O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como usar mapas de atributos do Lightweight Diretory Access Protocol (LDAP) para configurar políticas granulares de acesso dinâmico em um ASA (Adaptive Security Appliance).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas na plataforma de hardware ASA-5xxx que executa como um concentrador/servidor VPN SSL de Acesso Remoto (AnyConnect e Clientless/WebVPN) e sessões IPsec.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
O LDAP é um protocolo de aplicativo padrão do setor, aberto e sem fornecedor, para acessar e manter serviços de informações de diretório distribuído em uma rede IP. Os serviços de diretório desempenham um papel importante no desenvolvimento de aplicativos de intranet e Internet porque permitem que as informações sobre usuários, sistemas, redes, serviços e aplicativos sejam compartilhadas por toda a rede.
Frequentemente, os administradores querem fornecer aos usuários VPN diferentes permissões de acesso ou conteúdo WebVPN. Isso pode ser feito se você configurar diferentes políticas de VPN no servidor VPN e atribuir esses conjuntos de políticas a cada usuário com base em suas credenciais. Embora isso possa ser feito manualmente, é mais eficiente automatizar o processo com os Serviços de Diretório. Para usar o LDAP para atribuir uma política de grupo a um usuário, você precisa configurar um mapa que mapeie um atributo LDAP, como o membroDe atributo do Ative Diretory (AD), para o atributo IETF-Radius-Class ou Group-Policy que é entendido pelo headend da VPN.
Note: Nos headends do Cisco IOS, a mesma coisa pode ser obtida se você configurar diferentes grupos de política no contexto do WebVPN e usar mapas de atributos LDAP para determinar qual grupo de política o usuário será atribuído conforme descrito no documento. Consulte Exemplo de Configuração de Atribuição de Grupo de Políticas para Clientes AnyConnect que Usam LDAP em Cisco IOS Headends.
No ASA, isso é obtido regularmente através da atribuição de diferentes políticas de grupo a diferentes usuários. Quando a autenticação LDAP está em uso, esta pode ser obtida automaticamente com um mapa do atributos LDAP. Para usar LDAP para atribuir uma política de grupo a um usuário, você deve mapear um atributo LDAP, como o atributo AD memberOf, para o atributo Group-Policy que é entendido pelo ASA. Depois que o mapeamento de atributo for estabelecido, você deverá mapear o valor de atributo configurado no servidor LDAP para o nome de uma política de grupo no ASA.
Observação: o atributo memberOf corresponde ao grupo do qual o usuário faz parte no Ative Diretory. É possível que um usuário seja membro de mais de um grupo no Ative Diretory. Isso faz com que vários atributos memberOf sejam enviados pelo servidor, mas o ASA só pode corresponder um atributo a uma política de grupo.
A. Não, não há limites. ldap-attribute-maps são alocados dinamicamente durante a sessão de acesso remoto de VPN que usa autenticação/autorização LDAP.
A. Sem limites de configuração.
A. Sem restrições. O código LDAP só verifica se o nome ldap-attribute-map é válido.
A. Yes. Aqui, somente o AD é explicado, mas se aplica a qualquer servidor LDAP que usa atributos de vários valores para decisões de política. O ldap-attribute-map tem uma limitação com atributos de vários valores, como o membro do ADOf. Se um usuário for membro de vários grupos AD (o que é comum) e o comando ldap-attribute-map corresponder a mais de um deles, o valor mapeado será escolhido com base na alfabetização das entradas correspondentes. Como esse comportamento não é óbvio ou intuitivo, é importante ter um conhecimento claro de como ele funciona.
Resumo: se o mapeamento LDAP resultar em vários valores para um atributo, o valor final do atributo será escolhido da seguinte forma:
O Ative Diretory-LDAP retorna estas quatro instâncias de memberOf para uma autenticação de usuário ou solicitação de autorização:
memberOf: value = CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Cisco-Eng,CN=Users,DC=stbu,OU=cisco,DC=com
memberOf: value = CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com
LDAP-MAP #1: Suponha que este mapa de atributos ldap esteja configurado para mapear diferentes políticas de grupo do ASA com base na configuração memberOf:
ldap attribute-map Class
map-name memberOf Group-Policy
map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup4
map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1
Nesse caso, ocorrerão correspondências em todos os quatro valores de política de grupo (ASAGroup1 - ASAGroup4). No entanto, a conexão será atribuída ao ASAGroup1 de política de grupo porque ocorre primeiro em ordem alfabética.
