Configurar a VPN RA usando autenticação e autorização LDAP para FTD gerenciado pelo FMC

Opções de download

  • PDF     (1.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (901.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:11 de Março de 2021
ID do documento:216313

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar a VPN de Acesso Remoto (RA VPN) com a Autenticação e Autorização do Lightweight Diretory Access Protocol (LDAP) em um Firepower Threat Defense (FTD) gerenciado por um Firepower Management Center (FMC).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Compreensão básica do funcionamento da VPN RA.
    • Compreensão da navegação pelo FMC.
    • Configuração de serviços LDAP no Microsoft Windows Server.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • Cisco Firepower Management Center (FMC) versão 6.7.0
    • Cisco Firepower Threat Defense (FTD) versão 6.7.0
    • Windows Server 2012, configurado como servidor LDAP

    Observação: as informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se a sua rede estiver ativa, certifique-se de que você entende o impacto potencial de qualquer alteração de configuração.

    Informações de Apoio

    O LDAP é um protocolo de aplicativo padrão do setor, aberto e neutro para acessar e manter serviços de informações de diretório distribuído.

    Um mapa de atributos LDAP equivale aos atributos existentes no Ative Diretory (AD) ou no servidor LDAP com nomes de atributos Cisco. Em seguida, quando o servidor AD ou LDAP retorna respostas de autenticação para o dispositivo FTD durante um estabelecimento de conexão VPN de acesso remoto, o dispositivo FTD pode usar as informações para ajustar como o cliente AnyConnect conclui a conexão.

    A VPN RA com autenticação LDAP tem suporte no FMC desde a versão 6.2.1 e a autorização LDAP anterior à versão 6.7.0 do FMC foi aconselhada via FlexConfig para configurar o mapa de atributos LDAP e associá-lo ao servidor de território. Esse recurso, com a versão 6.7.0, foi integrado ao assistente de configuração da VPN RA no FMC e não exige mais o uso do FlexConfig.

    Observação: esse recurso exige que o FMC esteja na versão 6.7.0, enquanto o FTD gerenciado pode estar em qualquer versão superior a 6.3.0

    Requisitos de licenciamento

    Requer licença AnyConnect Apex, AnyConnect Plus ou AnyConnect VPN Only somente com funcionalidade controlada por exportação habilitada.

    Para verificar o licenciamento, navegue até System > Licenses > Smart Licenses.

    Etapas de configuração no FMC

    Configuração do servidor REALM / LDAP

    Observação: as etapas mencionadas só são necessárias se estiver configurando um novo servidor REALM / LDAP. Se você tiver um servidor pré-existente que possa ser usado para autenticação na VPN RA, navegue para Configuração de VPN RA.

    Etapa 1. Navegue para Sistema> Integração, como mostrado nesta imagem.

    Etapa 2. Como mostrado na imagem, clique em Adicionar um novo território.

    Etapa 3. Forneça os detalhes do servidor AD. Click OK.

    Para efeitos desta demonstração:

    Nome: LDAP

    Digite: AD

    Domínio primário do AD: rohan.com

    Nome de usuário do diretório: CN=Administrador,CN=Usuários,DC=rohan,DC=com

    Senha do diretório: <Oculto>

    DN base: DC=rohan,DC=com

    DN do grupo: DC=rohan,DC=com

    Etapa 4. Clique em Add Diretory, como mostrado na imagem, para adicionar o novo servidor.

    Etapa 5. Forneça o nome de host / endereço IP e porta para o servidor.

    Para efeitos desta demonstração:

    Nome do host/Endereço IP: 10.106.56.136

    Porta: 389 (porta LDAP padrão)

    Criptografia: Nenhum

        

    Etapa 6. Clique em Salvar para salvar as alterações de realm/diretório, como mostrado nesta imagem.

    Passo 7. Alterne o botão State para alterar o State do servidor para Enabled, como mostrado nesta imagem.

    Configuração de VPN RA

    As etapas a seguir são necessárias para configurar a Política de Grupo que será atribuída aos usuários de VPN Autorizada. Se a Política de Grupo já estiver definida, vá para a Etapa 5.

    Etapa 1. Navegue até Objetos > Gerenciamento de objetos.

    Passo 2: No painel esquerdo, navegue para VPN > Política de grupo.

    Passo 3: Clique em Adicionar política de grupo.

    Passo 4: Forneça as configurações da Diretiva de Grupo.

    Para efeitos desta demonstração:

    Nome: RA-VPN

    Banner: ! Bem-vindo à VPN!

    Login Simultâneo Por Usuário: 3 (Padrão)

       

    Etapa 5. Navegue até Dispositivos > VPN > Acesso remoto.

    Etapa 6. Clique em Adicionar uma nova configuração.

    Passo 7. Forneça um nome para a política de VPN RA. Escolha os protocolos VPN e escolha os dispositivos direcionados. Clique em Next.

    Para efeitos desta demonstração:

    Nome: RA-VPN

    Protocolos VPN: SSL

    Dispositivos direcionados: FTD

    Etapa 8. Escolha o Método de Autenticação como apenas AAA. Escolha o servidor REALM / LDAP em Authentication Server. Clique em Configure LDAP Attribute Map (para configurar a autorização LDAP).

    Etapa 9. Forneça o nome do atributo LDAP e o nome do atributo Cisco. Clique em Adicionar mapa de valor.

