Konfigurieren von RA VPN mit LDAP-Authentifizierung und -Autorisierung für FTD

Download-Optionen

  • PDF     (1.2 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (842.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:18. Mai 2023
Dokument-ID:216313

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Remote Access VPN mit LDAP AA auf einem von einem FirePOWER Management Center verwalteten FirePOWER Threat Defense (FTD) konfiguriert wird.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Grundkenntnisse der Funktionsweise von Remote Access VPN (RA VPN)
    • Navigation durch das FirePOWER Management Center (FMC)
    • Konfiguration von LDAP-Diensten (Lightweight Directory Access Protocol) unter Microsoft Windows Server

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

    • Cisco FirePOWER Management Center Version 7.3.0
    • Cisco Firepower Threat Defense Version 7.3.0
    • Microsoft Windows Server 2016, konfiguriert als LDAP-Server

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    In diesem Dokument wird die Konfiguration von Remote Access VPN (RA VPN) mit LDAP-Authentifizierung und -Autorisierung (Lightweight Directory Access Protocol) auf einer von einem FirePOWER Management Center (FMC) verwalteten FirePOWER Threat Defense (FTD) beschrieben.

    LDAP ist ein offenes, herstellerneutrales, branchenübliches Anwendungsprotokoll für den Zugriff auf und die Verwaltung verteilter Verzeichnisinformationsdienste.

    Eine LDAP-Attributzuordnung gleicht Attribute, die im Active Directory (AD)- oder LDAP-Server vorhanden sind, mit Cisco Attributnamen aus. Wenn dann der AD- oder LDAP-Server Authentifizierungsantworten an das FTD-Gerät während des Aufbaus einer VPN-Verbindung für den Fernzugriff zurückgibt, kann das FTD-Gerät anhand dieser Informationen einstellen, wie der AnyConnect-Client die Verbindung abschließt.

    RA VPN mit LDAP-Authentifizierung wird auf dem FMC seit Version 6.2.1 unterstützt, und die LDAP-Autorisierung vor FMC Version 6.7.0 wurde über FlexConfig angewiesen, die LDAP Attribute Map zu konfigurieren und mit dem Realm Server zu verknüpfen. Diese Funktion der Version 6.7.0 wurde nun in den RA VPN Configuration Wizard des FMC integriert und erfordert keinen Einsatz von FlexConfig mehr.

    Hinweis: Diese Funktion setzt voraus, dass das FMC auf Version 6.7.0 installiert ist, während das verwaltete FTD auf jeder höheren Version als 6.3.0 installiert werden kann.

    Lizenzanforderungen

    Erfordert AnyConnect Apex-, AnyConnect Plus- oder AnyConnect VPN Only-Lizenzen mit aktivierter exportgesteuerter Funktionalität.

    Um die Lizenz zu überprüfen, navigieren Sie zu System > Licenses > Smart Licenses.

    Smart License Status

    Edit Licenses

    Konfigurationsschritte auf FMC

    Konfiguration des REALM-/LDAP-Servers

    Hinweis: Die aufgeführten Schritte sind nur erforderlich, wenn sie für die Konfiguration eines neuen REALM-/LDAP-Servers erforderlich sind. Wenn Sie über einen vorkonfigurierten Server verfügen, der zur Authentifizierung in RA VPN verwendet werden kann, navigieren Sie zu RA VPN Configuration.

    Schritt 1: Navigieren Sie zu System > Other Integrations > Realms, wie in diesem Bild dargestellt.

    REALM / LDAP Server Configuration

    Schritt 2: Klicken Sie wie in der Abbildung dargestellt auf Add a new realm.

    Add a New Realm

    Schritt 3: Geben Sie die Details des AD-Servers und des AD-Verzeichnisses an. Klicken Sie auf OK.

    Für diese Demonstration gilt Folgendes:

    Name: LDAP

    Typ: AD

    Primäre AD-Domäne: test.com

    Verzeichnis-Benutzername: CN=Administrator,CN=Users,DC=test,DC=com

    Verzeichniskennwort: <Ausgeblendet>

    Basis-DN: DC=test,DC=com

    Gruppen-DN: DC=test,DC=com

    Provide Details of AD Server and Directory

    Schritt 4: Klicken Sie auf  Save , um die Realm-/Verzeichnisänderungen zu speichern, wie in diesem Bild dargestellt.