LDAP-MAP #2: Este mapa de atributo ldap é o mesmo, exceto que o primeiro membroDe não tem um valor de mapa explícito atribuído (sem ASAGroup4). Observe que quando não há nenhum valor de mapa explícito definido, o texto do atributo recebido do LDAP é usado.
ldap attribute-map Class
map-name memberOf Group-Policy
map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1
Como no caso anterior, as correspondências ocorrem em todas as quatro entradas. Nesse caso, como nenhum valor mapeado é fornecido para a entrada APP-SSL-VPN, o valor mapeado assumirá como padrão CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com. Como CN=APP-SSL-VPN aparece primeiro em ordem alfabética, APP-SSL-VPN será selecionado como o valor da política.
Consulte o bug da Cisco ID CSCub64284 para obter mais informações. Consulte o PIX/ASA 8.0: Use a autenticação LDAP para atribuir uma política de grupo no login, que mostra um caso LDAP simples com memberOf que pode funcionar em sua implantação específica.
Nota: em um membroDe DN como "CN=Engineering, OU=Office1, DC=cisco,DC=com", você só pode tomar a decisão sobre o primeiro DN, ou seja, CN=Engineering, não (OU). Há um aprimoramento para ser capaz de filtrar em qualquer campo DN.
Note: Cada exemplo descrito nesta seção é uma configuração independente, mas pode ser misturado e combinado um com o outro para produzir a política de acesso desejada.
Tip: Os valores e os nomes dos atributos diferenciam maiúsculas de minúsculas. Se o mapeamento não ocorrer corretamente, certifique-se de que a ortografia e a capitalização corretas foram usadas no mapa de atributos LDAP para ambos os valores e nomes de atributos da Cisco e LDAP.
Qualquer atributo LDAP padrão pode ser mapeado para um VSA (Vendor Specific Attribute, Atributo Específico do Fornecedor) de dispositivo bem conhecido. Um ou mais atributos LDAP podem ser mapeados para um ou mais atributos LDAP da Cisco. Para obter uma lista completa de VSAs LDAP da Cisco, consulte Atributos da Cisco suportados para autorização LDAP. Este exemplo mostra como aplicar um banner para o usuário LDAP1. User1 pode ser qualquer tipo de Acesso Remoto VPN: IPsec, SVC ou WebVPN sem cliente. Este exemplo usa o atributo/campo Propriedades/Geral/Escritório para aplicar o Banner1.
Note: Você pode usar o atributo/campo do departamento do AD para mapear para o Cisco IETF-Radius-Class VSA para aplicar políticas de uma política de grupo do ASA/PIX. Há exemplos disso posteriormente no documento.
O mapeamento de atributo LDAP (para Microsoft AD e Sun) é suportado a partir do PIX/ASA versão 7.1.x. Qualquer atributo Microsoft/AD pode ser mapeado para um atributo Cisco. Este é o procedimento para executar este procedimento:
No servidor AD/LDAP:
B200-54(config)# show run ldap
ldap attribute-map Banner
map-name physicalDeliveryOfficeName Banner1
B200-54(config-time-range)# show runn aaa-server microsoft
aaa-server microsoft protocol ldap
aaa-server microsoft host audi-qa.frdevtestad.local
ldap-base-dn dc=frdevtestad,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password hello
ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
ldap-attribute-map Banner
Este exemplo demonstra a autenticação de user1 no servidor AD-LDAP e recupera o valor do campo de departamento para que ele possa ser mapeado para uma política de grupo ASA/PIX a partir da qual as políticas serão aplicadas.
No servidor AD/LDAP:
5520-1(config)# show runn ldap
ldap attribute-map Our-AD-Map
map-name department Group-Policy
5520-1(config)#
Note: Como resultado da implementação do bug da Cisco ID CSCsv43552, um novo atributo ldap-attribute-map, Group-Policy, foi introduzido para substituir IETF-Radius-Class. A CLI no ASA versão 8.2 suporta a palavra-chave IETF-Radius-Class como uma opção válida nos comandos map-name e map-value para ler um arquivo de configuração 8.0 (cenário de atualização de software). O código do Adaptive Security Device Manager (ASDM) já foi atualizado para deixar de exibir IETF-Radius-Class como uma opção quando você configura uma entrada de mapa de atributos. Além disso, o ASDM grava o atributo IETF-Radius-Class (se lido em uma configuração 8.0) como o atributo Group-Policy.
