Avez-vous un compte?
Ce document décrit comment configurer des cartes d'attribut de Protocole LDAP (Lightweight Directory Access Protocol) pour assigner automatiquement la règle VPN correcte à un utilisateur basé sur leurs qualifications.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Le LDAP est un protocole de l'application ouvert, constructeur-neutre, industriellement compatible pour accéder à et mettre à jour des services d'informations distribués de répertoire au-dessus d'un réseau de Procotole IP (Internet Protocol). Les services d'annuaire jouent un important rôle dans le développement de l'intranet et des applications Web pendant qu'ils permettent partager des informations sur des utilisateurs, des systèmes, des réseaux, des services, et des applications dans tout le réseau.
Fréquemment, les administrateurs veulent fournir à des utilisateurs VPN différentes autorisations d'accès ou de contenu WebVPN. Ceci peut être terminé avec la configuration de différentes règles VPN sur le serveur VPN et l'attribution de ces stratégie-positionnements à chaque personne à charge d'utilisateur sur leurs qualifications. Tandis que ceci peut être terminé manuellement, il est plus efficace d'automatiser le processus avec des services d'annuaire. Afin d'employer le LDAP pour assigner une stratégie de groupe à un utilisateur, vous devez configurer une carte qui trace un attribut de LDAP tel que l'attribut « memberOf » de Répertoire actif (AD) à un attribut qui est compris par le headend VPN.
Sur l'appliance de sécurité adaptable (ASA) ceci est régulièrement réalisé par l'attribution de différentes stratégies de groupe à différents utilisateurs avec une carte d'attribut de LDAP suivant les indications de l'utilisation ASA de l'exemple de configuration de cartes d'attribut de LDAP.
Sur le Cisco IOS la même chose peut être réalisée avec la configuration de différents policy group sous le contexte de webvpn et l'utilisation des cartes d'attribut de LDAP afin de déterminer quel policy group l'utilisateur sera assigné. Sur des headends de Cisco IOS, l'attribut d'AD de « memberOf » est tracé au suppliant-groupe d'attribut d'Authentification, autorisation et comptabilité (AAA). Pour plus de détails sur les mappages d'attribut par défaut, voir le LDAP sur des périphériques IOS utilisant l'exemple dynamique de configuration de cartes d'attribut. Cependant pour le VPN SSL, il y a deux mappages appropriés d'aaa attribute :
Nom d'aaa attribute | Pertinence de VPN SSL |
utilisateur-VPN-groupe | cartes au policy group défini sous le contexte de webvpn |
webvpn-contexte | cartes au contexte réel de webvpn elle-même |
Par conséquent la carte d'attribut de LDAP doit tracer l'attribut approprié de LDAP à l'un ou l'autre un de ces deux attributs d'AAA.
Cette configuration emploie une carte d'attribut de LDAP afin de tracer l'attribut de LDAP de « memberOf » au l'utilisateur-VPN-groupe d'aaa attribute.
Configurez la méthode d'authentification et le Groupe de serveurs AAA.
aaa new-model
!
!
aaa group server ldap AD
server DC1
!
aaa authentication login default local
aaa authentication login vpn local
aaa authentication login AD group ldap local
aaa authorization exec default local
Configurez une carte d'attribut de LDAP.
ldap attribute-map ADMAP
map type memberOf user-vpn-group
Configurez le serveur LDAP qui met en référence la carte précédente d'attribut de LDAP.
ldap server DC1
ipv4 192.168.0.136
attribute map ADMAP
bind authenticate root-dn CN=Cisco Systems,OU=Service Accounts,DC=chillsthrills,
DC=local password 7 <removed>
base-dn DC=chillsthrills,DC=local
Configurez le routeur pour agir en tant que serveur de webvpn. Dans cet exemple, puisque l'attribut de « memberOf » sera tracé à l'attribut de « utilisateur-VPN-groupe », un contexte simple de webvpn est configuré avec les plusieurs policy group qui incluent une stratégie « NOACCESS ». Ce policy group est pour les utilisateurs qui n'ont pas une valeur assortie de « memberOf ».
ip local pool vpnpool 192.168.200.200 192.168.200.250
!
webvpn gateway gateway_1
hostname vpn
ip address 173.11.196.220 port 443
http-redirect port 80
ssl trustpoint TP-self-signed-2564112419
logging enable
inservice
!
webvpn install svc flash:/webvpn/anyconnect-win-2.5.2019-k9.pkg sequence 1
!
webvpn install csd flash:/webvpn/sdesktop.pkg
!
webvpn context VPNACCESS
secondary-color white
title-color #669999
text-color black
ssl authenticate verify all
!
policy group NOACCESS
banner "Access denied per user group restrictions in Active Directory.
Please contact your system administrator or manager to request access."
hide-url-bar
timeout idle 60
timeout session 1
!
