Avez-vous un compte?
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment utiliser des mappages d'attributs LDAP (Lightweight Directory Access Protocol) afin de configurer des stratégies d'accès dynamique granulaires sur un appareil de sécurité adaptatif (ASA).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations de ce document sont basées sur la plate-forme matérielle ASA-5xxx qui fonctionne comme concentrateur/serveur VPN pour accès distant VPN SSL (AnyConnect et Clientless/WebVPN) et sessions IPsec.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
LDAP est un protocole d'application ouvert, indépendant du fournisseur et standard pour accéder aux services d'informations d'annuaire distribués et les gérer sur un réseau IP. Les services d'annuaire jouent un rôle important dans le développement d'applications intranet et Internet, car ils permettent le partage d'informations sur les utilisateurs, les systèmes, les réseaux, les services et les applications sur l'ensemble du réseau.
Fréquemment, les administrateurs veulent fournir à des utilisateurs VPN différentes autorisations d'accès ou de contenu WebVPN. Cela peut être fait si vous configurez différentes stratégies VPN sur le serveur VPN et affectez ces jeux de stratégies à chaque utilisateur en fonction de leurs informations d'identification. Bien que cela puisse être fait manuellement, il est plus efficace d'automatiser le processus avec les services d'annuaire. Afin d'utiliser LDAP pour affecter une stratégie de groupe à un utilisateur, vous devez configurer une carte qui mappe un attribut LDAP, tel que le membre de l'attribut Active Directory (AD), à l'attribut IETF-Radius-Class ou Group-Policy compris par la tête de réseau VPN.
Remarque: Sur les têtes de réseau Cisco IOS, la même chose peut être obtenue si vous configurez différents groupes de stratégies sous le contexte WebVPN et utilisez des mappages d'attributs LDAP afin de déterminer quel groupe de stratégies l'utilisateur sera affecté comme décrit dans le document. Voir Exemple de configuration de l'affectation de groupe de stratégies pour les clients AnyConnect qui utilisent LDAP sur les têtes de réseau Cisco IOS.
Sur l'ASA, ceci est régulièrement réalisé grâce à l'affectation de différentes stratégies de groupe à différents utilisateurs. Quand l'authentification LDAP est en service, ceci peut être réalisé automatiquement avec une carte d'attribut LDAP. Afin d'utiliser LDAP pour affecter une stratégie de groupe à un utilisateur, vous devez mapper un attribut LDAP, tel que le membre de l'attribut AD à l'attribut Group-Policy compris par l'ASA. Une fois le mappage d'attribut établi, vous devez mapper la valeur d'attribut configurée sur le serveur LDAP au nom d'une stratégie de groupe sur l'ASA.
Remarque : l'attribut memberOf correspond au groupe dont l'utilisateur fait partie dans Active Directory. Il est possible pour un utilisateur d'être membre de plusieurs groupes dans Active Directory. Cela entraîne l'envoi par le serveur de plusieurs attributs memberOf, mais l'ASA ne peut faire correspondre qu'un attribut à une stratégie de groupe.
A. Non, il n'y a pas de limites. ldap-attribute-maps sont alloués dynamiquement pendant la session d'accès à distance VPN qui utilise l'authentification/autorisation LDAP.
A. Aucune limite de configuration.
A. Aucune restriction. Le code LDAP vérifie uniquement que le nom ldap-attribute-map est valide.
A. Oui. Ici, seule AD est expliquée, mais elle s'applique à tout serveur LDAP qui utilise des attributs à plusieurs valeurs pour les décisions de stratégie. La ldap-attribute-map a une limite avec des attributs à valeurs multiples comme le membre ADOf. Si un utilisateur est membreDe plusieurs groupes AD (ce qui est courant) et que la ldap-attribute-map correspond à plusieurs d'entre eux, la valeur mappée sera choisie en fonction de l'alphabétisme des entrées correspondantes. Comme ce comportement n'est ni évident ni intuitif, il est important d'avoir une connaissance claire de son fonctionnement.
Résumé : si le mappage LDAP donne plusieurs valeurs pour un attribut, la valeur finale de l'attribut sera choisie comme suit :
Active Directory-LDAP renvoie ces quatre instances de membreOf pour une demande d'authentification ou d'autorisation utilisateur :
memberOf: value = CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Cisco-Eng,CN=Users,DC=stbu,OU=cisco,DC=com
memberOf: value = CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com
LDAP-MAP #1 : Supposez que cette carte-attribut-ldap est configurée pour mapper différentes stratégies de groupe ASA en fonction du paramètre memberOf :
ldap attribute-map Class
map-name memberOf Group-Policy
map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup4
map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1
Dans ce cas, des correspondances se produiront sur les quatre valeurs de stratégie de groupe (ASAGroup1 - ASAGroup4). Cependant, la connexion sera affectée à la stratégie de groupe ASAGroup1 car elle se produit en premier dans l'ordre alphabétique.
LDAP-MAP #2 : Cette carte-attribut-ldap est identique, sauf que le premier membreOf n'a pas de valeur-carte explicite assignée (aucun groupe ASAG4). Notez que lorsqu'aucune valeur de mappage explicite n'est définie, le texte d'attribut reçu de LDAP est utilisé.
ldap attribute-map Class
map-name memberOf Group-Policy
map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1
Comme dans le cas précédent, des correspondances se produisent sur les quatre entrées. Dans ce cas, étant donné qu'aucune valeur mappée n'est fournie pour l'entrée APP-SSL-VPN, la valeur mappée sera par défaut définie sur CN=APP-SSL-VPN Managers, CN=Users, OU=stbu, DC=cisco, DC=com. Puisque CN=APP-SSL-VPN apparaît en premier dans l'ordre alphabétique, APP-SSL-VPN sera sélectionné comme valeur de stratégie.
Référez-vous à l'ID de bogue Cisco CSCub64284 pour plus d'informations. Reportez-vous à PIX/ASA 8.0 : Utilisez l'authentification LDAP pour attribuer une stratégie de groupe à la connexion, qui affiche un cas LDAP simple avec memberOf qui peut fonctionner dans votre déploiement particulier.
Remarque : dans un membre de DN tel que « CN=Engineering, OU=Office1, DC=cisco, DC=com », vous ne pouvez prendre la décision que sur le premier DN, c'est-à-dire CN=Engineering, et non sur l'unité d'organisation (OU). Il y a une amélioration pour pouvoir filtrer sur n'importe quel champ DN.
Remarque: Chaque exemple décrit dans cette section est une configuration autonome, mais peut être mélangée et appariée l'une avec l'autre pour produire la stratégie d'accès souhaitée.
Astuce : Les noms et les valeurs des attributs sont sensibles à la casse. Si le mappage ne se produit pas correctement, assurez-vous que l'orthographe et la majuscule correctes ont été utilisées dans la carte d'attribut LDAP pour les noms et les valeurs des attributs Cisco et LDAP.
Tout attribut LDAP standard peut être mappé à un attribut VSA (Vendor Specific Attribute) d'appliance connu. Un ou plusieurs attributs LDAP peuvent être mappés à un ou plusieurs attributs LDAP Cisco. Pour obtenir la liste complète des VSA LDAP Cisco, référez-vous à Attributs Cisco pris en charge pour l'autorisation LDAP. Cet exemple montre comment appliquer une bannière pour LDAP user1. L’utilisateur 1 peut être n’importe quel type d’accès à distance VPN : IPsec, SVC ou WebVPN sans client. Cet exemple utilise le champ Propriétés/Général/Attribut Office pour appliquer la bannière 1.
Remarque: Vous pouvez utiliser l'attribut/le champ AD Department pour mapper vers Cisco IETF-Radius-Class VSA afin d'appliquer des stratégies à partir d'une stratégie de groupe ASA/PIX. Il en existe des exemples plus loin dans le document.