Note: Adicione mais atributos ao mapa conforme necessário. Este exemplo mostra apenas o mínimo para controlar essa função específica (colocar um usuário em uma política de grupo ASA/PIX 7.1.x específica). O terceiro exemplo mostra esse tipo de mapa.
Você pode criar uma política de grupo NOACCESS para negar a conexão VPN quando o usuário não faz parte de nenhum dos grupos LDAP. Este trecho de configuração é mostrado para sua referência:
group-policy NOACCESS internal
group-policy NOACCESS attributes
vpn-simultaneous-logins 0
vpn-tunnel-protocol IPSec webvpn
Você deve aplicar essa política de grupo como uma política de grupo padrão ao grupo de túneis. Isso permite que os usuários que obtêm um mapeamento do mapa de atributos LDAP, por exemplo, aqueles que pertencem a um grupo LDAP desejado, obtenham as políticas de grupo desejadas e os usuários que não obtêm nenhum mapeamento, por exemplo, aqueles que não pertencem a nenhum dos grupos LDAP desejados, obtenham a política de grupo de NOACCESS do grupo de túneis, que bloqueia o acesso para eles.
Tip: Como o atributo vpn-simultâneo-logins é definido como 0 aqui, ele deve ser explicitamente definido em todas as outras políticas de grupo também; caso contrário, ele será herdado da política de grupo padrão para esse grupo de túneis, que, nesse caso, é a política NOACCESS.
Note: A implementação/correção do bug da Cisco ID CSCse08736 é necessária, portanto o ASA deve executar pelo menos a versão 7.2.2.
Note: O atributo do departamento AD foi usado somente porque logicamente "departamento" se refere à política de grupo. Na verdade, qualquer campo poderia ser usado. O requisito é que esse campo tenha que mapear para o atributo de política de grupo do Cisco VPN como mostrado neste exemplo.
5520-1(config)# show runn ldap
ldap attribute-map Our-AD-Map
map-name department IETF-Radius-Class
map-name description\Banner1
map-name physicalDeliveryOfficeName IETF-Radius-Session-Timeout
5520-1(config)#
Os dois atributos de AD-LDAP Descrição e Escritório (representados pela descrição de nomes de AD e PhysicalDeliveryOfficeName) são os atributos de registro de grupo (para VPNUSerGroup) que mapeiam para os atributos de VPN da Cisco Banner1 e IETF-Radius-Session-Timeout.
O atributo de departamento é para o registro do usuário mapear para o nome da política de grupo externa no ASA (VPNUSer), que, em seguida, mapeia de volta para o registro VPNuserGroup no servidor AD-LDAP, onde os atributos são definidos.
Note: O atributo Cisco (Group-Policy ) deve ser definido no comando ldap-attribute-map. Seu atributo AD mapeado pode ser qualquer atributo AD definível. Este exemplo usa o departamento porque é o nome mais lógico que se refere à política de grupo.
5520-1(config)# show runn aaa-server LDAP-AD11
aaa-server LDAP-AD11 protocol ldap
aaa-server LDAP-AD11 host 90.148.1.11
ldap-base-dn cn=Users,dc=nelson,dc=cisco,dc=com
ldap-scope onelevel
ldap-naming-attribute sAMAccountName
ldap-login-password altiga
ldap-login-dn cn=Administrator,cn=Users,dc=nelson,dc=cisco,dc=com
ldap-attribute-map Our-AD-Map
5520-1(config)#
5520-1(config)# show runn tunnel-group
remoteAccessLDAPTunnelGroup
tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
authentication-server-group LDAP-AD11
accounting-server-group RadiusACS28
5520-1(config)#
5520-1(config)# show runn tunnel-group
remoteAccessLDAPTunnelGroup
tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
authentication-server-group none
authorization-server-group LDAP-AD11
accounting-server-group RadiusACS28
authorization-required
authorization-dn-attributes ea
5520-1(config)#
5520-1(config)# show runn group-policy VPNUserGroup
group-policy VPNUserGroup external server-group LDAP-AD11
5520-1(config)#
O atributo AD é msRADIUSFramedIPAaddress. O atributo está configurado em Propriedades do usuário do AD, guia Discar, "Atribuir um endereço IP estático".
Aqui estão as etapas:
5540-1# show running-config ldap
ldap attribute-map Assign-IP
map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
5540-1#
5520-1(config)# show runn all vpn-addr-assign
vpn-addr-assign aaa
no vpn-addr-assign dhcp
vpn-addr-assign local
5520-1(config)#
Suporta todas as sessões de Acesso Remoto VPN: IPSec, WebVPN e SVC. Allow Access tem um valor TRUE. Negar acesso tem um valor FALSE. O nome do atributo do AD é msNPAllowDialin.