    Para efeitos desta demonstração:

    Nome do atributo LDAP: membroDe

    Nome do atributo da Cisco: Política de Grupo

    Etapa 10. Forneça o valor do atributo LDAP e o valor do atributo Cisco. Clique em OK.

    Para efeitos desta demonstração:

    Valor do atributo LDAP: CN=VPN,DC=rohan,DC=com

    Valor do atributo da Cisco: RA-VPN

    Observação: você pode adicionar mais mapas de valor de acordo com o requisito.

    Etapa 11. Adicione o pool de endereços para a atribuição de endereços local. Click OK.

    Etapa 12. Forneça o Nome do Perfil de Conexão e a Diretiva de Grupo. Clique em Next.

    Para efeitos desta demonstração:

    Nome do perfil de conexão: RA-VPN

    método de autenticação: Somente AAA

    Servidor de autenticação: LDAP

    Pool de endereços IPv4: VPN-Pool

    Política de grupo: Sem acesso

    Observação: o Método de Autenticação, o Servidor de Autenticação e o Pool de Endereços IPV4 foram configurados em etapas anteriores.

    A política de grupo No-Access tem a configuração Login Simultâneo Por Usuário definida como 0 (Para não permitir que os usuários possam fazer login se receberem a política de grupo No-Access padrão).

    Etapa 13. Clique em Add new AnyConnect Image para adicionar uma imagem de cliente AnyConnect ao FTD.

    Etapa 14. Forneça um Nome para a imagem carregada e navegue a partir do armazenamento local para carregar a imagem. Click Save.

    Etapa 15. Marque a caixa de seleção ao lado da imagem para habilitá-la para uso. Clique em Next.

    Etapa 16. Escolha o grupo de interface/zona de segurança e o certificado do dispositivo. Clique em Next.

    Para efeitos desta demonstração:

    Grupo de interface/Zona de segurança: Out-Zone

    Certificado do dispositivo: Autoassinado

    Observação: você pode optar por ativar a opção Ignorar controle de acesso para ignorar qualquer verificação de controle de acesso para tráfego criptografado (VPN). (Desabilitado por padrão).

    Etapa 17. Veja o resumo da configuração da VPN RA. Clique em Concluir para salvar, como mostrado na imagem.

    Etapa 18. Navegue até Implantar > Implantação. Escolha o FTD para o qual a configuração precisa ser implantada e clique em Implantar.

    Configuração enviada para a CLI do FTD após a implantação bem-sucedida:

    !--- LDAP Server Configuration ---!

    ldap attribute-map LDAP
     map-name memberOf Group-Policy
     map-value memberOf CN=VPN,DC=rohan,DC=com RA-VPN

    aaa-server LDAP protocol ldap
     max-failed-attempts 4
     realm-id 2
    aaa-server LDAP host 10.106.56.137
     server-port 389
     ldap-base-dn DC=rohan,DC=com
     ldap-group-base-dn DC=rohan,DC=com
     ldap-scope subtree
     ldap-naming-attribute sAMAccountName
     ldap-login-password *****
     ldap-login-dn CN=Administrator,CN=Users,DC=rohan,DC=com
     server-type microsoft
     ldap-attribute-map LDAP

    !--- RA VPN Configuration ---!

    webvpn
     enable Outside
     anyconnect image disk0:/csm/anyconnect-win-4.7.02036-webdeploy-k9.pkg 1 regex "Windows"
     anyconnect enable
     tunnel-group-list enable
     error-recovery disable

    ssl trust-point Self-Signed

    group-policy No-Access internal
    group-policy No-Access attributes 
     vpn-simultaneous-logins 0
     vpn-idle-timeout 30

     !--- Output Omitted ---!

     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelall
     ipv6-split-tunnel-policy tunnelall
     split-tunnel-network-list none

    group-policy RA-VPN internal
    group-policy RA-VPN attributes
     banner value ! Welcome to VPN !
     vpn-simultaneous-logins 3
     vpn-idle-timeout 30

    !--- Output Omitted ---!

     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelall
     ipv6-split-tunnel-policy tunnelall
     split-tunnel-network-list non

    ip local pool VPN-Pool 192.168.90.1-192.168.90.100 mask 255.255.255.0

    tunnel-group RA-VPN type remote-access
    tunnel-group RA-VPN general-attributes
    address-pool VPN-Pool
    authentication-server-group LDAP
    default-group-policy No-Access
    tunnel-group RA-VPN webvpn-attributes
    group-alias RA-VPN enable

    Verificar

    No cliente AnyConnect, faça login usando Credenciais de grupo de usuários VPN válidas e obtenha a política de grupo correta atribuída pelo mapa de atributos LDAP:

    No trecho de depuração LDAP (debug ldap 255), você pode ver que há uma correspondência no mapa de atributos LDAP:

    Authentication successful for rohan to 10.106.56.137

    memberOf: value = CN=VPN,DC=rohan,DC=com
            mapped to Group-Policy: value = RA-VPN
            mapped to LDAP-Class: value = RA-VPN

    No cliente AnyConnect, faça login usando uma credencial de grupo de usuários de VPN inválida e obtenha a política de grupo No-Access.

    %FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator
    %FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator
    %FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator

    No trecho de depuração LDAP (debug ldap 255), você pode ver que não há correspondência no mapa de atributos LDAP:

    Authentication successful for Administrator to 10.106.56.137

    memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com
    memberOf: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com
    memberOf: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com
    memberOf: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com
    memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com
    memberOf: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
            mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
            mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Rohan Biswas
      Cisco TAC Engineer
    • Tazy Khan
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos