FMC에서 관리하는 FTD에 대한 LDAP 인증 및 권한 부여를 사용하여 RA VPN 구성

소개

이 문서에서는 FMC(Firepower Management Center)에서 관리하는 FTD(Firepower Threat Defense)에서 LDAP(Lightweight Directory Access Protocol) 인증 및 권한 부여를 사용하여 RA VPN(Remote Access VPN)을 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• RA VPN의 기본적인 작동 이해
• FMC를 탐색하는 방법에 대한 이해
• Microsoft Windows Server에서 LDAP 서비스 구성

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.

• Cisco FMC(Firepower Management Center) 버전 6.7.0
• Cisco Firepower FTD(Threat Defense) 버전 6.7.0
• LDAP 서버로 구성된 Windows Windows Server 2012

참고: 이 문서의 정보는 특정 랩 환경의 디바이스에서 생성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 컨피그레이션 변경의 잠재적 영향을 이해해야 합니다.

배경 정보

LDAP는 분산형 디렉토리 정보 서비스에 액세스하고 유지 관리할 수 있는 개방적이고 공급업체 중립적인 업계 표준 애플리케이션 프로토콜입니다.

LDAP 특성 맵은 Active Directory(AD) 또는 LDAP 서버에 있는 특성을 Cisco 특성 이름과 동일하게 합니다.그런 다음 원격 액세스 VPN 연결 설정 중에 AD 또는 LDAP 서버가 FTD 디바이스에 인증 응답을 반환하면 FTD 디바이스는 정보를 사용하여 AnyConnect 클라이언트가 연결을 완료하는 방법을 조정할 수 있습니다.

LDAP 특성 맵을 구성하고 영역 서버와 연결하기 위해 버전 6.2.1부터 LDAP 인증을 사용하는 RA VPN이 FMC에서 지원되고 FMC 버전 6.7.0 이전의 LDAP 권한 부여가 FlexConfig를 통해 권고되었습니다.버전 6.7.0의 이 기능은 이제 FMC의 RA VPN 컨피그레이션 마법사에 통합되어 FlexConfig를 더 이상 사용할 필요가 없습니다.

참고: 이 기능을 사용하려면 FMC가 버전 6.7.0에 있는 반면 관리되는 FTD는 6.3.0보다 높은 버전에 있을 수 있습니다.

라이센싱 요구 사항

내보내기 제어 기능이 활성화된 AnyConnect Apex, AnyConnect Plus 또는 AnyConnect VPN Only 라이센스가 필요합니다.

라이센스를 확인하려면 System(시스템) > Licenses(라이센스) > Smart Licenses(Smart 라이센스)로 이동합니다.

FMC의 구성 단계

REALM/LDAP 서버 컨피그레이션

참고: 언급된 단계는 새 REALM/LDAP 서버를 구성하는 경우에만 필요합니다.RA VPN에서 인증에 사용할 수 있는 사전 기존 서버가 있는 경우 RA VPN Configuration(RA VPN 컨피그레이션)으로 이동합니다.

1단계. 이 이미지에 표시된 대로 시스템>통합으로 이동합니다.

2단계. 이미지에 표시된 대로 새 영역 추가를 클릭합니다.

3단계. AD 서버의 세부 정보를 제공합니다.확인을 클릭합니다.

이 데모의 목적:

이름:LDAP

유형:광고

AD 주 도메인:rohan.com

디렉토리 사용자 이름: CN=Administrator,CN=Users,DC=rohan,DC=com

디렉터리 암호:<숨김>

기본 DN: DC=rohan,DC=com

그룹 DN: DC=rohan,DC=com

4단계. 이미지에 표시된 대로 Add Directory를 클릭하여 새 서버를 추가합니다.

5단계. 서버의 호스트 이름/IP 주소 및 포트를 제공합니다.

이 데모의 목적:

호스트 이름 / IP 주소:10.106.56.136

포트:389(기본 LDAP 포트)

암호화:없음

    

6단계. 이 이미지에 표시된 대로 영역/디렉토리 변경 사항을 저장하려면 저장을 클릭합니다.

7단계. 상태 버튼을 토글하여 이 이미지에 표시된 대로 서버의 상태를 Enabled로 변경합니다.

RA VPN 컨피그레이션

권한 있는 VPN 사용자에게 할당할 그룹 정책을 구성하려면 다음 단계가 필요합니다.그룹 정책이 이미 정의된 경우 5단계로 이동합니다.

1단계. Objects(개체) > Object Management(개체 관리)로 이동합니다.

2단계:Left(왼쪽) 창에서 VPN > Group Policy(그룹 정책)로 이동합니다.

3단계:Add Group Policy를 클릭합니다.

4단계:그룹 정책 설정을 제공합니다.

이 데모의 목적:

이름:RA-VPN

배너:!VPN 시작!

사용자당 동시 로그인:3(기본값)

   

5단계. Devices(디바이스) > VPN > Remote Access(원격 액세스)로 이동합니다.

6단계. 새 구성 추가를 클릭합니다.

7단계. RA VPN 정책의 이름을 입력합니다.VPN Protocols(VPN 프로토콜)를 선택하고 Targeted Devices(대상 디바이스)를 선택합니다.Next(다음)를 클릭합니다.

이 데모의 목적:

이름:RA-VPN

VPN 프로토콜:SSL

대상 장치:FTD

8단계. Authentication Method(인증 방법)를 AAA로만 선택합니다.Authentication Server(인증 서버) 아래에서 REALM/LDAP 서버를 선택합니다.Configure LDAP Attribute Map(LDAP 권한 부여 구성)을 클릭합니다.

9단계. LDAP 특성 이름 및 Cisco 특성 이름을 제공합니다.Add Value Map을 클릭합니다.

