      group-policy Test-Policy-Safenet attributes
       dns-server value 10.34.32.227 10.34.32.237
       vpn-simultaneous-logins 15 
       vpn-idle-timeout 30 
       vpn-tunnel-protocol ikev1 ssl-client ssl-clientless
       split-tunnel-policy tunnelspecified
       split-tunnel-network-list value Safenet-Group-Policy-SplitAcl
       default-domain none

      Avec cette configuration, les utilisateurs AnyConnect qui ont été correctement mappés avec l'utilisation des attributs LDAP n'ont pas été placés dans la stratégie de groupe Test-Policy-Safenet. Au lieu de cela, ils ont toujours été placés dans la stratégie de groupe par défaut, dans ce cas NoAccess.

      Reportez-vous à l'extrait des débogages (debug ldap 255) et aux syslogs au niveau des informations :

      --------------------------------------------------------------------------------
      
      memberOf: value = CN=DHCP Users,CN=Users,DC=htts-sec,DC=com
      
      [47]                       mapped to IETF-Radius-Class: value = Test-Policy-Safenet
      
      [47]                       mapped to LDAP-Class: value = Test-Policy-Safenet
      
      --------------------------------------------------------------------------------
      
      Syslogs :   
      
      %ASA-6-113004: AAA user authentication Successful : server = 10.201.246.130 : user = test123
      
      %ASA-6-113003: AAA group policy for user test123 is being set to Test-Policy-Safenet
      
      %ASA-6-113011: AAA retrieved user specific group policy (Test-Policy-Safenet) for user =
      test123
      
      %ASA-6-113009: AAA retrieved default group policy (NoAccess) for user = test123
      
      %ASA-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins
      exceeded for user : user = test123
      
      %ASA-6-716039: Group <DfltGrpPolicy> User <test123> IP <10.116.122.154> Authentication: 
      rejected, Session Type: WebVPN.

      Ces syslogs montrent une défaillance lorsque l'utilisateur a reçu la stratégie de groupe NoAccess dont la connexion simultanée était définie sur 0, même si les syslogs indiquent qu'il a récupéré une stratégie de groupe spécifique à l'utilisateur.

      Pour que l'utilisateur soit affecté dans la stratégie de groupe, en fonction de la carte LDAP, vous devez disposer de la commande suivante : Authorization-server-group test-ldap (dans ce cas, test-ldap est le nom du serveur LDAP). Voici un exemple :

      ASA5585-S10-K9# show runn tunnel-group
      tunnel-group Test_Safenet type remote-access
      tunnel-group Test_Safenet general-attributes
       address-pool RA_VPN_IP_Pool
       authentication-server-group test-rad
       secondary-authentication-server-group test-ldap use-primary-username
       authorization-server-group test-ldap
       default-group-policy NoAccess
      tunnel-group Test_Safenet webvpn-attributes
        group-alias Test_Safenet enable

2. Maintenant, si le premier serveur d'authentification (RADIUS, dans cet exemple) a envoyé les attributs spécifiques à l'utilisateur, par exemple l'attribut IEFT-class, dans ce cas, l'utilisateur sera mappé à la stratégie de groupe envoyée par RADIUS. Ainsi, même si le serveur secondaire a une carte LDAP configurée et que les attributs LDAP de l'utilisateur mappent l'utilisateur à une autre stratégie de groupe, la stratégie de groupe envoyée par le premier serveur d'authentification sera appliquée.

   Pour que l'utilisateur puisse placer dans une stratégie de groupe basée sur l'attribut de mappage LDAP, vous devez spécifier cette commande sous le tunnel-group : Authorization-server-group test-ldap.

3. Si le premier serveur d'authentification est SDI ou OTP, qui ne peut pas passer l'attribut spécifique à l'utilisateur, alors l'utilisateur tomberait dans la stratégie de groupe par défaut du groupe de tunnels. Dans ce cas, NoAccess, même si le mappage LDAP est correct.

   Dans ce cas, vous aurez également besoin de la commande autorisation-server-group test-ldap, sous le tunnel-group pour que l'utilisateur soit placé dans la stratégie de groupe correcte.

4. Si les deux serveurs sont les mêmes serveurs RADIUS ou LDAP, vous n'avez pas besoin de la commande Authorization-server-group pour que le verrouillage de stratégie de groupe fonctionne.

Vérification

ASA5585-S10-K9# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : test123                  Index        : 2
Assigned IP  : 10.34.63.1             Public IP    : 10.116.122.154
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : 3DES 3DES 3DES         Hashing      : SHA1 SHA1 SHA1
Bytes Tx     : 14042                  Bytes Rx     : 8872
Group Policy : Test-Policy-Safenet    Tunnel Group : Test_Safenet
Login Time   : 10:45:28 UTC Fri Sep 12 2014
Duration     : 0h:01m:12s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

Dépannage

Utilisez cette section afin de dépanner votre configuration.

Déboguer la transaction LDAP

Ces débogages peuvent être utilisés afin d'aider à isoler les problèmes avec la configuration DAP :

• debug ldap 255
• debug dap trace
• debug aaa authentication

ASA ne peut pas authentifier les utilisateurs à partir du serveur LDAP

Si l'ASA ne peut pas authentifier les utilisateurs à partir du serveur LDAP, voici quelques exemples de débogages :

ldap 255 output:[1555805] Session Start[1555805] New request Session, context
0xcd66c028, reqType = 1[1555805]
Fiber started[1555805] Creating LDAP context with uri=ldaps://172.30.74.70:636
[1555805] Connect to LDAP server:
ldaps://172.30.74.70:636, status = Successful[1555805] supportedLDAPVersion:
value = 3[1555805]
supportedLDAPVersion: value = 2[1555805] Binding as administrator[1555805]
Performing Simple
authentication for sysservices to 172.30.74.70[1555805] Simple authentication
for sysservices returned code (49)
Invalid credentials[1555805] Failed to bind as administrator returned code
(-1) Can't contact LDAP server[1555805]
Fiber exit Tx=222 bytes Rx=605 bytes, status=-2[1555805] Session End

À partir de ces débogages, soit le format du DN de connexion LDAP est incorrect, soit le mot de passe est incorrect. Vérifiez donc les deux afin de résoudre le problème.