ASA LDAP 특성 맵 컨피그레이션 사용 예
다운로드 옵션
편견 없는 언어
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
이 번역에 관하여
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
목차
소개
이 문서에서는 ASA(Adaptive Security Appliance)에서 세분화된 동적 액세스 정책을 구성하기 위해 LDAP(Lightweight Directory Access Protocol) 특성 맵을 사용하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- ASA 원격 액세스 VPN SSL(AnyConnect ,Clientless/WebVPN) 및 IPsec VPN
- AAA 인증/ID 메커니즘(Radius,LDAP)
- 디렉터리 서비스(Active Directory- AD)
사용되는 구성 요소
이 문서의 정보는 원격 액세스 SSL VPN(AnyConnect 및 Clientless/WebVPN) 및 IPsec 세션용 VPN Concentrator/서버 역할을 하는 ASA-5xxx 하드웨어 플랫폼을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
LDAP는 IP 네트워크를 통해 분산된 디렉토리 정보 서비스에 액세스하고 유지 보수하는 벤더에 중립적인 업계 표준 애플리케이션 프로토콜입니다.디렉토리 서비스는 사용자, 시스템, 네트워크, 서비스 및 애플리케이션에 대한 정보를 네트워크 전체에서 공유할 수 있도록 허용하기 때문에 인트라넷 및 인터넷 애플리케이션 개발에 중요한 역할을 합니다.
관리자는 자주 VPN 사용자에게 서로 다른 액세스 권한 또는 WebVPN 콘텐츠를 제공하려고 합니다.VPN 서버에서 서로 다른 VPN 정책을 구성하고 해당 자격 증명을 기반으로 각 사용자에게 이러한 정책 집합을 할당하는 경우 이 작업을 수행할 수 있습니다.이 작업은 수동으로 수행할 수 있지만 디렉터리 서비스로 프로세스를 자동화하는 것이 더 효율적입니다.LDAP를 사용하여 사용자에게 그룹 정책을 할당하려면 LDAP 특성(예: AD(Active Directory) 특성 memberOf)를 VPN 헤드엔드에서 인식하는 IETF-Radius-Class 또는 Group-Policy 특성에 매핑하는 맵을 구성해야 합니다.
참고:Cisco IOS Headends에서, WebVPN 컨텍스트에서 서로 다른 정책 그룹을 구성하고 LDAP 특성 맵을 사용하여 문서에 설명된 대로 사용자에게 할당할 정책 그룹을 결정할 경우 동일한 작업을 수행할 수 있습니다.Cisco IOS 헤드엔드에서 LDAP를 사용하는 AnyConnect 클라이언트에 대한 정책 그룹 할당 구성 예를 참조하십시오.
ASA에서는 여러 사용자에게 서로 다른 그룹 정책을 할당하여 이를 정기적으로 수행합니다.LDAP 인증이 사용 중인 경우 LDAP 특성 맵을 사용하여 이를 자동으로 수행할 수 있습니다. LDAP를 사용하여 사용자에게 그룹 정책을 할당하려면 ASA에서 이해하는 그룹 정책 특성에 AD 특성 구성원과 같은 LDAP 특성을 매핑해야 합니다.특성 매핑이 설정되면 LDAP 서버에 구성된 특성 값을 ASA의 그룹 정책 이름에 매핑해야 합니다.
참고: memberOf 특성은 사용자가 Active Directory의 일부인 그룹에 해당합니다.사용자가 Active Directory에서 둘 이상의 그룹의 구성원이 될 수 있습니다.이로 인해 서버에서 여러 memberOf 특성을 전송하지만 ASA는 하나의 속성만 하나의 그룹 정책에 일치시킬 수 있습니다.
FAQ
Q. ASA에 대한 ldap-attribute-map 수에 대한 컨피그레이션 제한이 있습니까?
A. 아니요, 한계가 없습니다.ldap-attribute-maps는 LDAP 인증/권한 부여를 사용하는 VPN 원격 액세스 세션 중에 동적으로 할당됩니다.
Q. ldap-attribute-map당 매핑할 수 있는 특성 수에 제한이 있습니까?
A. 구성 제한 없음.
Q. 특정 ldap-attribute-map을 적용할 수 있는 ldap 서버 수에 제한이 있습니까?
A. 제한 없음.LDAP 코드는 ldap-attribute-map 이름이 유효한지 확인만 합니다.
Q. AD memberOf와 같은 ldap-attribute-map 및 muti-valued 특성에 제한이 있습니까?
A. 네.여기서는 AD만 설명되지만 정책 결정에 다중 값 특성을 사용하는 모든 LDAP 서버에 적용됩니다.ldap-attribute-map에는 AD memberOf와 같은 다중 값 특성이 있는 제한이 있습니다.사용자가 여러 AD 그룹(공통)의 멤버이고 ldap-attribute-map이 둘 이상의 그룹과 일치하는 경우 일치하는 항목을 사전순으로 정렬하여 매핑된 값이 선택됩니다.이러한 행동은 분명하거나 직관적이지 않기 때문에 작동 방식에 대해 명확하게 아는 것이 중요합니다.