이 데모의 목적:

LDAP 특성 이름:구성원

Cisco 특성 이름:그룹 정책

10단계. LDAP 특성 값 및 Cisco 특성 값을 제공합니다.확인을 클릭합니다.

이 데모의 목적:

LDAP 특성 값:CN=VPN,DC=rohan,DC=com

Cisco 특성 값:RA-VPN

참고: 요구 사항에 따라 값 맵을 더 추가할 수 있습니다.

11단계. 로컬 주소 할당을 위한 주소 풀을 추가합니다.확인을 클릭합니다.

12단계. 연결 프로파일 이름과 그룹 정책을 제공합니다.Next(다음)를 클릭합니다.

이 데모의 목적:

연결 프로파일 이름:RA-VPN

인증 방법:AAA 전용

인증 서버:LDAP

IPv4 주소 풀:VPN-풀

그룹 정책:액세스 없음

참고: 인증 방법, 인증 서버 및 IPV4 주소 풀이 이전 단계에서 구성되었습니다.

No-Access 그룹 정책에는 Simultaneous Login Per User(사용자당 동시 로그인) 설정이 0으로 설정되어 있습니다(사용자가 기본 No-Access 그룹 정책을 수신하는 경우 로그인할 수 없도록 허용).

13단계. FTD에 AnyConnect 클라이언트 이미지를 추가하려면 Add new AnyConnect Image를 클릭합니다.

14단계. 업로드된 이미지의 이름을 입력하고 로컬 저장소에서 이미지를 찾아 업로드합니다.저장을 클릭합니다.

15단계. 이미지 옆 확인란을 선택하여 사용할 수 있도록 설정합니다. 다음을 클릭합니다.

16단계. Interface group/Security Zone(인터페이스 그룹/보안 영역)과 Device Certificate(디바이스 인증서)를 선택합니다.Next(다음)를 클릭합니다.

이 데모의 목적:

인터페이스 그룹/보안 영역:외부 영역

장치 인증서:자체 서명

참고: 암호화된(VPN) 트래픽에 대한 액세스 제어 검사를 우회하기 위해 Bypass Access Control(액세스 제어 우회) 정책 옵션을 활성화하도록 선택할 수 있습니다.(기본적으로 비활성화됨).

17단계. RA VPN 컨피그레이션의 요약을 봅니다.이미지에 표시된 대로 저장하려면 [마침]을 클릭합니다.

18단계. Deploy(구축) > Deployment(구축)로 이동합니다.컨피그레이션을 구축해야 하는 FTD를 선택하고 Deploy(구축)를 클릭합니다.

구축 성공 후 FTD CLI에 구성 푸시됨:

!--- LDAP Server Configuration ---!

ldap attribute-map LDAP
 map-name memberOf Group-Policy
 map-value memberOf CN=VPN,DC=rohan,DC=com RA-VPN

aaa-server LDAP protocol ldap
 max-failed-attempts 4
 realm-id 2
aaa-server LDAP host 10.106.56.137
 server-port 389
 ldap-base-dn DC=rohan,DC=com
 ldap-group-base-dn DC=rohan,DC=com
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn CN=Administrator,CN=Users,DC=rohan,DC=com
 server-type microsoft
 ldap-attribute-map LDAP

!--- RA VPN Configuration ---!

webvpn
 enable Outside
 anyconnect image disk0:/csm/anyconnect-win-4.7.02036-webdeploy-k9.pkg 1 regex "Windows"
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable

ssl trust-point Self-Signed

group-policy No-Access internal
group-policy No-Access attributes 
 vpn-simultaneous-logins 0
 vpn-idle-timeout 30

 !--- Output Omitted ---!

 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 ipv6-split-tunnel-policy tunnelall
 split-tunnel-network-list none

group-policy RA-VPN internal
group-policy RA-VPN attributes
 banner value ! Welcome to VPN !
 vpn-simultaneous-logins 3
 vpn-idle-timeout 30

!--- Output Omitted ---!

 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 ipv6-split-tunnel-policy tunnelall
 split-tunnel-network-list non

ip local pool VPN-Pool 192.168.90.1-192.168.90.100 mask 255.255.255.0

tunnel-group RA-VPN type remote-access
tunnel-group RA-VPN general-attributes
address-pool VPN-Pool
authentication-server-group LDAP
default-group-policy No-Access
tunnel-group RA-VPN webvpn-attributes
group-alias RA-VPN enable

다음을 확인합니다.

AnyConnect 클라이언트에서 Valid VPN User group Credentials(유효한 VPN 사용자 그룹 자격 증명)를 사용하여 로그인하면 LDAP 특성 맵에서 할당한 올바른 그룹 정책을 가져옵니다.

LDAP Debug Snippet(디버그 ldap 255)에서 LDAP Attribute Map(LDAP 특성 맵)에 일치하는 항목이 있음을 확인할 수 있습니다.

Authentication successful for rohan to 10.106.56.137

memberOf: value = CN=VPN,DC=rohan,DC=com
        mapped to Group-Policy: value = RA-VPN
        mapped to LDAP-Class: value = RA-VPN

AnyConnect 클라이언트에서 Invalid VPN User Group Credentials(유효하지 않은 VPN 사용자 그룹 자격 증명)를 사용하여 로그인하면 No-Access 그룹 정책을 가져옵니다.

%FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator
%FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator
%FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator

LDAP Debug Snippet(디버그 ldap 255)에서 LDAP Attribute Map에 일치하는 항목이 없음을 확인할 수 있습니다.

Authentication successful for Administrator to 10.106.56.137

memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
memberOf: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
        mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
        mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com