Este exemplo demonstra a criação de um mapa de atributos ldap que usa o Cisco Tunneling-Protocols para criar condições de Permitir Acesso (TRUE) e Negação (FALSE). Por exemplo, se você mapeia o tunnel-protocol=L2TPover IPsec (8), você pode criar uma condição FALSE se tentar impor o acesso para WebVPN e IPsec. A lógica inversa também se aplica.
Aqui estão as etapas:
Note: Se você selecionar a terceira opção "Controle o acesso por meio da Política de acesso remoto", nenhum valor será retornado do servidor do AD, de modo que as permissões que são aplicadas sejam baseadas na configuração interna da política de grupo do ASA/PIX.
ldap attribute-map LDAP-MAP
map-name msNPAllowDialin Tunneling-Protocols
map-value msNPAllowDialin FALSE 8
map-value msNPAllowDialin TRUE 20
5540-1#
Note: Adicione mais atributos ao mapa conforme necessário. Este exemplo mostra apenas o mínimo para controlar esta função específica (Permitir ou Negar Acesso com base na configuração de Discagem de Entrada).
O que significa ou aplica o comando ldap-attribute-map?
Negar acesso para um usuário1. A condição de valor FALSE mapeia para o protocolo de túnel L2TPoverIPsec, (valor 8).
Permitir acesso para usuário2. A condição de valor TRUE mapeia para o protocolo de túnel WebVPN + IPsec, (valor 20).
Esse caso está intimamente relacionado ao Caso 5, fornece um fluxo mais lógico e é o método recomendado, pois estabelece a verificação de associação de grupo como uma condição.
ldap attribute-map LDAP-MAP
map-name memberOf Tunneling-Protocols
map-value memberOf cn=ASA-VPN-Consultants,cn=Users,dc=abcd,dc=com 4
5540-1#
Note: Adicione mais atributos ao mapa conforme necessário. Este exemplo mostra apenas o mínimo para controlar essa função específica (Permitir ou Negar Acesso com base na associação do Grupo).
O que significa ou aplica o comando ldap-attribute-map?
Este caso de uso descreve como configurar e aplicar as regras de horário no AD/LDAP.
Aqui está o procedimento para fazer isto:
No servidor AD/LDAP:
Exemplo:
B200-54(config-time-range)# show run ldap
ldap attribute-map TimeOfDay
map-name physicalDeliveryOfficeName Access-Hours
B200-54(config-time-range)# show runn aaa-server microsoft
aaa-server microsoft protocol ldap
aaa-server microsoft host audi-qa.frdevtestad.local
ldap-base-dn dc=frdevtestad,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password hello
ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
ldap-attribute-map TimeOfDay
B200-54(config-time-range)# show runn time-range
!
time-range Boston
periodic weekdays 8:00 to 17:00
!
ASA5585-S10-K9# show runn aaa-server
aaa-server test-ldap protocol ldap
aaa-server test-ldap (out) host 10.201.246.130
ldap-base-dn cn=users, dc=htts-sec, dc=com
ldap-login-password *****
ldap-login-dn cn=Administrator, cn=Users, dc=htts-sec, dc=com
server-type microsoft
ldap-attribute-map Test-Safenet-MAP
aaa-server test-rad protocol radius
aaa-server test-rad (out) host 10.201.249.102
key *****
ASA5585-S10-K9# show runn ldap
ldap attribute-map Test-Safenet-MAP
map-name memberOf IETF-Radius-Class
map-value memberOf "CN=DHCP Users,CN=Users,DC=htts-sec,DC=com" Test-Policy-Safenet
ASA5585-S10-K9# show runn tunnel-group
tunnel-group Test_Safenet type remote-access
tunnel-group Test_Safenet general-attributes
address-pool RA_VPN_IP_Pool
authentication-server-group test-rad
secondary-authentication-server-group test-ldap use-primary-username
default-group-policy NoAccess
tunnel-group Test_Safenet webvpn-attributes
group-alias Test_Safenet enable
ASA5585-S10-K9# show runn group-policy
group-policy NoAccess internal
group-policy NoAccess attributes
wins-server none
dns-server value 10.34.32.227 10.34.32.237
vpn-simultaneous-logins 0
default-domain none
group-policy Test-Policy-Safenet internal
group-policy Test-Policy-Safenet attributes
dns-server value 10.34.32.227 10.34.32.237
vpn-simultaneous-logins 15
vpn-idle-timeout 30
vpn-tunnel-protocol ikev1 ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Safenet-Group-Policy-SplitAcl
default-domain none
Com essa configuração, os usuários do AnyConnect que foram mapeados corretamente com o uso de atributos LDAP não foram colocados na política de grupo, Test-Policy-Safenet. Em vez disso, eles ainda foram colocados na política de grupo padrão, neste caso, NoAccess.
