FMC를 통해 관리되는 FTD에서 SAML 인증으로 Anyconnect 구성

다운로드 옵션

PDF (651.4 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (529.6 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (542.0 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2021년 8월 31일 (화)

문서 ID:216268

번역에 관하여

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 FMC를 통해 관리되는 FTD에서 SAML(Security Assertion Markup Language) 인증의 컨피그레이션 예를 제공합니다.이 컨피그레이션을 통해 Anyconnect 사용자는 SAML ID 서비스 공급자로 인증하는 VPN 세션을 설정할 수 있습니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

FMC에 대한 AnyConnect 컨피그레이션 지식
SAML 및 metatada.xml 값에 대한 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

FTD(Firepower Threat Defense) 버전 6.7.0
FMC(Firepower Management Center) 버전 6.7.0
SAML 2.0을 사용하는 AD 서버의 ADFS

참고:가능하면 NTP 서버를 사용하여 FTD와 IdP 간의 시간을 동기화합니다.그렇지 않으면 시간 간에 수동으로 동기화해야 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

배경 정보

현재 SAML의 몇 가지 제한 사항은:

FTD의 SAML은 인증(버전 6.7 시작) 및 권한 부여(버전 7.0 이상)에 대해 지원됩니다.

DAP 평가에서 SAML 인증 특성을 사용할 수 있는 것은 지원되지 않습니다(AAA 서버에서 RADIUS 인증 응답으로 보낸 RADIUS 특성과 유사).

ASA는 DAP 정책에서 SAML 지원 터널 그룹을 지원합니다.그러나 SAML 인증을 사용하는 동안에는 사용자 이름 특성을 확인할 수 없습니다. 사용자 이름 특성은 SAML ID 공급자에 의해 마스킹됩니다

임베디드 브라우저가 있는 AnyConnect는 VPN 시도마다 새 브라우저 세션을 사용하므로 IdP가 HTTP 세션 쿠키를 사용하여 로그인 상태를 추적하는 경우 사용자는 매번 재인증해야 합니다.이 경우 Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Advanced(고급) > Single Sign On Servers(단일 사인온 서버)>의 Force Re-Authentication(인증 강제)은 AnyConnect에서 시작한 SAML 인증에 영향을 미치지 않습니다.

자세한 제한 사항 또는 SAML은 아래 링크에 설명되어 있습니다.이러한 제한은 ASA 및 FTD에 적용됩니다."SAML 2.0에 대한 지침 및 제한 사항"

https://www.cisco.com/c/en/us/td/docs/security/asa/asa915/configuration/vpn/asa-915-vpn-config/webvpn-configure-users.html#reference_55BA48B37D6443BEA5D2F42EC21075B5

참고:FTD에 구현해야 하는 모든 SAML 컨피그레이션은 IdP에서 제공하는 metadata.xml 파일에서 찾을 수 있습니다.

구성

이 섹션에서는 FTD에서 SAML 인증을 사용하여 Anyconnect를 구성하는 방법에 대해 설명합니다

SAML IdP 매개변수 가져오기

아래 그림에서는 SAML IdP metadata.xml 파일을 보여 줍니다.출력에서 SAML을 사용하여 Anyconnect 프로파일을 구성하는 데 필요한 모든 값을 가져올 수 있습니다.

metadataready

FMC를 통한 FTD의 컨피그레이션

1단계. FMC에 IdP 인증서를 설치하고 등록합니다.Devices(디바이스) > Certificates(인증서)로 이동합니다.

fmc_1

2단계. 추가를 클릭합니다.이 인증서에 등록할 FTD를 선택합니다.Cert Enrollment(인증서 등록)에서 + 기호를 클릭합니다.

Add Cert Enrollment(인증서 등록 추가) 섹션에서 IdP 인증서의 레이블로 임의의 이름을 사용합니다.Manual(수동)을 클릭해야 합니다.CA Only(CA 전용) 및 Skip Check for CA flag(CA 플래그 확인 건너뛰기) 필드를 선택한 다음 base64 형식 IdP CA 인증서를 붙여넣습니다.마지막으로 Save(저장)를 클릭한 다음 Add(추가)를 클릭합니다.

fmc_2

3단계. SAML 서버 설정을 구성합니다.Objects(개체) > Object Management(개체 관리) > AAA Servers(AAA 서버) > Single Sign-on Server(단일 로그인 서버)로 이동합니다.그런 다음 Add Single Sing-on Server를 선택합니다.

fmc_3

4단계. IdP에서 이미 제공한 metadata.xml 파일에 따라 새 Single Sign-on 서버에서 SAML 값을 구성합니다.

