FMC에서 관리하는 FTD에 대한 LDAP 인증 및 권한 부여를 사용하여 RA VPN 구성

다운로드 옵션

  • PDF     (1.1 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (1.0 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (895.1 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2021년 3월 11일 (목)
문서 ID:216313

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 FMC(Firepower Management Center)에서 관리하는 FTD(Firepower Threat Defense)에서 LDAP(Lightweight Directory Access Protocol) 인증 및 권한 부여를 사용하여 RA VPN(Remote Access VPN)을 구성하는 방법에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • RA VPN의 기본적인 작동 이해
    • FMC를 탐색하는 방법에 대한 이해
    • Microsoft Windows Server에서 LDAP 서비스 구성

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.

    • Cisco FMC(Firepower Management Center) 버전 6.7.0
    • Cisco Firepower FTD(Threat Defense) 버전 6.7.0
    • LDAP 서버로 구성된 Windows Windows Server 2012

    참고: 이 문서의 정보는 특정 랩 환경의 디바이스에서 생성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 컨피그레이션 변경의 잠재적 영향을 이해해야 합니다.

    배경 정보

    LDAP는 분산형 디렉토리 정보 서비스에 액세스하고 유지 관리할 수 있는 개방적이고 공급업체 중립적인 업계 표준 애플리케이션 프로토콜입니다.

    LDAP 특성 맵은 Active Directory(AD) 또는 LDAP 서버에 있는 특성을 Cisco 특성 이름과 동일하게 합니다.그런 다음 원격 액세스 VPN 연결 설정 중에 AD 또는 LDAP 서버가 FTD 디바이스에 인증 응답을 반환하면 FTD 디바이스는 정보를 사용하여 AnyConnect 클라이언트가 연결을 완료하는 방법을 조정할 수 있습니다.

    LDAP 특성 맵을 구성하고 영역 서버와 연결하기 위해 버전 6.2.1부터 LDAP 인증을 사용하는 RA VPN이 FMC에서 지원되고 FMC 버전 6.7.0 이전의 LDAP 권한 부여가 FlexConfig를 통해 권고되었습니다.버전 6.7.0의 이 기능은 이제 FMC의 RA VPN 컨피그레이션 마법사에 통합되어 FlexConfig를 더 이상 사용할 필요가 없습니다.

    참고: 이 기능을 사용하려면 FMC가 버전 6.7.0에 있는 반면 관리되는 FTD는 6.3.0보다 높은 버전에 있을 수 있습니다.

    라이센싱 요구 사항

    내보내기 제어 기능이 활성화된 AnyConnect Apex, AnyConnect Plus 또는 AnyConnect VPN Only 라이센스가 필요합니다.

    라이센스를 확인하려면 System(시스템) > Licenses(라이센스) > Smart Licenses(Smart 라이센스)로 이동합니다.

    FMC의 구성 단계

    REALM/LDAP 서버 컨피그레이션

    참고: 언급된 단계는 새 REALM/LDAP 서버를 구성하는 경우에만 필요합니다.RA VPN에서 인증에 사용할 수 있는 사전 기존 서버가 있는 경우 RA VPN Configuration(RA VPN 컨피그레이션)으로 이동합니다.

    1단계. 이 이미지에 표시된 대로 시스템>통합으로 이동합니다.

    2단계. 이미지에 표시된 대로 새 영역 추가를 클릭합니다.

    3단계. AD 서버의 세부 정보를 제공합니다.확인 클릭합니다.

    이 데모의 목적:

    이름:LDAP

    유형:광고

    AD 주 도메인:rohan.com

    디렉토리 사용자 이름: CN=Administrator,CN=Users,DC=rohan,DC=com

    디렉터리 암호:<숨김>

    기본 DN: DC=rohan,DC=com

    그룹 DN: DC=rohan,DC=com

    4단계. 이미지 표시된 대로 Add Directory를 클릭하여 새 서버를 추가합니다.

    5단계. 서버의 호스트 이름/IP 주소포트를 제공합니다.