요약: LDAP 매핑이 속성에 대해 여러 값을 생성하는 경우 다음과 같이 최종 속성 값이 선택됩니다.
- 먼저 문자 수가 가장 작은 값을 선택합니다.
- 값이 두 개 이상인 경우 알파벳 순서로 가장 낮은 값을 선택합니다.
활용 사례 예
Active Directory-LDAP는 사용자 인증 또는 권한 부여 요청에 대해 다음 네 가지 memberOf 인스턴스를 반환합니다.
memberOf: value = CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Cisco-Eng,CN=Users,DC=stbu,OU=cisco,DC=com
memberOf: value = CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com
LDAP-MAP #1: 이 ldap-attribute-map이 memberOf 설정을 기반으로 다른 ASA 그룹 정책을 매핑하도록 구성되어 있다고 가정합니다.
ldap attribute-map Class
map-name memberOf Group-Policy
map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup4
map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1
이 경우 네 개의 그룹 정책 값(ASAGroup1 - ASAGroup4)에 모두 일치가 발생합니다. 그러나 그룹 정책 ASAGroup1은 사전순으로 먼저 발생하므로 연결이 그룹 정책에 할당됩니다.
LDAP-MAP #2: 첫 번째 memberOf에 명시적 map-value가 할당되지 않은 경우(ASAGroup4 없음)를 제외하고 이 ldap-attribute-map은 동일합니다. 명시적인 map-value가 정의되지 않은 경우 LDAP에서 받은 특성 텍스트가 사용됩니다.
ldap attribute-map Class
map-name memberOf Group-Policy
map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1
이전 사례와 같이 4개 항목 모두에서 일치가 발생합니다.이 경우 APP-SSL-VPN 항목에 대해 매핑된 값이 제공되지 않으므로 매핑된 값의 기본값은 CN=APP-SSL-VPN Manager,CN=Users,OU=stbu,DC=cisco,DC=com입니다.CN=APP-SSL-VPN이 첫 번째 순서로 나타나므로 APP-SSL-VPN이 정책 값으로 선택됩니다.
자세한 내용은 Cisco 버그 ID CSCub64284를 참조하십시오.PIX/ASA 8.0을 참조하십시오.LDAP Authentication(LDAP 인증)을 사용하여 로그인 시 그룹 정책을 할당합니다. 이 경우 특정 구축에서 작동할 수 있는 memberOf의 간단한 LDAP 케이스를 표시합니다.
해결 방법/모범 사례 옵션
- DAP(Dynamic Access Policy) 사용 - DAP는 다중 값 특성(예: memberOf)을 구문 분석하는 데 이러한 제한이 없습니다.그러나 현재 DAP는 자체 내에서 그룹 정책을 설정할 수 없습니다.즉, 세션이 tunnel-group/group-policy 연결 방법을 통해 올바르게 분할되어야 합니다. 나중에 DAP는 group-policy(Cisco 버그 ID CSCsi54718)를 비롯한 모든 권한 부여 특성을 설정할 수 있으므로 이 용도로 ldap-attribute-map이 필요하지 않습니다.
- 가능한 대안으로서, 구축 시나리오에서 클래스 특성을 설정하기 위해 ldap-attribute-map을 사용해야 할 때마다 AD에서 그룹 차별화를 나타내는 단일 값 특성(예: 부서)을 사용할 수도 있습니다.
참고: "CN=Engineering, OU=Office1, DC=cisco,DC=com"과 같은 MemberOf DN에서는 OU(Organizational Unit)가 아니라 첫 번째 DN인 CN=Engineering에만 결정을 내릴 수 있습니다. 모든 DN 필드에서 필터링할 수 있는 기능이 향상되었습니다.
구성 - 샘플 사용 사례
참고:이 섹션에서 설명하는 각 예는 독립형 컨피그레이션이지만, 서로 혼합하여 원하는 액세스 정책을 생성할 수 있습니다.
팁:특성 이름 및 값은 대/소문자를 구분합니다.매핑이 제대로 수행되지 않을 경우 Cisco 및 LDAP 특성 이름 및 값 모두의 LDAP 특성 맵에서 올바른 맞춤법 및 대/소문자가 사용되었는지 확인하십시오.
1. 사용자 기반 특성 정책 시행
모든 표준 LDAP 특성은 잘 알려진 어플라이언스 VSA(Vendor Specific Attribute)에 매핑할 수 있습니다. 하나 이상의 LDAP 특성을 하나 이상의 Cisco LDAP 특성에 매핑할 수 있습니다.Cisco LDAP VSA의 전체 목록은 LDAP 권한 부여를 위해 지원되는 Cisco 특성을 참조하십시오. 이 예에서는 LDAP user1에 배너를 적용하는 방법을 보여줍니다. User1은 모든 VPN 원격 액세스 유형이 될 수 있습니다.IPsec, SVC 또는 WebVPN 클라이언트리스. 이 예에서는 Banner1을 적용하기 위해 Properties/General/Office 특성/필드를 사용합니다.
참고:ASA/PIX 그룹 정책에서 정책을 적용하기 위해 AD Department 특성/필드를 사용하여 Cisco IETF-Radius-Class VSA에 매핑할 수 있습니다.이 문서의 뒷부분에는 이러한 예가 나와 있습니다.
LDAP(Microsoft AD 및 Sun) 특성 매핑은 PIX/ASA 버전 7.1.x부터 지원됩니다.모든 Microsoft/AD 특성을 Cisco 특성에 매핑할 수 있습니다. 다음 절차를 따르십시오.
-
AD/LDAP 서버에서 다음을 수행합니다.
- user1을 선택합니다.
- 등록 정보를 마우스 오른쪽 단추로 클릭합니다.
- 속성을 설정하기 위해 사용할 탭을 선택합니다(예).일반 탭).
- 시간 범위를 적용하는 데 사용할 필드/특성(예: "Office" 필드)을 선택하고 배너 텍스트를 입력합니다(예: LDAP !!!!!!!). GUI의 "Office" 컨피그레이션은 AD/LDAP 특성 "physicalDeliveryOfficeName"에 저장됩니다.
- ASA에서 LDAP 특성 매핑 테이블을 생성하려면 AD/LDAP 특성 "physicalDeliveryOfficeName"을 ASA 특성 "Banner1"에 매핑합니다.
B200-54(config)# show run ldap
ldap attribute-map Banner
map-name physicalDeliveryOfficeName Banner1 - LDAP 특성 맵을 aaa-server 항목에 연결합니다.
B200-54(config-time-range)# show runn aaa-server microsoft
aaa-server microsoft protocol ldap
aaa-server microsoft host audi-qa.frdevtestad.local
ldap-base-dn dc=frdevtestad,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password hello
ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
ldap-attribute-map Banner - 원격 액세스 세션을 설정하고 "Welcome to LDAP!!!!!" 배너가 있는지 확인합니다. VPN 사용자에게 표시됩니다.
2. LDAP 사용자를 특정 그룹 정책에 배치 - 일반 예
이 예에서는 AD-LDAP 서버에서 user1의 인증을 보여 주고, 정책을 적용할 ASA/PIX 그룹 정책에 매핑할 수 있도록 부서 필드 값을 검색합니다.
-
AD/LDAP 서버에서 다음을 수행합니다.
- user1을 선택합니다.
- 마우스 오른쪽 버튼으로 > 특성(Properties)을 클릭합니다.
- 속성을 설정하기 위해 사용할 탭을 선택합니다(예).조직 탭).
- 그룹 정책을 적용하는 데 사용할 필드/특성(예: "Department")을 선택하고 ASA/PIX에 그룹 정책(Group-Policy1)의 값을 입력합니다.GUI의 "Department" 컨피그레이션은 AD/LDAP 특성 "department"에 저장됩니다.
- ldap-attribute-map 테이블을 정의합니다.
5520-1(config)# show runn ldap
ldap attribute-map Our-AD-Map
map-name department Group-Policy
5520-1(config)#참고: Cisco 버그 ID CSCsv43552를 구현한 결과, IETF-Radius-Class를 대체하기 위해 새로운 ldap-attribute-map 특성 Group-Policy가 도입되었습니다. ASA 버전 8.2의 CLI는 map-name 및 map-value 명령에서 유효한 선택 항목으로 IETF-Radius-Class 키워드를 지원합니다(8.0 소프트웨어 파일을 읽기 위해). 시나리오). 특성 맵 엔트리를 구성할 때 IETF-Radius-Class를 선택 사항으로 더 이상 표시하지 않도록 ASDM(Adaptive Security Device Manager) 코드가 이미 업데이트되었습니다. 또한 ASDM은 IETF-Radius-Class 특성(8.0 구성에서 읽은 경우)을 Group-Policy 특성으로 기록합니다.
