본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 FMC(Firepower Management Center)에서 관리하는 FTD(Firepower Threat Defense)에서 LDAP(Lightweight Directory Access Protocol) 인증 및 권한 부여를 사용하여 RA VPN(Remote Access VPN)을 구성하는 방법에 대해 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
참고: 이 문서의 정보는 특정 랩 환경의 디바이스에서 생성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 컨피그레이션 변경의 잠재적 영향을 이해해야 합니다.
LDAP는 분산형 디렉토리 정보 서비스에 액세스하고 유지 관리할 수 있는 개방적이고 공급업체 중립적인 업계 표준 애플리케이션 프로토콜입니다.
LDAP 특성 맵은 Active Directory(AD) 또는 LDAP 서버에 있는 특성을 Cisco 특성 이름과 동일하게 합니다.그런 다음 원격 액세스 VPN 연결 설정 중에 AD 또는 LDAP 서버가 FTD 디바이스에 인증 응답을 반환하면 FTD 디바이스는 정보를 사용하여 AnyConnect 클라이언트가 연결을 완료하는 방법을 조정할 수 있습니다.
LDAP 특성 맵을 구성하고 영역 서버와 연결하기 위해 버전 6.2.1부터 LDAP 인증을 사용하는 RA VPN이 FMC에서 지원되고 FMC 버전 6.7.0 이전의 LDAP 권한 부여가 FlexConfig를 통해 권고되었습니다.버전 6.7.0의 이 기능은 이제 FMC의 RA VPN 컨피그레이션 마법사에 통합되어 FlexConfig를 더 이상 사용할 필요가 없습니다.
참고: 이 기능을 사용하려면 FMC가 버전 6.7.0에 있는 반면 관리되는 FTD는 6.3.0보다 높은 버전에 있을 수 있습니다.
내보내기 제어 기능이 활성화된 AnyConnect Apex, AnyConnect Plus 또는 AnyConnect VPN Only 라이센스가 필요합니다.
라이센스를 확인하려면 System(시스템) > Licenses(라이센스) > Smart Licenses(Smart 라이센스)로 이동합니다.
참고: 언급된 단계는 새 REALM/LDAP 서버를 구성하는 경우에만 필요합니다.RA VPN에서 인증에 사용할 수 있는 사전 기존 서버가 있는 경우 RA VPN Configuration(RA VPN 컨피그레이션)으로 이동합니다.
1단계. 이 이미지에 표시된 대로 시스템>통합으로 이동합니다.
2단계. 이미지에 표시된 대로 새 영역 추가를 클릭합니다.
3단계. AD 서버의 세부 정보를 제공합니다.확인을 클릭합니다.
이 데모의 목적:
이름:LDAP
유형:광고
AD 주 도메인:rohan.com
디렉토리 사용자 이름: CN=Administrator,CN=Users,DC=rohan,DC=com
디렉터리 암호:<숨김>
기본 DN: DC=rohan,DC=com
그룹 DN: DC=rohan,DC=com
4단계. 이미지에 표시된 대로 Add Directory를 클릭하여 새 서버를 추가합니다.
5단계. 서버의 호스트 이름/IP 주소 및 포트를 제공합니다.
이 데모의 목적:
호스트 이름 / IP 주소:10.106.56.136
포트:389(기본 LDAP 포트)
암호화:없음
6단계. 이 이미지에 표시된 대로 영역/디렉토리 변경 사항을 저장하려면 저장을 클릭합니다.
7단계. 상태 버튼을 토글하여 이 이미지에 표시된 대로 서버의 상태를 Enabled로 변경합니다.
권한 있는 VPN 사용자에게 할당할 그룹 정책을 구성하려면 다음 단계가 필요합니다.그룹 정책이 이미 정의된 경우 5단계로 이동합니다.
1단계. Objects(개체) > Object Management(개체 관리)로 이동합니다.
2단계:Left(왼쪽) 창에서 VPN > Group Policy(그룹 정책)로 이동합니다.
3단계:Add Group Policy를 클릭합니다.
4단계:그룹 정책 설정을 제공합니다.
이 데모의 목적:
이름:RA-VPN
배너:!VPN 시작!
사용자당 동시 로그인:3(기본값)
5단계. Devices(디바이스) > VPN > Remote Access(원격 액세스)로 이동합니다.
6단계. 새 구성 추가를 클릭합니다.
7단계. RA VPN 정책의 이름을 입력합니다.VPN Protocols(VPN 프로토콜)를 선택하고 Targeted Devices(대상 디바이스)를 선택합니다.Next(다음)를 클릭합니다.
이 데모의 목적:
이름:RA-VPN
VPN 프로토콜:SSL
대상 장치:FTD
8단계. Authentication Method(인증 방법)를 AAA로만 선택합니다.Authentication Server(인증 서버) 아래에서 REALM/LDAP 서버를 선택합니다.Configure LDAP Attribute Map(LDAP 권한 부여 구성)을 클릭합니다.
9단계. LDAP 특성 이름 및 Cisco 특성 이름을 제공합니다.Add Value Map을 클릭합니다.
이 데모의 목적:
LDAP 특성 이름:구성원
Cisco 특성 이름:그룹 정책
10단계. LDAP 특성 값 및 Cisco 특성 값을 제공합니다.확인을 클릭합니다.
