はじめに
このドキュメントでは、Active Directory(AD)グループに基づいてVPNグループポリシーを割り当てるようにCisco ASAでLDAP属性マッピングを設定する方法について説明します。
要件
Cisco ASAの要件
ネットワーク要件
クライアント要件
使用するコンポーネント
このドキュメントの情報は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定手順
ステップ 1:グループポリシーの定義
グループポリシーは、VPNユーザの権限と制限を決定します。組織のアクセス要件に合わせて、必要なグループポリシーを作成します。
許可されたユーザのグループポリシーの作成
group-policy VPN_User_Policy internal
group-policy VPN_User_Policy attributes
vpn-simultaneous-logins 3
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUNNEL_ACL
デフォルトのグループポリシーを作成してアクセスを拒否する。
group-policy No_Access_Policy internal
group-policy No_Access_Policy attributes
vpn-simultaneous-logins 0
ステップ 2:LDAP属性マップの設定
属性マップはLDAP属性をASA属性に変換し、ASAがユーザのLDAPグループメンバーシップに基づいてユーザを正しいグループポリシーに割り当てられるようにします。
ldap attribute-map VPN_Access_Map
map-name memberOf Group-Policy
map-value memberOf "CN=VPN_Users,OU=Groups,DC=example,DC=com" VPN_User_Policy
注:LDAPグループの識別名(DN)は、常に二重引用符("")で囲む必要があります。 これにより、ASAがDN内のスペースと特殊文字を正しく解釈できるようになります。
ステップ 3:LDAP AAAサーバの設定
認証とグループマッピングのためにADサーバと通信するようにASAを設定します。
aaa-server AD_LDAP_Server protocol ldap
aaa-server AD_LDAP_Server (inside) host 192.168.1.10
ldap-base-dn dc=example,dc=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password ********
ldap-login-dn CN=ldap_bind_user,OU=Service Accounts,DC=example,DC=com
ldap-over-ssl enable
ldap-attribute-map VPN_Access_Map
ステップ 4:トンネルグループの定義
トンネルグループはVPNパラメータを定義し、認証をLDAPサーバに結び付けます。
tunnel-group VPN_Tunnel type remote-access
tunnel-group VPN_Tunnel general-attributes
address-pool VPN_Pool
authentication-server-group AD_LDAP_Server
default-group-policy No_Access_Policy
tunnel-group VPN_Tunnel webvpn-attributes
group-alias VPN_Tunnel enable
注:default-group-policyはNo_Access_Policyに設定され、LDAP属性マップの基準に一致しないユーザへのアクセスを拒否します。
確認
セットアップが完了したら、ユーザが正しく認証され、適切なグループポリシーが割り当てられていることを確認します。
VPNセッション割り当ての確認
show vpn-sessiondb anyconnect filter name
<username>は実際のテストアカウントで置き換えます。
トラブルシュート
ここでは、設定に関するトラブルシューティングについて説明します。
LDAPデバッグの有効化
ユーザが期待どおりのグループポリシーを受信していない場合は、問題を特定するためにデバッグを有効にします。
debug ldap 255
debug aaa common 255
debug aaa shim 255
VPN接続の開始
テストユーザに、Cisco Secure Clientを使用した接続を試してもらいます。
デバッグ出力の確認
Cisco ASAログを調べ、ユーザがActive Directory(AD)グループメンバーシップに基づいて正しいグループポリシーにマッピングされていることを確認します。
検証後のデバッグを無効にする
undebug all
一般的な問題
LDAP属性マッピングでは大文字と小文字が区別されます。map-value文のADグループ名が、大文字と小文字の区別を含めて正確に一致していることを確認してください。
ユーザが指定したADグループのダイレクトメンバーであることを確認します。入れ子になったグループメンバーシップは常に認識されるとは限らず、承認の問題を引き起こします。
どのマップ値の基準にも一致しないユーザは、default-group-policy(この場合はNo_Access_Policy)を受け取り、アクセスを防止します。