Exemplo de Configuração de Mapas de Atributos LDAP do ASA

Introduction

Este documento descreve como usar mapas de atributos do Lightweight Diretory Access Protocol (LDAP) para configurar políticas granulares de acesso dinâmico em um ASA (Adaptive Security Appliance).

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• ASA Remote Access VPN SSL (AnyConnect, sem cliente/WebVPN) e IPsec VPN
• Mecanismos de autenticação/identidade AAA (Radius,LDAP)
• Serviços de Diretório (Ative Diretory - AD)

Componentes Utilizados

As informações neste documento são baseadas na plataforma de hardware ASA-5xxx que executa como um concentrador/servidor VPN SSL de Acesso Remoto (AnyConnect e Clientless/WebVPN) e sessões IPsec.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

O LDAP é um protocolo de aplicativo padrão do setor, aberto e sem fornecedor, para acessar e manter serviços de informações de diretório distribuído em uma rede IP. Os serviços de diretório desempenham um papel importante no desenvolvimento de aplicativos de intranet e Internet porque permitem que as informações sobre usuários, sistemas, redes, serviços e aplicativos sejam compartilhadas por toda a rede.

Frequentemente, os administradores querem fornecer aos usuários VPN diferentes permissões de acesso ou conteúdo WebVPN. Isso pode ser feito se você configurar diferentes políticas de VPN no servidor VPN e atribuir esses conjuntos de políticas a cada usuário com base em suas credenciais. Embora isso possa ser feito manualmente, é mais eficiente automatizar o processo com os Serviços de Diretório. Para usar o LDAP para atribuir uma política de grupo a um usuário, você precisa configurar um mapa que mapeie um atributo LDAP, como o membroDe atributo do Ative Diretory (AD), para o atributo IETF-Radius-Class ou Group-Policy que é entendido pelo headend da VPN.

Note: Nos headends do Cisco IOS, a mesma coisa pode ser obtida se você configurar diferentes grupos de política no contexto do WebVPN e usar mapas de atributos LDAP para determinar qual grupo de política o usuário será atribuído conforme descrito no documento. Consulte Exemplo de Configuração de Atribuição de Grupo de Políticas para Clientes AnyConnect que Usam LDAP em Cisco IOS Headends.

No ASA, isso é obtido regularmente através da atribuição de diferentes políticas de grupo a diferentes usuários. Quando a autenticação LDAP está em uso, esta pode ser obtida automaticamente com um mapa do atributos LDAP. Para usar LDAP para atribuir uma política de grupo a um usuário, você deve mapear um atributo LDAP, como o atributo AD memberOf, para o atributo Group-Policy que é entendido pelo ASA. Depois que o mapeamento de atributo for estabelecido, você deverá mapear o valor de atributo configurado no servidor LDAP para o nome de uma política de grupo no ASA.

Observação: o atributo memberOf corresponde ao grupo do qual o usuário faz parte no Ative Diretory. É possível que um usuário seja membro de mais de um grupo no Ative Diretory. Isso faz com que vários atributos memberOf sejam enviados pelo servidor, mas o ASA só pode corresponder um atributo a uma política de grupo.

FAQ

P. Há um limite de configuração no número de mapas de atributo ldap para o ASA?

A. Não, não há limites. ldap-attribute-maps são alocados dinamicamente durante a sessão de acesso remoto de VPN que usa autenticação/autorização LDAP.

P. Há um limite nos números de atributos que podem ser mapeados por ldap-attribute-map?

A. Sem limites de configuração.

P. Há uma restrição em quantos servidores ldap-servers um ldap-attribute-map pode ser aplicado?

A. Sem restrições. O código LDAP só verifica se o nome ldap-attribute-map é válido.

P. Há limitações com mapas de atributos ldap e atributos de vários valores como membro do ADOf?

A. Yes. Aqui, somente o AD é explicado, mas se aplica a qualquer servidor LDAP que usa atributos de vários valores para decisões de política. O ldap-attribute-map tem uma limitação com atributos de vários valores, como o membro do ADOf. Se um usuário for membro de vários grupos AD (o que é comum) e o comando ldap-attribute-map corresponder a mais de um deles, o valor mapeado será escolhido com base na alfabetização das entradas correspondentes. Como esse comportamento não é óbvio ou intuitivo, é importante ter um conhecimento claro de como ele funciona.

Resumo: se o mapeamento LDAP resultar em vários valores para um atributo, o valor final do atributo será escolhido da seguinte forma:

• Primeiro, selecione o(s) valor(es) com o menor número de caracteres.
• Se isso resultar em mais de um valor, escolha o valor mais baixo em ordem alfabética.

Exemplos de casos de uso

O Ative Diretory-LDAP retorna estas quatro instâncias de memberOf para uma autenticação de usuário ou solicitação de autorização:

memberOf: value = CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Cisco-Eng,CN=Users,DC=stbu,OU=cisco,DC=com
memberOf: value = CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com
memberOf: value = CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com 

LDAP-MAP #1: Suponha que este mapa de atributos ldap esteja configurado para mapear diferentes políticas de grupo do ASA com base na configuração memberOf:

ldap attribute-map Class 
 map-name  memberOf Group-Policy 
 map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup4 
 map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
 map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
 map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1

Nesse caso, ocorrerão correspondências em todos os quatro valores de política de grupo (ASAGroup1 - ASAGroup4). No entanto, a conexão será atribuída ao ASAGroup1 de política de grupo porque ocorre primeiro em ordem alfabética.

LDAP-MAP #2: Este mapa de atributo ldap é o mesmo, exceto que o primeiro membroDe não tem um valor de mapa explícito atribuído (sem ASAGroup4). Observe que quando não há nenhum valor de mapa explícito definido, o texto do atributo recebido do LDAP é usado.

ldap attribute-map Class 
 map-name  memberOf Group-Policy
 map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com 
 map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup3
 map-value memberOf CN=Employees,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup2
 map-value memberOf CN=Engineering,CN=Users,OU=stbu,DC=cisco,DC=com ASAGroup1

Como no caso anterior, as correspondências ocorrem em todas as quatro entradas. Nesse caso, como nenhum valor mapeado é fornecido para a entrada APP-SSL-VPN, o valor mapeado assumirá como padrão CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com. Como CN=APP-SSL-VPN aparece primeiro em ordem alfabética, APP-SSL-VPN será selecionado como o valor da política.

Consulte o bug da Cisco ID CSCub64284 para obter mais informações. Consulte o PIX/ASA 8.0: Use a autenticação LDAP para atribuir uma política de grupo no login, que mostra um caso LDAP simples com memberOf que pode funcionar em sua implantação específica.

Opções alternativas/práticas recomendadas

1. Usar política de acesso dinâmico (DAP) - O DAP não tem essa limitação de analisar atributos multivalorizados (como memberOf); mas o DAP não pode definir uma política de grupo a partir de si mesmo. Isso significa que a sessão teria que ser segmentada corretamente através dos métodos de associação tunnel-group/group-policy. No futuro, o DAP terá a capacidade de definir qualquer atributo de autorização, incluindo a política de grupo (ID de bug da Cisco CSCsi54718), de modo que a necessidade de um mapa de atributo ldap para essa finalidade acabará não sendo necessária.
2. Como uma alternativa possível e se o cenário de implantação permitir, sempre que você precisar usar um mapa de atributos ldap para definir o atributo de classe, você também poderá usar um atributo de valor único (como Departamento) que represente a diferenciação de seu grupo no AD.

Nota: em um membroDe DN como "CN=Engineering, OU=Office1, DC=cisco,DC=com", você só pode tomar a decisão sobre o primeiro DN, ou seja, CN=Engineering, não (OU). Há um aprimoramento para ser capaz de filtrar em qualquer campo DN.

Configurar - Exemplos de casos de uso

Note: Cada exemplo descrito nesta seção é uma configuração independente, mas pode ser misturado e combinado um com o outro para produzir a política de acesso desejada.

Tip: Os valores e os nomes dos atributos diferenciam maiúsculas de minúsculas. Se o mapeamento não ocorrer corretamente, certifique-se de que a ortografia e a capitalização corretas foram usadas no mapa de atributos LDAP para ambos os valores e nomes de atributos da Cisco e LDAP.

1. Aplicação de política de atributos baseados no usuário

Qualquer atributo LDAP padrão pode ser mapeado para um VSA (Vendor Specific Attribute, Atributo Específico do Fornecedor) de dispositivo bem conhecido. Um ou mais atributos LDAP podem ser mapeados para um ou mais atributos LDAP da Cisco. Para obter uma lista completa de VSAs LDAP da Cisco, consulte Atributos da Cisco suportados para autorização LDAP. Este exemplo mostra como aplicar um banner para o usuário LDAP1. User1 pode ser qualquer tipo de Acesso Remoto VPN: IPsec, SVC ou WebVPN sem cliente. Este exemplo usa o atributo/campo Propriedades/Geral/Escritório para aplicar o Banner1.

Note: Você pode usar o atributo/campo do departamento do AD para mapear para o Cisco IETF-Radius-Class VSA para aplicar políticas de uma política de grupo do ASA/PIX. Há exemplos disso posteriormente no documento.

O mapeamento de atributo LDAP (para Microsoft AD e Sun) é suportado a partir do PIX/ASA versão 7.1.x. Qualquer atributo Microsoft/AD pode ser mapeado para um atributo Cisco. Este é o procedimento para executar este procedimento:

1. No servidor AD/LDAP:

   • Selecione user1.
   • Clique com o botão direito do mouse em > Propriedades.
   • Selecione uma guia a ser usada para definir um atributo (Exemplo. guia Geral).
   • Selecione um campo/atributo, por exemplo, o campo "Escritório", a ser usado para aplicar o intervalo de tempo e insira o texto do banner (por exemplo, Bem-vindo ao LDAP !!!!). A configuração "Office" na GUI é armazenada no atributo AD/LDAP "physicalDeliveryOfficeName".
2. No ASA, para criar uma tabela de mapeamento de atributos LDAP, mapeie o atributo AD/LDAP "physicalDeliveryOfficeName" para o atributo ASA "Banner1":
   

   B200-54(config)# show run ldap
   ldap attribute-map Banner
    map-name  physicalDeliveryOfficeName Banner1

3. Associe o mapa de atributos LDAP à entrada aaa-server:
   

   B200-54(config-time-range)# show runn aaa-server microsoft
   
   aaa-server microsoft protocol ldap
   aaa-server microsoft host audi-qa.frdevtestad.local
    ldap-base-dn dc=frdevtestad,dc=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password hello
    ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
    ldap-attribute-map Banner

4. Estabeleça a sessão de acesso remoto e verifique se o banner "Bem-vindo ao LDAP !!!!" é apresentado ao usuário da VPN.

2. Coloque usuários LDAP em uma política de grupo específica - Exemplo genérico

Este exemplo demonstra a autenticação de user1 no servidor AD-LDAP e recupera o valor do campo de departamento para que ele possa ser mapeado para uma política de grupo ASA/PIX a partir da qual as políticas serão aplicadas.

1. No servidor AD/LDAP:

   • Selecione user1.
   • Clique com o botão direito do mouse em > Propriedades.
   • Selecione uma guia a ser usada para definir um atributo (Exemplo. Guia Organização).
   • Selecione um campo/atributo, por exemplo, "Departamento", a ser usado para aplicar uma política de grupo e insira o valor da política de grupo (Política de grupo1) no ASA/PIX. A configuração "Departamento" na GUI é armazenada no atributo "departamento" do AD/LDAP.
2. Defina uma tabela ldap-attribute-map.
   

   5520-1(config)# show runn ldap
   ldap attribute-map Our-AD-Map
   map-name  department Group-Policy
   5520-1(config)#

   Note:  Como resultado da implementação do bug da Cisco ID CSCsv43552, um novo atributo ldap-attribute-map, Group-Policy, foi introduzido para substituir IETF-Radius-Class. A CLI no ASA versão 8.2 suporta a palavra-chave IETF-Radius-Class como uma opção válida nos comandos map-name e map-value para ler um arquivo de configuração 8.0 (cenário de atualização de software). O código do Adaptive Security Device Manager (ASDM) já foi atualizado para deixar de exibir IETF-Radius-Class como uma opção quando você configura uma entrada de mapa de atributos. Além disso, o ASDM grava o atributo IETF-Radius-Class (se lido em uma configuração 8.0) como o atributo Group-Policy.

3. Defina o Group-policy Group_policy1 no dispositivo e os atributos de política necessários.
4. Estabeleça o túnel de acesso remoto VPN e verifique se a sessão herda os atributos de Group-Policy1 (e qualquer outro atributo aplicável da política de grupo padrão).

   Note: Adicione mais atributos ao mapa conforme necessário. Este exemplo mostra apenas o mínimo para controlar essa função específica (colocar um usuário em uma política de grupo ASA/PIX 7.1.x específica). O terceiro exemplo mostra esse tipo de mapa.

Configurar uma política de grupo de NOACCESS

Você pode criar uma política de grupo NOACCESS para negar a conexão VPN quando o usuário não faz parte de nenhum dos grupos LDAP. Este trecho de configuração é mostrado para sua referência:

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol IPSec webvpn

Você deve aplicar essa política de grupo como uma política de grupo padrão ao grupo de túneis. Isso permite que os usuários que obtêm um mapeamento do mapa de atributos LDAP, por exemplo, aqueles que pertencem a um grupo LDAP desejado, obtenham as políticas de grupo desejadas e os usuários que não obtêm nenhum mapeamento, por exemplo, aqueles que não pertencem a nenhum dos grupos LDAP desejados, obtenham a política de grupo de NOACCESS do grupo de túneis, que bloqueia o acesso para eles.

Tip: Como o atributo vpn-simultâneo-logins é definido como 0 aqui, ele deve ser explicitamente definido em todas as outras políticas de grupo também; caso contrário, ele será herdado da política de grupo padrão para esse grupo de túneis, que, nesse caso, é a política NOACCESS.

3. Aplicação de política de atributos baseados em grupo - Exemplo

Note: A implementação/correção do bug da Cisco ID CSCse08736 é necessária, portanto o ASA deve executar pelo menos a versão 7.2.2.

1. No servidor AD-LDAP, Usuários e Computadores do Ative Diretory, configure um registro de usuário (VPNUserGroup) que represente um grupo onde os atributos VPN estão configurados.
2. No servidor AD-LDAP, Usuários e Computadores do Ative Diretory, defina o campo Departamento de cada registro de usuário para apontar para o registro de grupo (VPNUserGroup) na Etapa 1. O nome de usuário neste exemplo é web1.

   Note: O atributo do departamento AD foi usado somente porque logicamente "departamento" se refere à política de grupo. Na verdade, qualquer campo poderia ser usado. O requisito é que esse campo tenha que mapear para o atributo de política de grupo do Cisco VPN como mostrado neste exemplo.

3. Defina uma tabela ldap-attribute-map:
   

   5520-1(config)# show runn ldap
   ldap attribute-map Our-AD-Map
   map-name  department IETF-Radius-Class
   map-name  description\Banner1
   map-name  physicalDeliveryOfficeName IETF-Radius-Session-Timeout
   5520-1(config)#

   Os dois atributos de AD-LDAP Descrição e Escritório (representados pela descrição de nomes de AD e PhysicalDeliveryOfficeName) são os atributos de registro de grupo (para VPNUSerGroup) que mapeiam para os atributos de VPN da Cisco Banner1 e IETF-Radius-Session-Timeout.

   O atributo de departamento é para o registro do usuário mapear para o nome da política de grupo externa no ASA (VPNUSer), que, em seguida, mapeia de volta para o registro VPNuserGroup no servidor AD-LDAP, onde os atributos são definidos.

   Note: O atributo Cisco (Group-Policy ) deve ser definido no comando ldap-attribute-map. Seu atributo AD mapeado pode ser qualquer atributo AD definível. Este exemplo usa o departamento porque é o nome mais lógico que se refere à política de grupo.

4. Configure o aaa-server com o nome ldap-attribute-map a ser usado para operações de Autenticação, Autorização e Contabilidade (AAA - Authentication, Authorization, and Accounting) LDAP:

   5520-1(config)# show runn aaa-server LDAP-AD11
   aaa-server LDAP-AD11 protocol ldap
   aaa-server LDAP-AD11 host 90.148.1.11
   ldap-base-dn cn=Users,dc=nelson,dc=cisco,dc=com
   ldap-scope onelevel
   ldap-naming-attribute sAMAccountName
   ldap-login-password altiga
   ldap-login-dn cn=Administrator,cn=Users,dc=nelson,dc=cisco,dc=com
   ldap-attribute-map Our-AD-Map
   5520-1(config)#

5. Defina um grupo de túneis com Autenticação LDAP ou Autorização LDAP.
   • Exemplo com autenticação LDAP. Executa a aplicação da política de atributo de autenticação + (autorização) se os atributos estiverem definidos.

     5520-1(config)# show runn tunnel-group 
     remoteAccessLDAPTunnelGroup
     tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
     authentication-server-group  LDAP-AD11
     accounting-server-group RadiusACS28
     5520-1(config)#

   • Exemplo com autorização LDAP. Configuração usada para usar certificados digitais.

     5520-1(config)# show runn tunnel-group
      remoteAccessLDAPTunnelGroup
     tunnel-group RemoteAccessLDAPTunnelGroup general-attributes
     authentication-server-group none
     authorization-server-group LDAP-AD11
     accounting-server-group RadiusACS28
     authorization-required
     authorization-dn-attributes ea
     5520-1(config)#

6. Defina uma política de grupo externa. O nome da política de grupo é o valor do registro de usuário AD-LDAP que representa o grupo (VPNUserGroup).

   5520-1(config)# show runn group-policy VPNUserGroup
   group-policy VPNUserGroup external server-group LDAP-AD11
   5520-1(config)#

7. Estabeleça o túnel e verifique se os atributos são aplicados. Nesse caso, o Banner e o Tempo limite da sessão são aplicados a partir do registro VPNuserGroup no AD.

4. Aplicação do Ative Diretory de "Atribuir um Endereço IP Estático" para Túneis IPsec e SVC

O atributo AD é msRADIUSFramedIPAaddress. O atributo está configurado em Propriedades do usuário do AD, guia Discar, "Atribuir um endereço IP estático".

Aqui estão as etapas:

1. No servidor AD, na guia User Properties, Dial-in, "Assign a Static IP Address" (Atribuir um endereço IP estático), insira o valor do endereço IP para atribuir à sessão IPsec/SVC (10.20.30.6).
2. No ASA, crie um mapa de atributos ldap com este mapeamento:

   5540-1# show running-config ldap
   ldap attribute-map Assign-IP
     map-name  msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
   5540-1#

3. No ASA, verifique se o vpn-address-Assigment está configurado para incluir "vpn-addr-Assign-aaa":

   5520-1(config)# show runn all vpn-addr-assign
   vpn-addr-assign aaa
   no vpn-addr-assign dhcp
   vpn-addr-assign local
   5520-1(config)#

4. Estabeleça as sessões de Autoridade Remota (RA) IPsec/SVC e verifique o com "show vpn-sessiondb remote|svc" de que o campo "Assigned IP" (IP Atribuído) está correto (10.20.30.6).

5. Aplicação do Ative Diretory de "Acesso Remoto com permissão de discagem, permissão/negação de acesso"

Suporta todas as sessões de Acesso Remoto VPN: IPSec, WebVPN e SVC. Allow Access tem um valor TRUE. Negar acesso tem um valor FALSE. O nome do atributo do AD é msNPAllowDialin.

Este exemplo demonstra a criação de um mapa de atributos ldap que usa o Cisco Tunneling-Protocols para criar condições de Permitir Acesso (TRUE) e Negação (FALSE). Por exemplo, se você mapeia o tunnel-protocol=L2TPover IPsec (8), você pode criar uma condição FALSE se tentar impor o acesso para WebVPN e IPsec. A lógica inversa também se aplica.

Aqui estão as etapas:

1. Em Propriedades do usuário1 do servidor AD, Discar, selecione o acesso de permissão ou Negar apropriado para cada usuário.

   Note: Se você selecionar a terceira opção "Controle o acesso por meio da Política de acesso remoto", nenhum valor será retornado do servidor do AD, de modo que as permissões que são aplicadas sejam baseadas na configuração interna da política de grupo do ASA/PIX.

2. No ASA, crie um mapa de atributos ldap com este mapeamento:

   ldap attribute-map LDAP-MAP
     map-name  msNPAllowDialin Tunneling-Protocols
     map-value msNPAllowDialin FALSE 8
     map-value msNPAllowDialin TRUE 20
   5540-1#

   Note: Adicione mais atributos ao mapa conforme necessário. Este exemplo mostra apenas o mínimo para controlar esta função específica (Permitir ou Negar Acesso com base na configuração de Discagem de Entrada).

   O que significa ou aplica o comando ldap-attribute-map?

   • map-value msNPAllowDialin FALSE 8

   Negar acesso para um usuário1. A condição de valor FALSE mapeia para o protocolo de túnel L2TPoverIPsec, (valor 8).

   Permitir acesso para usuário2. A condição de valor TRUE mapeia para o protocolo de túnel WebVPN + IPsec, (valor 20).

   • Um usuário WebVPN/IPsec, autenticado como usuário1 no AD, falharia devido à incompatibilidade do protocolo de túnel.
   • Um L2TPoverIPsec, autenticado como usuário1 no AD, falharia devido à regra Negar.
   • Um usuário WebVPN/IPsec, autenticado como usuário2 no AD, teria êxito (Permitir regra + protocolo de túnel combinado).
   • Um L2TPoverIPsec, autenticado como usuário2 no AD, falharia devido à incompatibilidade do protocolo de túnel.
   
   Suporte ao Tunnel Protocol, conforme definido nos RFCs 2867 e 2868.

6. Aplicação do Ative Diretory de "Membro de"/Associação do Grupo para permitir ou negar acesso

Esse caso está intimamente relacionado ao Caso 5, fornece um fluxo mais lógico e é o método recomendado, pois estabelece a verificação de associação de grupo como uma condição.

1. Configure o usuário do AD para ser "Membro de" um grupo específico. Use um nome que o coloque no topo da hierarquia de grupo (ASA-VPN-Consultants). No AD-LDAP, a associação de grupo é definida pelo atributo AD "memberOf". É importante que o grupo esteja no topo da lista, já que atualmente você só pode aplicar as regras à primeira string de grupo/"membroDe". Na versão 7.3, você poderá executar a filtragem e a aplicação de vários grupos.
2. No ASA, crie um mapa de atributos ldap com o mapeamento mínimo:

   ldap attribute-map LDAP-MAP
     map-name  memberOf Tunneling-Protocols
     map-value memberOf cn=ASA-VPN-Consultants,cn=Users,dc=abcd,dc=com 4
   5540-1#

   Note: Adicione mais atributos ao mapa conforme necessário. Este exemplo mostra apenas o mínimo para controlar essa função específica (Permitir ou Negar Acesso com base na associação do Grupo).

   O que significa ou aplica o comando ldap-attribute-map?

   • User=joe_consultor, parte do AD, que é membro do grupo do AD "ASA-VPN-Consultants", só terá acesso se o usuário usar IPsec (tunnel-protocol=4=IPSec).
   • User=joe_consultor, parte do AD, falhará no acesso VPN durante qualquer outro cliente de acesso remoto (PPTP/L2TP, L2TP/IPSec, WebVPN/SVC, etc.).
   • User=bill_the_hacker NÃO será permitido entrar, pois o usuário não tem associação com AD.

7. Aplicação do Ative Diretory de "Horas de Logon/Regras de Horário do Dia"

Este caso de uso descreve como configurar e aplicar as regras de horário no AD/LDAP.

Aqui está o procedimento para fazer isto:

1. No servidor AD/LDAP:

   • Selecione o usuário.
   • Clique com o botão direito do mouse em > Propriedades.
   • Selecione uma guia a ser usada para definir um atributo (Exemplo. guia Geral).
   • Selecione um campo/atributo, por exemplo, o campo "Escritório", a ser usado para aplicar o intervalo de tempo e insira o nome do intervalo de tempo (por exemplo, Boston). A configuração "Office" na GUI é armazenada no atributo AD/LDAP "physicalDeliveryOfficeName".
2. No ASA
   • Crie uma tabela de mapeamento de atributos LDAP.
   • Mapeie o atributo AD/LDAP "physicalDeliveryOfficeName" para o atributo ASA "Access-Hours".

   Exemplo:

   B200-54(config-time-range)# show run ldap
   ldap attribute-map TimeOfDay
     map-name  physicalDeliveryOfficeName Access-Hours

3. No ASA, associe o mapa de atributos LDAP à entrada aaa-server:

   B200-54(config-time-range)# show runn aaa-server microsoft
   aaa-server microsoft protocol ldap
   aaa-server microsoft host audi-qa.frdevtestad.local
    ldap-base-dn dc=frdevtestad,dc=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password hello
    ldap-login-dn cn=Administrator,cn=Users,dc=frdevtestad,dc=local
    ldap-attribute-map TimeOfDay

4. No ASA, crie um objeto de intervalo de tempo que tenha o valor do nome atribuído ao usuário (valor do Office na etapa 1):

   B200-54(config-time-range)# show runn time-range
   !
   time-range Boston
   periodic weekdays 8:00 to 17:00
   !

5. Estabeleça a sessão de acesso remoto VPN:
   • A sessão deve ter êxito se estiver dentro do intervalo de tempo.
   • A sessão deve falhar se estiver fora do intervalo de tempo.

8. Use a Configuração ldap-map para Mapear um Usuário em uma Política de Grupo Específica e Use o Comando authorization-server-group, no Caso de Autenticação Dupla

1. Neste cenário, é usada autenticação dupla. O primeiro servidor de autenticação usado é RADIUS e o segundo servidor de autenticação usado é um servidor LDAP.
   1. Configure o servidor LDAP e o servidor RADIUS. Aqui está um exemplo:

      ASA5585-S10-K9# show runn aaa-server
      aaa-server test-ldap protocol ldap
      aaa-server test-ldap (out) host 10.201.246.130
       ldap-base-dn cn=users, dc=htts-sec, dc=com
       ldap-login-password *****
       ldap-login-dn cn=Administrator, cn=Users, dc=htts-sec, dc=com
       server-type microsoft
       ldap-attribute-map Test-Safenet-MAP
      aaa-server test-rad protocol radius
      aaa-server test-rad (out) host 10.201.249.102
       key *****

   2. Defina o mapa de atributos LDAP. Aqui está um exemplo:

      ASA5585-S10-K9# show runn ldap
      ldap attribute-map Test-Safenet-MAP
       map-name memberOf IETF-Radius-Class
       map-value memberOf "CN=DHCP Users,CN=Users,DC=htts-sec,DC=com" Test-Policy-Safenet

   3. Defina o grupo de túneis e associe o servidor RADIUS e LDAP para autenticação. Aqui está um exemplo:

      ASA5585-S10-K9# show runn tunnel-group
      tunnel-group Test_Safenet type remote-access
      tunnel-group Test_Safenet general-attributes
       address-pool RA_VPN_IP_Pool
       authentication-server-group test-rad
       secondary-authentication-server-group test-ldap use-primary-username
       default-group-policy NoAccess
      tunnel-group Test_Safenet webvpn-attributes
        group-alias Test_Safenet enable

   4. Veja a política de grupo usada na configuração de grupo de túneis:

      ASA5585-S10-K9# show runn group-policy
      group-policy NoAccess internal
      group-policy NoAccess attributes
       wins-server none
       dns-server value 10.34.32.227 10.34.32.237
       vpn-simultaneous-logins 0
       default-domain none
      group-policy Test-Policy-Safenet internal
      group-policy Test-Policy-Safenet attributes
       dns-server value 10.34.32.227 10.34.32.237
       vpn-simultaneous-logins 15 
       vpn-idle-timeout 30 
       vpn-tunnel-protocol ikev1 ssl-client ssl-clientless
       split-tunnel-policy tunnelspecified
       split-tunnel-network-list value Safenet-Group-Policy-SplitAcl
       default-domain none

      Com essa configuração, os usuários do AnyConnect que foram mapeados corretamente com o uso de atributos LDAP não foram colocados na política de grupo, Test-Policy-Safenet. Em vez disso, eles ainda foram colocados na política de grupo padrão, neste caso, NoAccess.

      Veja o trecho das depurações (debug ldap 255) e syslogs em nível informativo:

      --------------------------------------------------------------------------------
      
      memberOf: value = CN=DHCP Users,CN=Users,DC=htts-sec,DC=com
      
      [47]                       mapped to IETF-Radius-Class: value = Test-Policy-Safenet
      
      [47]                       mapped to LDAP-Class: value = Test-Policy-Safenet
      
      --------------------------------------------------------------------------------
      
      Syslogs :   
      
      %ASA-6-113004: AAA user authentication Successful : server = 10.201.246.130 : user = test123
      
      %ASA-6-113003: AAA group policy for user test123 is being set to Test-Policy-Safenet
      
      %ASA-6-113011: AAA retrieved user specific group policy (Test-Policy-Safenet) for user =
      test123
      
      %ASA-6-113009: AAA retrieved default group policy (NoAccess) for user = test123
      
      %ASA-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins
      exceeded for user : user = test123
      
      %ASA-6-716039: Group <DfltGrpPolicy> User <test123> IP <10.116.122.154> Authentication: 
      rejected, Session Type: WebVPN.

      Esses syslogs mostram falha, pois o usuário recebeu a política de grupo NoAccess, que tinha o login simultâneo definido como 0, embora os syslogs digam que recuperou uma política de grupo específica do usuário.

      Para que o usuário seja atribuído na política de grupo, com base no mapa LDAP, você deve ter este comando: authorization-server-group test-ldap (nesse caso, test-ldap é o nome do servidor LDAP). Aqui está um exemplo:

      ASA5585-S10-K9# show runn tunnel-group
      tunnel-group Test_Safenet type remote-access
      tunnel-group Test_Safenet general-attributes
       address-pool RA_VPN_IP_Pool
       authentication-server-group test-rad
       secondary-authentication-server-group test-ldap use-primary-username
       authorization-server-group test-ldap
       default-group-policy NoAccess
      tunnel-group Test_Safenet webvpn-attributes
        group-alias Test_Safenet enable

2. Agora, se o primeiro servidor de autenticação (RADIUS, neste exemplo) enviou os atributos específicos do usuário, por exemplo, o atributo IEFT-class, nesse caso, o usuário será mapeado para a política de grupo enviada por RADIUS. Assim, mesmo que o servidor secundário tenha um mapa LDAP configurado e os atributos LDAP do usuário mapeiem o usuário para uma política de grupo diferente, a política de grupo enviada pelo primeiro servidor de autenticação será aplicada.

   Para que o usuário seja colocado em uma política de grupo com base no atributo de mapa LDAP, você deve especificar este comando no grupo de túneis: authorization-server-group test-ldap.

3. Se o primeiro servidor de autenticação for SDI ou OTP, que não pode passar o atributo específico do usuário, o usuário cairia na política de grupo padrão do grupo de túneis. Nesse caso, NoAccess mesmo que o mapeamento LDAP esteja correto.

   Nesse caso, você também precisaria do comando authorization-server-group test-ldap, no grupo de túneis, para que o usuário fosse colocado na política de grupo correta.

4. Se ambos os servidores forem os mesmos servidores RADIUS ou LDAP, você não precisará do comando authorization-server-group para que o bloqueio de política de grupo funcione.

Verificar

ASA5585-S10-K9# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : test123                  Index        : 2
Assigned IP  : 10.34.63.1             Public IP    : 10.116.122.154
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : 3DES 3DES 3DES         Hashing      : SHA1 SHA1 SHA1
Bytes Tx     : 14042                  Bytes Rx     : 8872
Group Policy : Test-Policy-Safenet    Tunnel Group : Test_Safenet
Login Time   : 10:45:28 UTC Fri Sep 12 2014
Duration     : 0h:01m:12s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

Troubleshoot

Use esta seção para fazer o troubleshooting da sua configuração.

Depurar a transação LDAP

Essas depurações podem ser usadas para ajudar a isolar problemas com a configuração do DAP:

• debug ldap 255
• debug dap trace
• debug aaa authentication

O ASA não pode autenticar usuários do servidor LDAP

Caso o ASA não possa autenticar usuários do servidor LDAP, aqui estão algumas depurações de exemplo:

ldap 255 output:[1555805] Session Start[1555805] New request Session, context
0xcd66c028, reqType = 1[1555805]
Fiber started[1555805] Creating LDAP context with uri=ldaps://172.30.74.70:636
[1555805] Connect to LDAP server:
ldaps://172.30.74.70:636, status = Successful[1555805] supportedLDAPVersion:
value = 3[1555805]
supportedLDAPVersion: value = 2[1555805] Binding as administrator[1555805]
Performing Simple
authentication for sysservices to 172.30.74.70[1555805] Simple authentication
for sysservices returned code (49)
Invalid credentials[1555805] Failed to bind as administrator returned code
(-1) Can't contact LDAP server[1555805]
Fiber exit Tx=222 bytes Rx=605 bytes, status=-2[1555805] Session End

Dessas depurações, o formato DN de login LDAP está incorreto ou a senha está incorreta, portanto, verifique ambas para resolver o problema.