SAML Provider Entity ID: entityID from metadata.xml
SSO URL: SingleSignOnService from metadata.xml.
Logout URL: SingleLogoutService from metadata.xml.
BASE URL: FQDN of your FTD SSL ID Certificate.
Identity Provider Certificate: IdP Signing Certificate.
Service Provider Certificate: FTD Signing Certificate.

fmc_4

5단계. 이 인증 방법을 사용하는 연결 프로파일을 구성합니다.Devices(디바이스) > Remote Access(원격 액세스)로 이동한 다음 기존 VPN Remote Access 컨피그레이션을 수정합니다.

fmc_5

6단계. + 기호를 클릭하고 다른 연결 프로파일을 추가합니다.

fmc_6

7단계. 새 연결 프로파일을 생성하고 적절한 VPN 로컬 풀 또는 DHCP 서버를 추가합니다.

fmc_7

8단계. 이제 AAA 탭을 선택합니다.Authentication Method 옵션에서 SAML을 선택합니다.Authentication Server 옵션에서 4단계에서 생성한 SAML 객체를 선택합니다.

fmc_8

9단계. 마지막으로 이 연결 프로파일에 연결을 매핑할 그룹 별칭을 생성합니다.사용자가 Anyconnect Software 드롭다운 메뉴에서 볼 수 있는 태그입니다.이 구성이 완료되면 OK(확인)를 선택하고 전체 SAML 인증 VPN 컨피그레이션을 저장합니다.

fmc_9

10단계. Deploy(구축) > Deployment(구축)로 이동하고 SAML Authentication VPN 변경 사항을 적용하려면 적절한 FTD를 선택합니다.

11단계. 이제 FTD의 metadata.xml 파일을 IdP에 제공하여 FTD를 신뢰할 수 있는 디바이스로 추가합니다.FTD CLI에서 다음 명령을 실행합니다."show saml metadata SAML_TG "여기서 SAML_TG는 7단계에서 생성한 연결 프로파일의 이름입니다.

아래 브래킷에서 볼 수 있듯이, 위에 언급한 명령의 예상 출력입니다.

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> en
Password:
firepower# show saml metadata SAML_TG

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="https://ftd.lab.local/saml/sp/metadata/SAML_TG" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>MIIF1zCCBL+gAwIBAgITYAAAABN6dX+H0cOFYwAAAAAAEzANBgkqhkiG9w0BAQsF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</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>
<AssertionConsumerService index="0" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://ftd.lab.local/+CSCOE+/saml/sp/acs?tgname=SAML_TG" />
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://ftd.lab.local/+CSCOE+/saml/sp/logout"/><SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://ftd.lab.local/+CSCOE+/saml/sp/logout"/></SPSSODescriptor>
</EntityDescriptor>

FTD의 metadata.xml을 IdP에 제공하고 이를 신뢰할 수 있는 디바이스로 추가하면 VPN 연결에서 테스트를 수행할 수 있습니다.

다음을 확인합니다.

SAML을 인증 방법으로 사용하여 VPN Anyconnect 연결이 다음과 같은 명령을 사용하여 설정되었는지 확인합니다.

firepower# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : josue@lab.local Index : 4
Assigned IP : 10.1.1.1 Public IP : 192.168.1.104
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 12772 Bytes Rx : 0
Pkts Tx : 10 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : SAML_GP Tunnel Group : SAML_TG
Login Time : 18:19:13 UTC Tue Nov 10 2020
Duration : 0h:03m:12s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a80109000040005faad9a1
Security Grp : none Tunnel Zone : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 4.1
Public IP : 192.168.1.104
Encryption : none Hashing : none
TCP Src Port : 55130 TCP Dst Port : 443
Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 26 Minutes
Client OS : linux-64
Client OS Ver: Ubuntu 20.04.1 LTS (Focal Fossa)
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Linux 4.9.03047
Bytes Tx : 6386 Bytes Rx : 0
Pkts Tx : 5 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 4.2
Assigned IP : 10.1.1.1 Public IP : 192.168.1.104
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 55156
TCP Dst Port : 443 Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Linux_64
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Linux 4.9.03047
Bytes Tx : 6386 Bytes Rx : 0
Pkts Tx : 5 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 4.3
Assigned IP : 10.1.1.1 Public IP : 192.168.1.104
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 40868
UDP Dst Port : 443 Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Linux_64
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Linux 4.9.03047
Bytes Tx : 0 Bytes Rx : 0
Pkts Tx : 0 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

문제 해결

FTD CLI의 일부 확인 명령은 브래킷에 표시된 대로 SAML 및 원격 액세스 VPN 연결 문제를 해결하는 데 사용할 수 있습니다.

firepower# show run webvpn
firepower# show run tunnel-group
firepower# show crypto ca certificate
firepower# debug webvpn saml 25

참고:AnyConnect의 사용자 PC에서 DART 문제를 해결할 수도 있습니다

Revision History

Revision	Publish Date	Comments
1.0	31-Aug-2021	Initial Release

Cisco 엔지니어가 작성

Created by Josue David Brenes Morales
Technical Consulting Engineer
Edited by Cesar Ivan Monterrubio Ramirez
Technical Consulting Engineer

이 문서가 도움이 되셨습니까?

피드백

지원 문의

지원 케이스 접수
(시스코 서비스 계약 필요)