- 어플라이언스에서 group-policy Group_policy1 및 필수 정책 특성을 정의합니다.
- VPN 원격 액세스 터널을 설정하고 세션이 Group-Policy1의 특성(및 기본 그룹 정책에서 적용 가능한 기타 특성)을 상속하는지 확인합니다.
참고:필요에 따라 맵에 특성을 추가합니다.이 예에서는 이 특정 기능을 제어하기 위한 최소값만 보여줍니다(특정 ASA/PIX 7.1.x 그룹 정책에 사용자를 배치합니다). 세 번째 예는 이 유형의 맵을 보여줍니다.
NOACCESS 그룹 정책 구성
사용자가 LDAP 그룹의 일부가 아닌 경우 VPN 연결을 거부하기 위해 NOACCESS 그룹 정책을 생성할 수 있습니다.이 컨피그레이션 조각은 참고용으로 표시됩니다.
group-policy NOACCESS internal
group-policy NOACCESS attributes
vpn-simultaneous-logins 0
vpn-tunnel-protocol IPSec webvpn
이 그룹 정책을 터널 그룹에 기본 그룹 정책으로 적용해야 합니다.이렇게 하면 원하는 LDAP 그룹에 속한 사용자와 같은 LDAP 특성 맵에서 매핑을 가져오는 사용자가 원하는 그룹 정책 및 매핑을 얻지 못한 사용자(예: 원하는 LDAP 그룹에 속하지 않은 사용자)를 터널 그룹에서 NOACCESS 그룹 정책을 가져올 수 있습니다. 그러면 해당 그룹에 대한 액세스가 차단됩니다.
팁:vpn-simultaneous-logins 특성은 여기서 0으로 설정되므로 다른 모든 그룹 정책에서도 명시적으로 정의되어야 합니다.그렇지 않으면 해당 터널 그룹에 대한 기본 그룹 정책에서 상속됩니다. 이 경우 NOACCESS 정책입니다.
3. 그룹 기반 속성 정책 시행 - 예
참고:Cisco 버그 ID CSCse08736의 구현/수정이 필요하므로 ASA는 버전 7.2.2 이상을 실행해야 합니다.
- AD-LDAP 서버, Active Directory 사용자 및 컴퓨터에서 VPN 특성이 구성된 그룹을 나타내는 사용자 레코드(VPNUserGroup)를 설정합니다.
- AD-LDAP 서버, Active Directory 사용자 및 컴퓨터에서 각 사용자 레코드의 부서 필드를 정의하여 1단계에서 그룹 레코드(VPNUserGroup)를 가리킵니다. 이 예에서 사용자 이름은 web1입니다.
참고:부서 AD 특성은 논리적으로 "부서"가 그룹 정책을 참조하기 때문에 사용되었을 뿐입니다.사실 어떤 분야든 사용될 수 있다.이 예와 같이 이 필드를 Cisco VPN 특성 그룹 정책에 매핑해야 합니다.
- ldap-attribute-map 테이블을 정의합니다.
5520-1(config)# show runn ldap
ldap attribute-map Our-AD-Map
map-name department IETF-Radius-Class
map-name description\Banner1
map-name physicalDeliveryOfficeName IETF-Radius-Session-Timeout
5520-1(config)#두 AD-LDAP 특성 설명 및 Office(AD 이름 설명 및 PhysicalDeliveryOfficeName으로 표시됨)는 Cisco VPN 특성 Banner1 및 IETF-Radius-Session-Timeout에 매핑되는 그룹 레코드 특성(VPNUSerGroup용)입니다.
부서 특성은 사용자 레코드가 ASA(VPNUSer)의 외부 그룹 정책 이름에 매핑되는 것입니다. 그러면 AD-LDAP 서버의 VPNuserGroup 레코드에 다시 매핑됩니다. 여기서 특성은 정의됩니다.
참고:Cisco 특성(Group-Policy)은 ldap-attribute-map에서 정의되어야 합니다.매핑된 AD 특성은 설정 가능한 모든 AD 특성이 될 수 있습니다.이 예에서는 group-policy를 참조하는 가장 논리적인 이름이기 때문에 department를 사용합니다.
- LDAP 인증, 권한 부여 및 계정 관리(AAA) 작업에 사용할 ldap-attribute-map 이름으로 aaa-server를 구성합니다.
5520-1(config)# show runn aaa-server LDAP-AD11
aaa-server LDAP-AD11 protocol ldap
aaa-server LDAP-AD11 host 90.148.1.11
ldap-base-dn cn=Users,dc=nelson,dc=cisco,dc=com
ldap-scope onelevel
ldap-naming-attribute sAMAccountName
ldap-login-password altiga
ldap-login-dn cn=Administrator,cn=Users,dc=nelson,dc=cisco,dc=com
ldap-attribute-map Our-AD-Map
5520-1(config)# - LDAP 인증 또는 LDAP 권한 부여를 사용하여 터널 그룹을 정의합니다.
- LDAP 인증 예특성이 정의된 경우 인증 + (권한 부여) 특성 정책 적용을 수행합니다.
5520-1(config)# show runn tunnel-group
remoteAccessLDAPTunnelGroup
tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
authentication-server-group LDAP-AD11
accounting-server-group RadiusACS28
5520-1(config)# - LDAP 권한 부여의 예디지털 인증서 사용에 사용되는 컨피그레이션입니다.
5520-1(config)# show runn tunnel-group
remoteAccessLDAPTunnelGroup
tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
authentication-server-group none
authorization-server-group LDAP-AD11
accounting-server-group RadiusACS28
authorization-required
authorization-dn-attributes ea
5520-1(config)#
- LDAP 인증 예특성이 정의된 경우 인증 + (권한 부여) 특성 정책 적용을 수행합니다.
- 외부 그룹 정책을 정의합니다.group-policy의 이름은 그룹(VPNUserGroup)을 나타내는 AD-LDAP 사용자 레코드의 값입니다.
5520-1(config)# show runn group-policy VPNUserGroup
group-policy VPNUserGroup external server-group LDAP-AD11
5520-1(config)# - 터널을 설정하고 특성이 적용되었는지 확인합니다.이 경우 AD의 VPNuserGroup 레코드에서 Banner 및 Session-Timeout이 적용됩니다.
4. IPsec 및 SVC 터널에 대한 "정적 IP 주소 할당"의 Active Directory 시행
AD 특성은 msRADIUSFramedIPAddress입니다.이 속성은 AD 사용자 속성, 전화 접속 탭, "고정 IP 주소 할당"에서 구성됩니다.
다음은 단계입니다.
- AD 서버의 사용자 속성, 전화 접속 탭의 "고정 IP 주소 할당"에서 IPsec/SVC 세션(10.20.30.6)에 할당하려면 IP 주소 값을 입력합니다.
- ASA에서 다음 매핑으로 ldap-attribute-map을 생성합니다.
5540-1# show running-config ldap
ldap attribute-map Assign-IP
map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
5540-1# - ASA에서 vpn-address-assignment가 "vpn-addr-assign-aaa"를 포함하도록 구성되었는지 확인합니다.
5520-1(config)# show runn all vpn-addr-assign
vpn-addr-assign aaa
no vpn-addr-assign dhcp
vpn-addr-assign local
5520-1(config)# - IPsec/SVC RA(Remote Authority) 세션을 설정하고 "show vpn-sessiondb remote|svc"를 사용하여 "Assigned IP" 필드가 정확한지(10.20.30.6)을 확인합니다.
5. "원격 액세스 권한 전화 접속, 액세스 허용/거부"의 Active Directory 시행
모든 VPN 원격 액세스 세션 지원:IPSec, WebVPN 및 SVC입니다.Allow Access(액세스 허용)의 값은 TRUE입니다.Deny Access(액세스 거부)의 값은 FALSE입니다.AD 특성 이름은 msNPAllowDialin입니다.
이 예에서는 Cisco Tunneling-Protocols를 사용하여 TRUE(Allow Access) 및 FALSE(Deny) 조건을 생성하는 ldap-attribute-map을 생성하는 방법을 보여 줍니다.예를 들어 tunnel-protocol=L2TPover IPsec(8)을 매핑하는 경우 WebVPN 및 IPsec에 대한 액세스를 시행하려고 하면 FALSE 조건을 생성할 수 있습니다.역논리도 적용됩니다.
다음은 단계입니다.
- AD 서버 user1 Properties(사용자1 속성)의 Dial-In(다이얼 인)에서 각 사용자에 대해 적절한 액세스 허용 또는 액세스 거부를 선택합니다.
참고:세 번째 옵션 "Control access through the Remote Access Policy(원격 액세스 정책을 통해 액세스 제어)"를 선택하면 AD 서버에서 값이 반환되지 않으므로 적용되는 권한은 ASA/PIX의 내부 그룹 정책 설정을 기반으로 합니다.