Le mappage d'attribut LDAP (pour Microsoft AD et Sun) est pris en charge à partir de la version 7.1.x de PIX/ASA. Tout attribut Microsoft/AD peut être mappé à un attribut Cisco. Voici la procédure à suivre :
Sur le serveur AD/LDAP :
B200-54(config)# show run ldap
ldap attribute-map Banner
map-name physicalDeliveryOfficeName Banner1
B200-54(config-time-range)# show runn aaa-server microsoft
aaa-server microsoft protocol ldap
aaa-server microsoft host audi-qa.frdevtestad.local
ldap-base-dn dc=frdevtestad,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password hello
ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
ldap-attribute-map Banner
Cet exemple montre l'authentification de user1 sur le serveur AD-LDAP et récupère la valeur du champ de service afin qu'elle puisse être mappée à une stratégie de groupe ASA/PIX à partir de laquelle les stratégies seront appliquées.
Sur le serveur AD/LDAP :
5520-1(config)# show runn ldap
ldap attribute-map Our-AD-Map
map-name department Group-Policy
5520-1(config)#
Remarque: Suite à la mise en oeuvre de l'ID de bogue Cisco CSCsv43552, un nouvel attribut ldap-attribute-map, Group-Policy, a été introduit afin de remplacer IETF-Radius-Class. L'interface de ligne de commande sur ASA version 8.2 prend en charge le mot clé IETF-Radius-Class comme choix valide dans les commandes map-name et map-value afin de lire un fichier de configuration 8.0 (scénario de mise à niveau logicielle). Le code ASDM (Adaptive Security Device Manager) a déjà été mis à jour pour ne plus afficher IETF-Radius-Class comme choix lorsque vous configurez une entrée de mappage d'attribut. En outre, ASDM écrira l'attribut IETF-Radius-Class (s'il est lu dans une configuration 8.0) comme attribut Group-Policy.
Remarque: Ajoutez d'autres attributs à la carte si nécessaire. Cet exemple montre uniquement le minimum nécessaire pour contrôler cette fonction spécifique (placer un utilisateur dans une stratégie de groupe ASA/PIX 7.1.x spécifique). Le troisième exemple montre ce type de carte.
Vous pouvez créer une stratégie de groupe NOACCESS afin de refuser la connexion VPN lorsque l'utilisateur ne fait partie d'aucun des groupes LDAP. Cet extrait de configuration s'affiche à titre de référence :
group-policy NOACCESS internal
group-policy NOACCESS attributes
vpn-simultaneous-logins 0
vpn-tunnel-protocol IPSec webvpn
Vous devez appliquer cette stratégie de groupe comme stratégie de groupe par défaut au groupe de tunnels. Cela permet aux utilisateurs qui obtiennent un mappage à partir de la carte d'attribut LDAP, par exemple ceux qui appartiennent à un groupe LDAP souhaité, d'obtenir leurs stratégies de groupe souhaitées et aux utilisateurs qui n'obtiennent aucun mappage, par exemple ceux qui n'appartiennent à aucun des groupes LDAP souhaités, d'obtenir la stratégie de groupe NOACCESS à partir du groupe de tunnels, qui bloque l'accès pour eux.
Astuce : Puisque l'attribut vpn-simultanationlogins est défini sur 0 ici, il doit également être explicitement défini dans toutes les autres stratégies de groupe ; sinon, il sera hérité de la stratégie de groupe par défaut pour ce groupe de tunnels, qui dans ce cas est la stratégie NOACCESS.
Remarque: L'implémentation/la correction de l'ID de bogue Cisco CSCse08736 est requise, de sorte que l'ASA doit exécuter au moins la version 7.2.2.
Remarque: L'attribut AD du service a été utilisé uniquement parce que logiquement, « service » fait référence à la politique de groupe. En réalité, n'importe quel domaine pourrait être utilisé. La condition est que ce champ doit correspondre à l'attribut Cisco VPN Group-Policy, comme indiqué dans cet exemple.
5520-1(config)# show runn ldap
ldap attribute-map Our-AD-Map
map-name department IETF-Radius-Class
map-name description\Banner1
map-name physicalDeliveryOfficeName IETF-Radius-Session-Timeout
5520-1(config)#
Les deux attributs AD-LDAP Description et Office (représentés par la description des noms AD et PhysicalDeliveryOfficeName) sont les attributs d'enregistrement de groupe (pour VPONSerGroup) qui correspondent aux attributs VPN Cisco Banner1 et IETF-Radius-Session-Timeout.
L'attribut service est que l'enregistrement utilisateur doit correspondre au nom de la stratégie de groupe externe sur l'ASA (VPONSer), qui est ensuite mappé à l'enregistrement VPNuserGroup sur le serveur AD-LDAP, où les attributs sont définis.
Remarque: L'attribut Cisco (Group-Policy ) doit être défini dans la ldap-attribute-map. Son attribut AD mappé peut être n'importe quel attribut AD paramétrable. Cet exemple utilise le service, car il s'agit du nom le plus logique faisant référence à la stratégie de groupe.
5520-1(config)# show runn aaa-server LDAP-AD11
aaa-server LDAP-AD11 protocol ldap
aaa-server LDAP-AD11 host 90.148.1.11
ldap-base-dn cn=Users,dc=nelson,dc=cisco,dc=com
ldap-scope onelevel
ldap-naming-attribute sAMAccountName
ldap-login-password altiga
ldap-login-dn cn=Administrator,cn=Users,dc=nelson,dc=cisco,dc=com
ldap-attribute-map Our-AD-Map
5520-1(config)#
5520-1(config)# show runn tunnel-group
remoteAccessLDAPTunnelGroup
tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
authentication-server-group LDAP-AD11
accounting-server-group RadiusACS28
5520-1(config)#
5520-1(config)# show runn tunnel-group
remoteAccessLDAPTunnelGroup
tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
authentication-server-group none
authorization-server-group LDAP-AD11
accounting-server-group RadiusACS28
authorization-required
authorization-dn-attributes ea
5520-1(config)#
5520-1(config)# show runn group-policy VPNUserGroup
group-policy VPNUserGroup external server-group LDAP-AD11
5520-1(config)#
L'attribut AD est msRADIUSFramedIPAddress. L'attribut est configuré dans Propriétés de l'utilisateur AD, onglet Composer, « Attribuer une adresse IP statique ».
Voici les étapes :
5540-1# show running-config ldap
ldap attribute-map Assign-IP
map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
5540-1#
5520-1(config)# show runn all vpn-addr-assign
vpn-addr-assign aaa
no vpn-addr-assign dhcp
vpn-addr-assign local
5520-1(config)#
Prend en charge toutes les sessions d'accès à distance VPN : IPSec, WebVPN et SVC. Allow Access a la valeur TRUE. La valeur FALSE est attribuée à Refuser l'accès. Le nom de l'attribut AD est msNPAllowDialin.
Cet exemple montre la création d'une carte ldap-attribute-map qui utilise les protocoles de tunnellisation Cisco pour créer des conditions Allow Access (TRUE) et Deny (FALSE). Par exemple, si vous mappez le tunnel-protocol=L2TPover IPsec (8), vous pouvez créer une condition FALSE si vous essayez d'appliquer l'accès pour WebVPN et IPsec. La logique inverse s'applique également.
Voici les étapes :
Remarque: Si vous sélectionnez la troisième option “ Contrôle de l'accès via la stratégie d'accès à distance, ” aucune valeur n'est retournée par le serveur AD. Les autorisations appliquées sont donc basées sur le paramètre de stratégie de groupe interne ASA/PIX.
ldap attribute-map LDAP-MAP
map-name msNPAllowDialin Tunneling-Protocols
map-value msNPAllowDialin FALSE 8
map-value msNPAllowDialin TRUE 20
5540-1#
Remarque: Ajoutez d'autres attributs à la carte si nécessaire. Cet exemple montre uniquement le minimum nécessaire pour contrôler cette fonction spécifique (Autoriser ou Refuser l'accès en fonction du paramètre de numérotation).
Que signifie ou applique la ldap-attribute-map ?
Refuser l’accès à un utilisateur1. La condition de valeur FALSE correspond au protocole de tunnel L2TPoverIPsec, (valeur 8).
Autoriser l'accès à user2 . La condition de valeur TRUE correspond au protocole de tunnel WebVPN + IPsec, (valeur 20).
Ce cas est étroitement lié au cas 5, il prévoit un flux plus logique et est la méthode recommandée, puisqu'il établit la vérification de l'appartenance au groupe comme condition.
ldap attribute-map LDAP-MAP
map-name memberOf Tunneling-Protocols
map-value memberOf cn=ASA-VPN-Consultants,cn=Users,dc=abcd,dc=com 4
5540-1#
Remarque: Ajoutez d'autres attributs à la carte si nécessaire. Cet exemple montre uniquement le minimum nécessaire pour contrôler cette fonction spécifique (Autoriser ou Refuser l'accès en fonction de l'appartenance au groupe).
Que signifie ou applique la ldap-attribute-map ?
Ce cas d'utilisation décrit comment configurer et appliquer les règles de l'heure sur AD/LDAP.
Voici la procédure à suivre :
Sur le serveur AD/LDAP :
Exemple :
B200-54(config-time-range)# show run ldap
ldap attribute-map TimeOfDay
map-name physicalDeliveryOfficeName Access-Hours
B200-54(config-time-range)# show runn aaa-server microsoft
aaa-server microsoft protocol ldap
aaa-server microsoft host audi-qa.frdevtestad.local
ldap-base-dn dc=frdevtestad,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password hello
ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
ldap-attribute-map TimeOfDay
B200-54(config-time-range)# show runn time-range
!
time-range Boston
periodic weekdays 8:00 to 17:00
!
ASA5585-S10-K9# show runn aaa-server
aaa-server test-ldap protocol ldap
aaa-server test-ldap (out) host 10.201.246.130
ldap-base-dn cn=users, dc=htts-sec, dc=com
ldap-login-password *****
ldap-login-dn cn=Administrator, cn=Users, dc=htts-sec, dc=com
server-type microsoft
ldap-attribute-map Test-Safenet-MAP
aaa-server test-rad protocol radius
aaa-server test-rad (out) host 10.201.249.102
key *****
ASA5585-S10-K9# show runn ldap
ldap attribute-map Test-Safenet-MAP
map-name memberOf IETF-Radius-Class
map-value memberOf "CN=DHCP Users,CN=Users,DC=htts-sec,DC=com" Test-Policy-Safenet
ASA5585-S10-K9# show runn tunnel-group
tunnel-group Test_Safenet type remote-access
tunnel-group Test_Safenet general-attributes
address-pool RA_VPN_IP_Pool
authentication-server-group test-rad
secondary-authentication-server-group test-ldap use-primary-username
default-group-policy NoAccess
tunnel-group Test_Safenet webvpn-attributes
group-alias Test_Safenet enable
ASA5585-S10-K9# show runn group-policy
group-policy NoAccess internal
group-policy NoAccess attributes
wins-server none
dns-server value 10.34.32.227 10.34.32.237
vpn-simultaneous-logins 0
default-domain none
group-policy Test-Policy-Safenet internal
group-policy Test-Policy-Safenet attributes
dns-server value 10.34.32.227 10.34.32.237
vpn-simultaneous-logins 15
vpn-idle-timeout 30
vpn-tunnel-protocol ikev1 ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Safenet-Group-Policy-SplitAcl
default-domain none
Avec cette configuration, les utilisateurs AnyConnect qui ont été correctement mappés avec l'utilisation des attributs LDAP n'ont pas été placés dans la stratégie de groupe Test-Policy-Safenet. Au lieu de cela, ils ont toujours été placés dans la stratégie de groupe par défaut, dans ce cas NoAccess.