!
policy group CN=T,OU=MyBusiness,DC=chillsthrills,DC=local
functions svc-enabled
banner "special access-granted"
svc address-pool "vpnpool"
svc default-domain "cisco.com"
svc keep-client-installed
svc rekey method new-tunnel
svc split dns "cisco.com"
svc split include 192.168.0.0 255.255.255.0
svc split include 10.10.10.0 255.255.255.0
svc split include 172.16.254.0 255.255.255.0
svc dns-server primary 192.168.0.136
default-group-policy NOACCESS
aaa authentication list AD
gateway gateway_1
inservice
!
end
Si l'utilisateur est de plusieurs groupes d'un « memberOf », la première valeur de « memberOf » est utilisée par le routeur.
Ce qui est impair dans cette configuration est que le nom du policy group doit être un précis - correspondance pour la chaîne complète poussée par le serveur LDAP pour la « valeur de memberOf ». Habituellement les administrateurs utilisent des noms plus courts et plus appropriés pour le policy group, tel que VPNACCESS, mais indépendamment de la question cosmétique ceci peut mener à un plus grand problème. Il n'est pas rare que la chaîne d'attribut de « memberOf » soit considérablement plus grand que ce qui a été utilisé dans cet exemple. Par exemple, considérez ce message de débogage :
004090: Aug 23 08:26:57.235 PCTime: %SSLVPN-6-INVALID_RADIUS_CONFIGURATION:
Radius configured group policy "CN=VPNACCESS,OU=SecurityGroups,OU=MyBusiness,
DC=chillsthrills,DC=local" does not exist
Il prouve clairement que la chaîne reçue de l'AD est :
"CN=VPNACCESS,OU=SecurityGroups,OU=MyBusiness,DC=chillsthrills,DC=local"
Cependant, puisqu'il n'y a aucun un tel policy group défini, si les essais d'administrateur pour configurer une telle stratégie de groupe il a comme conséquence une erreur parce que le Cisco IOS a une limite sur le nombre de caractères dans le nom de policy group :
HOURTR1(config-webvpn-context)#webvpn context VPNACCESS
HOURTR1(config-webvpn-context)# policy group "CN=VPNACCESS,OU=Security Groups,
OU=MyBusiness,DC=chillsthrills,DC=local"
Error: group policy name cannot exceed 63 characters
Dans de telles situations il y a deux contournements possibles :
Utilisez un attribut différent de LDAP, tel que le « service ».
Considérez cette carte d'attribut de LDAP :
ldap attribute-map ADMAP
map type department user-vpn-group
Dans ce cas la valeur de l'attribut de service pour un utilisateur peut être placée à une valeur telle que VPNACCESS et la configuration de webvpn est un peu plus simple :
webvpn context VPNACCESS
secondary-color white
title-color #669999
text-color black
ssl authenticate verify all
!
policy group NOACCESS
banner "Access denied per user group restrictions in Active Directory.
Please contact your system administrator or manager to request access."
!
policy group VPNACCESS
functions svc-enabled
banner "access-granted"
svc address-pool "vpnpool"
svc default-domain "cisco.com"
svc keep-client-installed
svc rekey method new-tunnel
svc split dns "cisco.com"
svc split include 192.168.0.0 255.255.255.0
svc split include 10.10.10.0 255.255.255.0
svc split include 172.16.254.0 255.255.255.0
svc dns-server primary 192.168.0.136
default-group-policy NOACCESS
aaa authentication list AD
gateway gateway_1
inservice
!
end
Utilisez le mot clé de Dn-à-chaîne dans la carte d'attribut de LDAP.
Si le contournement précédent n'est pas approprié puis l'administrateur peut employer le mot clé de dn-à-chaîne dans la carte d'attribut de LDAP afin d'extraire juste la valeur commune du nom (NC) de la chaîne de « memberOf ». Dans ce scénario la carte d'attribut de LDAP serait :
ldap attribute-map ADMAP
map type memberOf user-vpn-group format dn-to-string
Et la configuration de webvpn serait :
webvpn context VPNACCESS
secondary-color white
title-color #669999
text-color black
ssl authenticate verify all
!
policy group NOACCESS
banner "Access denied per user group restrictions in Active Directory.
Please contact your system administrator or manager to request access."
!
policy group VPNACCESS
functions svc-enabled
banner "access-granted"
svc address-pool "vpnpool"
svc default-domain "cisco.com"
svc keep-client-installed
svc rekey method new-tunnel
svc split dns "cisco.com"
svc split include 192.168.0.0 255.255.255.0
svc split include 10.10.10.0 255.255.255.0
svc split include 172.16.254.0 255.255.255.0
svc dns-server primary 192.168.0.136
default-group-policy NOACCESS
aaa authentication list AD
gateway gateway_1
inservice
!
end
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Afin de dépanner le mappage d'attribut de LDAP, activez ces derniers met au point :