    이 데모의 목적:

    호스트 이름 / IP 주소:10.106.56.136

    포트:389(기본 LDAP 포트)

    암호화:없음

        

    6단계. 이 이미지에 표시된 대로 영역/디렉토리 변경 사항을 저장하려면 저장을 클릭합니다.

    7단계. 상태 버튼을 토글하여 이 이미지에 표시된 대로 서버의 상태Enabled로 변경합니다.

    RA VPN 컨피그레이션

    권한 있는 VPN 사용자에게 할당할 그룹 정책을 구성하려면 다음 단계가 필요합니다.그룹 정책이 이미 정의된 경우 5단계로 이동합니다.

    1단계. Objects(개체) > Object Management(개체 관리)로 이동합니다.

    2단계:Left(왼쪽) 창에서 VPN > Group Policy(그룹 정책)로 이동합니다.

    3단계:Add Group Policy를 클릭합니다.

    4단계:그룹 정책 설정을 제공합니다.

    이 데모의 목적:

    이름:RA-VPN

    배너:!VPN 시작!

    사용자당 동시 로그인:3(기본값)

       

    5단계. Devices(디바이스) > VPN > Remote Access(원격 액세스)로 이동합니다.

    6단계. 새 구성 추가를 클릭합니다.

    7단계. RA VPN 정책의 이름을 입력합니다.VPN Protocols(VPN 프로토콜)를 선택하고 Targeted Devices(대상 디바이스)를 선택합니다.Next(다음)를 클릭합니다.

    이 데모의 목적:

    이름:RA-VPN

    VPN 프로토콜:SSL

    대상 장치:FTD

    8단계. Authentication Method(인증 방법)AAA로만 선택합니다.Authentication Server(인증 서버) 아래에서 REALM/LDAP 서버를 선택합니다.Configure LDAP Attribute Map(LDAP 권한 부여 구성)을 클릭합니다.

    9단계. LDAP 특성 이름Cisco 특성 이름을 제공합니다.Add Value Map을 클릭합니다.

    이 데모의 목적:

    LDAP 특성 이름:구성원

    Cisco 특성 이름:그룹 정책

    10단계. LDAP 특성 값Cisco 특성 값을 제공합니다.확인을 클릭합니다.

    이 데모의 목적:

    LDAP 특성 값:CN=VPN,DC=rohan,DC=com

    Cisco 특성 값:RA-VPN

    참고: 요구 사항에 따라 값 맵을 더 추가할 수 있습니다.

    11단계. 로컬 주소 할당 위한 주소 풀을 추가합니다.확인 클릭합니다.

    12단계. 연결 프로파일 이름그룹 정책을 제공합니다.Next(다음)를 클릭합니다.

    이 데모의 목적:

    연결 프로파일 이름:RA-VPN

    인증 방법:AAA 전용

    인증 서버:LDAP

    IPv4 주소 풀:VPN-풀

    그룹 정책:액세스 없음

    참고: 인증 방법, 인증 서버 및 IPV4 주소 풀이 이전 단계에서 구성되었습니다.

    No-Access 그룹 정책에는 Simultaneous Login Per User(사용자당 동시 로그인) 설정이 0으로 설정되어 있습니다(사용자가 기본 No-Access 그룹 정책을 수신하는 경우 로그인할 수 없도록 허용).

    13단계. FTD에 AnyConnect 클라이언트 이미지를 추가하려면 Add new AnyConnect Image를 클릭합니다.

    14단계. 업로드된 이미지의 이름을 입력하고 로컬 저장소에서 이미지를 찾아 업로드합니다.저장을 클릭합니다.

    15단계. 이미지 옆 확인란을 선택하여 사용할 수 있도록 설정합니다. 다음을 클릭합니다.

    16단계. Interface group/Security Zone(인터페이스 그룹/보안 영역)과 Device Certificate(디바이스 인증서)를 선택합니다.Next(다음)를 클릭합니다.

    이 데모의 목적:

    인터페이스 그룹/보안 영역:외부 영역

    장치 인증서:자체 서명

    참고: 암호화된(VPN) 트래픽에 대한 액세스 제어 검사를 우회하기 위해 Bypass Access Control(액세스 제어 우회) 정책 옵션을 활성화하도록 선택할 수 있습니다.(기본적으로 비활성화됨).

    17단계. RA VPN 컨피그레이션의 요약을 봅니다.이미지에 표시된 대로 저장하려면 [마침]을 클릭합니다.

    18단계. Deploy(구축) > Deployment(구축)로 이동합니다.컨피그레이션을 구축해야 하는 FTD를 선택하고 Deploy(구축)를 클릭합니다.

    구축 성공 후 FTD CLI에 구성 푸시됨:

    !--- LDAP Server Configuration ---!

    ldap attribute-map LDAP
     map-name memberOf Group-Policy
     map-value memberOf CN=VPN,DC=rohan,DC=com RA-VPN

    aaa-server LDAP protocol ldap
     max-failed-attempts 4
     realm-id 2
    aaa-server LDAP host 10.106.56.137
     server-port 389
     ldap-base-dn DC=rohan,DC=com
     ldap-group-base-dn DC=rohan,DC=com
     ldap-scope subtree
     ldap-naming-attribute sAMAccountName
     ldap-login-password *****
     ldap-login-dn CN=Administrator,CN=Users,DC=rohan,DC=com
     server-type microsoft
     ldap-attribute-map LDAP

    !--- RA VPN Configuration ---!

    webvpn
     enable Outside
     anyconnect image disk0:/csm/anyconnect-win-4.7.02036-webdeploy-k9.pkg 1 regex "Windows"
     anyconnect enable
     tunnel-group-list enable
     error-recovery disable

    ssl trust-point Self-Signed

    group-policy No-Access internal
    group-policy No-Access attributes 
     vpn-simultaneous-logins 0
     vpn-idle-timeout 30

     !--- Output Omitted ---!

     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelall
     ipv6-split-tunnel-policy tunnelall
     split-tunnel-network-list none

    group-policy RA-VPN internal
    group-policy RA-VPN attributes
     banner value ! Welcome to VPN !
     vpn-simultaneous-logins 3
     vpn-idle-timeout 30

    !--- Output Omitted ---!

     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelall
     ipv6-split-tunnel-policy tunnelall
     split-tunnel-network-list non

    ip local pool VPN-Pool 192.168.90.1-192.168.90.100 mask 255.255.255.0

    tunnel-group RA-VPN type remote-access
    tunnel-group RA-VPN general-attributes
    address-pool VPN-Pool
    authentication-server-group LDAP
    default-group-policy No-Access
    tunnel-group RA-VPN webvpn-attributes
    group-alias RA-VPN enable

    다음을 확인합니다.

    AnyConnect 클라이언트에서 Valid VPN User group Credentials(유효한 VPN 사용자 그룹 자격 증명)를 사용하여 로그인하면 LDAP 특성 맵에서 할당한 올바른 그룹 정책을 가져옵니다.

    LDAP Debug Snippet(디버그 ldap 255)에서 LDAP Attribute Map(LDAP 특성 맵)에 일치하는 항목이 있음을 확인할 수 있습니다.

    Authentication successful for rohan to 10.106.56.137

    memberOf: value = CN=VPN,DC=rohan,DC=com
            mapped to Group-Policy: value = RA-VPN
            mapped to LDAP-Class: value = RA-VPN

    AnyConnect 클라이언트에서 Invalid VPN User Group Credentials(유효하지 않은 VPN 사용자 그룹 자격 증명)를 사용하여 로그인하면 No-Access 그룹 정책을 가져옵니다.

    %FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator
    %FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator
    %FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator

    LDAP Debug Snippet(디버그 ldap 255)에서 LDAP Attribute Map에 일치하는 항목이 없음을 확인할 수 있습니다.

    Authentication successful for Administrator to 10.106.56.137

    memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
    memberOf: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
    memberOf: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
    memberOf: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
    memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
    memberOf: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
    TAC Authored

    Cisco 엔지니어가 작성

    • Rohan Biswas
      Cisco TAC 엔지니어
    • Tazy Khan
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품