- ASA에서 다음 매핑으로 ldap-attribute-map을 생성합니다.
ldap attribute-map LDAP-MAP
map-name msNPAllowDialin Tunneling-Protocols
map-value msNPAllowDialin FALSE 8
map-value msNPAllowDialin TRUE 20
5540-1#참고:필요에 따라 맵에 특성을 추가합니다.이 예에서는 이 특정 기능을 제어하기 위한 최소값만 표시합니다(전화 접속 설정 기준 액세스 허용 또는 거부).
ldap-attribute-map은 무엇을 의미하거나 집행합니까?
- map-value msNPAllowDialin FALSE 8
user1에 대한 액세스 거부. FALSE 값 조건은 터널 프로토콜 L2TPoverIPsec(값 8)에 매핑됩니다.
user2에 대한 액세스를 허용합니다.TRUE 값 조건은 터널 프로토콜 WebVPN + IPsec(값 20)에 매핑됩니다.
- 터널 프로토콜 불일치로 인해 AD에서 user1로 인증되는 WebVPN/IPsec 사용자가 실패합니다.
- AD에서 user1로 인증된 L2TPoverIPsec은 거부 규칙으로 인해 실패합니다.
- AD에서 user2로 인증되는 WebVPN/IPsec 사용자가 성공합니다(허용 규칙 + 일치하는 터널 프로토콜).
- AD에서 user2로 인증되는 L2TPoverIPsec은 터널 프로토콜 불일치로 인해 실패합니다.
RFC 2867 및 2868에 정의된 터널 프로토콜 지원.
6. 액세스를 허용 또는 거부할 "구성원"/그룹 구성원의 Active Directory 시행
이 케이스는 케이스 5와 밀접하게 관련되어 있으며, 더 많은 논리적 플로우를 제공하며, 그룹 멤버십 검사를 조건으로 설정하므로 권장되는 방법입니다.
- AD 사용자를 특정 그룹의 "Member Of"로 구성합니다.그룹 계층(ASA-VPN-Consultants)의 맨 위에 배치하는 이름을 사용합니다. AD-LDAP에서 그룹 구성원은 AD 특성 "memberOf"에 의해 정의됩니다.현재 첫 번째 group/"memberOf" 문자열에만 규칙을 적용할 수 있으므로 그룹이 목록의 맨 위에 있어야 합니다.릴리스 7.3에서는 다중 그룹 필터링 및 적용을 수행할 수 있습니다.
- ASA에서 최소 매핑으로 ldap-attribute-map을 생성합니다.
ldap attribute-map LDAP-MAP
map-name memberOf Tunneling-Protocols
map-value memberOf cn=ASA-VPN-Consultants,cn=Users,dc=abcd,dc=com 4
5540-1#참고:필요에 따라 맵에 특성을 추가합니다.이 예에서는 이 특정 함수를 제어하기 위한 최소값(그룹 멤버십을 기반으로 하는 액세스 허용 또는 거부)만 보여 줍니다.
ldap-attribute-map은 무엇을 의미하거나 집행합니까?
- AD 그룹 "ASA-VPN-Consultants"의 멤버인 User=joe_consultant는 사용자가 IPsec(tunnel-protocol=4=IPSec)을 사용하는 경우에만 액세스가 허용됩니다.
- AD의 일부인 User=joe_consultant는 다른 원격 액세스 클라이언트(PPTP/L2TP, L2TP/IPSec, WebVPN/SVC 등) 동안 VPN 액세스에 실패합니다.
- User=bill_the_hacker는 사용자에게 AD 멤버십이 없으므로 허용되지 않습니다.
7. "로그온 시간/시간 규칙"의 Active Directory 시행
이 활용 사례에서는 AD/LDAP에서 Time of Day 규칙을 설정하고 적용하는 방법을 설명합니다.
이 작업을 수행하는 절차는 다음과 같습니다.
-
AD/LDAP 서버에서 다음을 수행합니다.
- 사용자를 선택합니다.
- 등록 정보를 마우스 오른쪽 단추로 클릭합니다.
- 속성을 설정하기 위해 사용할 탭을 선택합니다(예).일반 탭).
- 시간 범위를 적용하는 데 사용할 필드/속성(예: "Office" 필드)을 선택하고 시간 범위의 이름을 입력합니다(예: Boston). GUI의 "Office" 컨피그레이션은 AD/LDAP 특성 "physicalDeliveryOfficeName"에 저장됩니다.
- ASA에서
- LDAP 특성 매핑 테이블을 생성합니다.
- AD/LDAP 특성 "physicalDeliveryOfficeName"을 ASA 특성 "Access-Hours"에 매핑합니다.
예:
B200-54(config-time-range)# show run ldap
ldap attribute-map TimeOfDay
map-name physicalDeliveryOfficeName Access-Hours - ASA에서 LDAP 특성 맵을 aaa-server 항목에 연결합니다.
B200-54(config-time-range)# show runn aaa-server microsoft
aaa-server microsoft protocol ldap
aaa-server microsoft host audi-qa.frdevtestad.local
ldap-base-dn dc=frdevtestad,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password hello
ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
ldap-attribute-map TimeOfDay - ASA에서 사용자에게 할당된 이름 값이 있는 시간 범위 개체를 만듭니다(1단계의 Office 값).
B200-54(config-time-range)# show runn time-range
!
time-range Boston
periodic weekdays 8:00 to 17:00
! - VPN 원격 액세스 세션을 설정합니다.
- 시간 범위 내에 있는 경우 세션이 성공해야 합니다.
- 시간 범위를 벗어나는 경우 세션이 실패해야 합니다.
8. ldap-map 컨피그레이션을 사용하여 사용자를 특정 그룹 정책에 매핑하고 이중 인증의 경우 authorization-server-group 명령을 사용합니다.
- 이 시나리오에서는 이중 인증이 사용됩니다.첫 번째 인증 서버는 RADIUS이고 두 번째 인증 서버는 LDAP 서버입니다.
- LDAP 서버와 RADIUS 서버를 구성합니다.예를 들면 다음과 같습니다.
ASA5585-S10-K9# show runn aaa-server
aaa-server test-ldap protocol ldap
aaa-server test-ldap (out) host 10.201.246.130
ldap-base-dn cn=users, dc=htts-sec, dc=com
ldap-login-password *****
ldap-login-dn cn=Administrator, cn=Users, dc=htts-sec, dc=com
server-type microsoft
ldap-attribute-map Test-Safenet-MAP
aaa-server test-rad protocol radius
aaa-server test-rad (out) host 10.201.249.102
key ***** - LDAP 특성 맵을 정의합니다.예를 들면 다음과 같습니다.
ASA5585-S10-K9# show runn ldap
ldap attribute-map Test-Safenet-MAP
map-name memberOf IETF-Radius-Class
map-value memberOf "CN=DHCP Users,CN=Users,DC=htts-sec,DC=com" Test-Policy-Safenet - 터널 그룹을 정의하고 인증을 위해 RADIUS 및 LDAP 서버를 연결합니다.예를 들면 다음과 같습니다.
ASA5585-S10-K9# show runn tunnel-group
tunnel-group Test_Safenet type remote-access
tunnel-group Test_Safenet general-attributes
address-pool RA_VPN_IP_Pool
authentication-server-group test-rad
secondary-authentication-server-group test-ldap use-primary-username
default-group-policy NoAccess
tunnel-group Test_Safenet webvpn-attributes
group-alias Test_Safenet enable - tunnel-group 컨피그레이션에서 사용되는 group-policy를 확인합니다.
ASA5585-S10-K9# show runn group-policy
group-policy NoAccess internal
group-policy NoAccess attributes
wins-server none
dns-server value 10.34.32.227 10.34.32.237
vpn-simultaneous-logins 0
default-domain none
group-policy Test-Policy-Safenet internal
group-policy Test-Policy-Safenet attributes
dns-server value 10.34.32.227 10.34.32.237
vpn-simultaneous-logins 15
vpn-idle-timeout 30
vpn-tunnel-protocol ikev1 ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Safenet-Group-Policy-SplitAcl
default-domain none이 컨피그레이션에서는 LDAP 특성 사용과 함께 올바르게 매핑되었던 AnyConnect 사용자가 그룹 정책인 Test-Policy-Safenet에 배치되지 않았습니다.대신 기본 그룹 정책(이 경우에는 NoAccess)에 배치되었습니다.
레벨 정보에서 디버깅(debug ldap 255) 및 syslogs의 코드 조각을 참조하십시오.
--------------------------------------------------------------------------------
memberOf: value = CN=DHCP Users,CN=Users,DC=htts-sec,DC=com
[47] mapped to IETF-Radius-Class: value = Test-Policy-Safenet
[47] mapped to LDAP-Class: value = Test-Policy-Safenet
--------------------------------------------------------------------------------
Syslogs :
%ASA-6-113004: AAA user authentication Successful : server = 10.201.246.130 : user = test123
%ASA-6-113003: AAA group policy for user test123 is being set to Test-Policy-Safenet
%ASA-6-113011: AAA retrieved user specific group policy (Test-Policy-Safenet) for user =
test123
%ASA-6-113009: AAA retrieved default group policy (NoAccess) for user = test123
%ASA-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins
exceeded for user : user = test123
%ASA-6-716039: Group <DfltGrpPolicy> User <test123> IP <10.116.122.154> Authentication:
rejected, Session Type: WebVPN.이러한 syslogs는 사용자별 그룹 정책을 검색했다고 말하지만 동시 로그인 설정이 0으로 설정된 NoAccess 그룹 정책을 사용자에게 제공하면서 실패를 표시합니다.