이 데모의 목적:
LDAP 특성 값:CN=VPN,DC=rohan,DC=com
Cisco 특성 값:RA-VPN
참고: 요구 사항에 따라 값 맵을 더 추가할 수 있습니다.
11단계. 로컬 주소 할당을 위한 주소 풀을 추가합니다.확인을 클릭합니다.
12단계. 연결 프로파일 이름과 그룹 정책을 제공합니다.Next(다음)를 클릭합니다.
이 데모의 목적:
연결 프로파일 이름:RA-VPN
인증 방법:AAA 전용
인증 서버:LDAP
IPv4 주소 풀:VPN-풀
그룹 정책:액세스 없음
참고: 인증 방법, 인증 서버 및 IPV4 주소 풀이 이전 단계에서 구성되었습니다.
No-Access 그룹 정책에는 Simultaneous Login Per User(사용자당 동시 로그인) 설정이 0으로 설정되어 있습니다(사용자가 기본 No-Access 그룹 정책을 수신하는 경우 로그인할 수 없도록 허용).
13단계. FTD에 AnyConnect 클라이언트 이미지를 추가하려면 Add new AnyConnect Image를 클릭합니다.
14단계. 업로드된 이미지의 이름을 입력하고 로컬 저장소에서 이미지를 찾아 업로드합니다.저장을 클릭합니다.
15단계. 이미지 옆 확인란을 선택하여 사용할 수 있도록 설정합니다. 다음을 클릭합니다.
16단계. Interface group/Security Zone(인터페이스 그룹/보안 영역)과 Device Certificate(디바이스 인증서)를 선택합니다.Next(다음)를 클릭합니다.
이 데모의 목적:
인터페이스 그룹/보안 영역:외부 영역
장치 인증서:자체 서명
참고: 암호화된(VPN) 트래픽에 대한 액세스 제어 검사를 우회하기 위해 Bypass Access Control(액세스 제어 우회) 정책 옵션을 활성화하도록 선택할 수 있습니다.(기본적으로 비활성화됨).
17단계. RA VPN 컨피그레이션의 요약을 봅니다.이미지에 표시된 대로 저장하려면 [마침]을 클릭합니다.
18단계. Deploy(구축) > Deployment(구축)로 이동합니다.컨피그레이션을 구축해야 하는 FTD를 선택하고 Deploy(구축)를 클릭합니다.
구축 성공 후 FTD CLI에 구성 푸시됨:
!--- LDAP Server Configuration ---!
ldap attribute-map LDAP
map-name memberOf Group-Policy
map-value memberOf CN=VPN,DC=rohan,DC=com RA-VPN
aaa-server LDAP protocol ldap
max-failed-attempts 4
realm-id 2
aaa-server LDAP host 10.106.56.137
server-port 389
ldap-base-dn DC=rohan,DC=com
ldap-group-base-dn DC=rohan,DC=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn CN=Administrator,CN=Users,DC=rohan,DC=com
server-type microsoft
ldap-attribute-map LDAP
!--- RA VPN Configuration ---!
webvpn
enable Outside
anyconnect image disk0:/csm/anyconnect-win-4.7.02036-webdeploy-k9.pkg 1 regex "Windows"
anyconnect enable
tunnel-group-list enable
error-recovery disable
ssl trust-point Self-Signed
group-policy No-Access internal
group-policy No-Access attributes
vpn-simultaneous-logins 0
vpn-idle-timeout 30
!--- Output Omitted ---!
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list none
group-policy RA-VPN internal
group-policy RA-VPN attributes
banner value ! Welcome to VPN !
vpn-simultaneous-logins 3
vpn-idle-timeout 30
!--- Output Omitted ---!
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list non
ip local pool VPN-Pool 192.168.90.1-192.168.90.100 mask 255.255.255.0
tunnel-group RA-VPN type remote-access
tunnel-group RA-VPN general-attributes
address-pool VPN-Pool
authentication-server-group LDAP
default-group-policy No-Access
tunnel-group RA-VPN webvpn-attributes
group-alias RA-VPN enable
AnyConnect 클라이언트에서 Valid VPN User group Credentials(유효한 VPN 사용자 그룹 자격 증명)를 사용하여 로그인하면 LDAP 특성 맵에서 할당한 올바른 그룹 정책을 가져옵니다.
LDAP Debug Snippet(디버그 ldap 255)에서 LDAP Attribute Map(LDAP 특성 맵)에 일치하는 항목이 있음을 확인할 수 있습니다.
Authentication successful for rohan to 10.106.56.137
memberOf: value = CN=VPN,DC=rohan,DC=com
mapped to Group-Policy: value = RA-VPN
mapped to LDAP-Class: value = RA-VPN
AnyConnect 클라이언트에서 Invalid VPN User Group Credentials(유효하지 않은 VPN 사용자 그룹 자격 증명)를 사용하여 로그인하면 No-Access 그룹 정책을 가져옵니다.
%FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator
%FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator
%FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator
LDAP Debug Snippet(디버그 ldap 255)에서 LDAP Attribute Map에 일치하는 항목이 없음을 확인할 수 있습니다.
Authentication successful for Administrator to 10.106.56.137
memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
memberOf: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com