Reportez-vous à l'extrait des débogages (debug ldap 255) et aux syslogs au niveau des informations :
--------------------------------------------------------------------------------
memberOf: value = CN=DHCP Users,CN=Users,DC=htts-sec,DC=com
[47] mapped to IETF-Radius-Class: value = Test-Policy-Safenet
[47] mapped to LDAP-Class: value = Test-Policy-Safenet
--------------------------------------------------------------------------------
Syslogs :
%ASA-6-113004: AAA user authentication Successful : server = 10.201.246.130 : user = test123
%ASA-6-113003: AAA group policy for user test123 is being set to Test-Policy-Safenet
%ASA-6-113011: AAA retrieved user specific group policy (Test-Policy-Safenet) for user =
test123
%ASA-6-113009: AAA retrieved default group policy (NoAccess) for user = test123
%ASA-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins
exceeded for user : user = test123
%ASA-6-716039: Group <DfltGrpPolicy> User <test123> IP <10.116.122.154> Authentication:
rejected, Session Type: WebVPN.
Ces syslogs montrent une défaillance lorsque l'utilisateur a reçu la stratégie de groupe NoAccess dont la connexion simultanée était définie sur 0, même si les syslogs indiquent qu'il a récupéré une stratégie de groupe spécifique à l'utilisateur.
Pour que l'utilisateur soit affecté dans la stratégie de groupe, en fonction de la carte LDAP, vous devez disposer de la commande suivante : Authorization-server-group test-ldap (dans ce cas, test-ldap est le nom du serveur LDAP). Voici un exemple :
ASA5585-S10-K9# show runn tunnel-group
tunnel-group Test_Safenet type remote-access
tunnel-group Test_Safenet general-attributes
address-pool RA_VPN_IP_Pool
authentication-server-group test-rad
secondary-authentication-server-group test-ldap use-primary-username
authorization-server-group test-ldap
default-group-policy NoAccess
tunnel-group Test_Safenet webvpn-attributes
group-alias Test_Safenet enable
Pour que l'utilisateur puisse placer dans une stratégie de groupe basée sur l'attribut de mappage LDAP, vous devez spécifier cette commande sous le tunnel-group : Authorization-server-group test-ldap.
Dans ce cas, vous aurez également besoin de la commande autorisation-server-group test-ldap, sous le tunnel-group pour que l'utilisateur soit placé dans la stratégie de groupe correcte.
ASA5585-S10-K9# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : test123 Index : 2
Assigned IP : 10.34.63.1 Public IP : 10.116.122.154
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : 3DES 3DES 3DES Hashing : SHA1 SHA1 SHA1
Bytes Tx : 14042 Bytes Rx : 8872
Group Policy : Test-Policy-Safenet Tunnel Group : Test_Safenet
Login Time : 10:45:28 UTC Fri Sep 12 2014
Duration : 0h:01m:12s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
Utilisez cette section afin de dépanner votre configuration.
Ces débogages peuvent être utilisés afin d'aider à isoler les problèmes avec la configuration DAP :
Si l'ASA ne peut pas authentifier les utilisateurs à partir du serveur LDAP, voici quelques exemples de débogages :
ldap 255 output:[1555805] Session Start[1555805] New request Session, context
0xcd66c028, reqType = 1[1555805]
Fiber started[1555805] Creating LDAP context with uri=ldaps://172.30.74.70:636
[1555805] Connect to LDAP server:
ldaps://172.30.74.70:636, status = Successful[1555805] supportedLDAPVersion:
value = 3[1555805]
supportedLDAPVersion: value = 2[1555805] Binding as administrator[1555805]
Performing Simple
authentication for sysservices to 172.30.74.70[1555805] Simple authentication
for sysservices returned code (49)
Invalid credentials[1555805] Failed to bind as administrator returned code
(-1) Can't contact LDAP server[1555805]
Fiber exit Tx=222 bytes Rx=605 bytes, status=-2[1555805] Session End
À partir de ces débogages, soit le format du DN de connexion LDAP est incorrect, soit le mot de passe est incorrect. Vérifiez donc les deux afin de résoudre le problème.