LDAP-map을 기반으로 그룹 정책에 사용자를 할당하려면 다음 명령을 사용해야 합니다.authorization-server-group test-ldap(이 경우 test-ldap는 LDAP 서버 이름)입니다. 예를 들면 다음과 같습니다.
ASA5585-S10-K9# show runn tunnel-group
tunnel-group Test_Safenet type remote-access
tunnel-group Test_Safenet general-attributes
address-pool RA_VPN_IP_Pool
authentication-server-group test-rad
secondary-authentication-server-group test-ldap use-primary-username
authorization-server-group test-ldap
default-group-policy NoAccess
tunnel-group Test_Safenet webvpn-attributes
group-alias Test_Safenet enable
- LDAP 서버와 RADIUS 서버를 구성합니다.예를 들면 다음과 같습니다.
- 이제 첫 번째 인증 서버(이 예에서는 RADIUS)가 사용자별 특성을 전송한 경우(예: IFT-class 특성) 사용자는 RADIUS에서 보낸 그룹 정책에 매핑됩니다.따라서 보조 서버에 LDAP 맵이 구성되어 있고 사용자의 LDAP 특성이 사용자를 다른 그룹 정책에 매핑하더라도 첫 번째 인증 서버에서 보낸 그룹 정책이 적용됩니다.
사용자가 LDAP 맵 특성을 기반으로 그룹 정책에 배치하도록 하려면 tunnel-group 아래에서 이 명령을 지정해야 합니다.authorization-server-group test-ldap.
- 첫 번째 인증 서버가 사용자 특정 특성을 전달할 수 없는 SDI 또는 OTP인 경우 사용자는 터널 그룹의 기본 그룹 정책에 속하게 됩니다.이 경우 LDAP 매핑이 올바르더라도 NoAccess를 사용할 수 없습니다.
이 경우 사용자가 올바른 그룹 정책에 배치되려면 tunnel-group 아래에서 authorization-server-group test-ldap 명령도 필요합니다.
- 두 서버가 모두 동일한 RADIUS 또는 LDAP 서버인 경우 group-policy lock이 작동하기 위해 authorization-server-group 명령이 필요하지 않습니다.
다음을 확인합니다.
ASA5585-S10-K9# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : test123 Index : 2
Assigned IP : 10.34.63.1 Public IP : 10.116.122.154
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : 3DES 3DES 3DES Hashing : SHA1 SHA1 SHA1
Bytes Tx : 14042 Bytes Rx : 8872
Group Policy : Test-Policy-Safenet Tunnel Group : Test_Safenet
Login Time : 10:45:28 UTC Fri Sep 12 2014
Duration : 0h:01m:12s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
문제 해결
컨피그레이션 문제를 해결하려면 이 섹션을 사용합니다.
LDAP 트랜잭션 디버그
이러한 디버그를 사용하여 DAP 컨피그레이션의 문제를 격리할 수 있습니다.
- 디버그 ldap 255
- 디버그 dap 추적
- 디버그 aaa 인증
ASA가 LDAP 서버에서 사용자를 인증할 수 없음
ASA가 LDAP 서버에서 사용자를 인증할 수 없는 경우 몇 가지 샘플 디버그가 있습니다.
ldap 255 output:[1555805] Session Start[1555805] New request Session, context
0xcd66c028, reqType = 1[1555805]
Fiber started[1555805] Creating LDAP context with uri=ldaps://172.30.74.70:636
[1555805] Connect to LDAP server:
ldaps://172.30.74.70:636, status = Successful[1555805] supportedLDAPVersion:
value = 3[1555805]
supportedLDAPVersion: value = 2[1555805] Binding as administrator[1555805]
Performing Simple
authentication for sysservices to 172.30.74.70[1555805] Simple authentication
for sysservices returned code (49)
Invalid credentials[1555805] Failed to bind as administrator returned code
(-1) Can't contact LDAP server[1555805]
Fiber exit Tx=222 bytes Rx=605 bytes, status=-2[1555805] Session End
이러한 디버그에서 LDAP 로그인 DN 형식이 잘못되었거나 암호가 정확하지 않으므로 두 가지를 모두 확인하여 문제를 해결합니다.
피드백