Veja o trecho das depurações (debug ldap 255) e syslogs em nível informativo:
--------------------------------------------------------------------------------
memberOf: value = CN=DHCP Users,CN=Users,DC=htts-sec,DC=com
[47] mapped to IETF-Radius-Class: value = Test-Policy-Safenet
[47] mapped to LDAP-Class: value = Test-Policy-Safenet
--------------------------------------------------------------------------------
Syslogs :
%ASA-6-113004: AAA user authentication Successful : server = 10.201.246.130 : user = test123
%ASA-6-113003: AAA group policy for user test123 is being set to Test-Policy-Safenet
%ASA-6-113011: AAA retrieved user specific group policy (Test-Policy-Safenet) for user =
test123
%ASA-6-113009: AAA retrieved default group policy (NoAccess) for user = test123
%ASA-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins
exceeded for user : user = test123
%ASA-6-716039: Group <DfltGrpPolicy> User <test123> IP <10.116.122.154> Authentication:
rejected, Session Type: WebVPN.
Esses syslogs mostram falha, pois o usuário recebeu a política de grupo NoAccess, que tinha o login simultâneo definido como 0, embora os syslogs digam que recuperou uma política de grupo específica do usuário.
Para que o usuário seja atribuído na política de grupo, com base no mapa LDAP, você deve ter este comando: authorization-server-group test-ldap (nesse caso, test-ldap é o nome do servidor LDAP). Aqui está um exemplo:
ASA5585-S10-K9# show runn tunnel-group
tunnel-group Test_Safenet type remote-access
tunnel-group Test_Safenet general-attributes
address-pool RA_VPN_IP_Pool
authentication-server-group test-rad
secondary-authentication-server-group test-ldap use-primary-username
authorization-server-group test-ldap
default-group-policy NoAccess
tunnel-group Test_Safenet webvpn-attributes
group-alias Test_Safenet enable
Para que o usuário seja colocado em uma política de grupo com base no atributo de mapa LDAP, você deve especificar este comando no grupo de túneis: authorization-server-group test-ldap.
Nesse caso, você também precisaria do comando authorization-server-group test-ldap, no grupo de túneis, para que o usuário fosse colocado na política de grupo correta.
ASA5585-S10-K9# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : test123 Index : 2
Assigned IP : 10.34.63.1 Public IP : 10.116.122.154
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : 3DES 3DES 3DES Hashing : SHA1 SHA1 SHA1
Bytes Tx : 14042 Bytes Rx : 8872
Group Policy : Test-Policy-Safenet Tunnel Group : Test_Safenet
Login Time : 10:45:28 UTC Fri Sep 12 2014
Duration : 0h:01m:12s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
Use esta seção para fazer o troubleshooting da sua configuração.
Essas depurações podem ser usadas para ajudar a isolar problemas com a configuração do DAP:
Caso o ASA não possa autenticar usuários do servidor LDAP, aqui estão algumas depurações de exemplo:
ldap 255 output:[1555805] Session Start[1555805] New request Session, context
0xcd66c028, reqType = 1[1555805]
Fiber started[1555805] Creating LDAP context with uri=ldaps://172.30.74.70:636
[1555805] Connect to LDAP server:
ldaps://172.30.74.70:636, status = Successful[1555805] supportedLDAPVersion:
value = 3[1555805]
supportedLDAPVersion: value = 2[1555805] Binding as administrator[1555805]
Performing Simple
authentication for sysservices to 172.30.74.70[1555805] Simple authentication
for sysservices returned code (49)
Invalid credentials[1555805] Failed to bind as administrator returned code
(-1) Can't contact LDAP server[1555805]
Fiber exit Tx=222 bytes Rx=605 bytes, status=-2[1555805] Session End
Dessas depurações, o formato DN de login LDAP está incorreto ou a senha está incorreta, portanto, verifique ambas para resolver o problema.