    Save the Realm / Directory Changes

    Schritt 5: Schalten Sie um State -Taste, um den Status des Servers in Enabled (Aktiviert) zu ändern, wie in diesem Bild dargestellt.

    Toggle to Change the State of the Server

    RA VPN-Konfiguration

    Diese Schritte sind erforderlich, um die Gruppenrichtlinie zu konfigurieren, die autorisierten VPN-Benutzern zugewiesen wird. Wenn die Gruppenrichtlinie bereits definiert ist, fahren Sie mit Schritt 5 fort.

    Schritt 1: Navigieren Sie zu Objects > Object Management.

    RA VPN Configuration

    Schritt 2: Navigieren Sie im linken Bereich zu VPN > Group Policy.

    Navigate to VPN, Group Policy

    Schritt 3: Klicken Add Group Policy.

    Add Group Policy

    Schritt 4: Geben Sie die Gruppenrichtlinienwerte an.

    Für diese Demonstration gilt Folgendes:

    Name: RA-VPN

    Banner: ! Willkommen bei VPN!

    Gleichzeitige Anmeldung pro Benutzer: 3 (Standard)

    Provide Group Policy Values

       Provide Session Settings

    Schritt 5: Navigieren Sie zu Devices > VPN > Remote Access.

    Navigate to Devices, VPN, Remote Access

    Schritt 6: Klicken Sie auf Add a new configuration.

    Add New Configuration

    Schritt 7. Bieten Sie Name für die RA VPN Policy. Auswählen VPN Protocols und wählen Targeted Devices. Klicken Sie auf Next.

    Für diese Demonstration gilt Folgendes:

    Name: RA-VPN

    VPN-Protokolle: SSL

    Zielgeräte: FTD

    Provide Name for RA VPN Policy

    Schritt 8: Für die Authentication Method, wählen AAA Only. Wählen Sie den REALM-/LDAP-Server für die Authentication Server. Klicken Sie auf  Configure LDAP Attribute Map (zum Konfigurieren der LDAP-Autorisierung).

    Remote Access VPN Policy Wizard

    Schritt 9. Stellen Sie die LDAP Attribute Name und Cisco Attribute Name. Klicken Sie auf Add Value Map.

    Für diese Demonstration gilt Folgendes:

    LDAP-Attributname: memberOfI

    Cisco-Attributname: Gruppenrichtlinie

    Authentication Server - Configure LDAP Attribute Map

    Schritt 10. Stellen Sie die LDAP Attribute Value und Cisco Attribute Value. Klicken Sie auf OK.

    Für diese Demonstration gilt Folgendes:

    LDAP-Attributwert: DC=tlalocan,DC=sec

    Cisco Attributwert: RA-VPN

    Provide LDAP Attribute Name and Cisco Attribute Name

    Hinweis: Sie können weitere Value Maps je nach Anforderung hinzufügen.

    Schritt 11. Fügen Sie Address Pool für die lokale Adresszuweisung. Klicken Sie auf OK.

    Provide the LDAP Attribute Value and the Cisco Attribute Value

    Schritt 12: Stellen Sie die Connection Profile Name und Group-Policy. Klicken Sie auf Next.

    Für diese Demonstration gilt Folgendes:

    Name des Verbindungsprofils: RA-VPN

    Authentifizierungsmethode: nur AAA

    Authentifizierungsserver: LDAP

    IPv4-Adresspool: VPN-Pool

    Gruppenrichtlinie: Kein Zugriff

    Hinweis: Die Authentifizierungsmethode, der Authentifizierungsserver und der IPV4-Adresspool wurden in den vorherigen Schritten konfiguriert.

    Die Gruppenrichtlinie "Kein Zugriff" enthält die Simultaneous Login Per User -Parameter auf 0 gesetzt (um Benutzern nicht die Möglichkeit zu geben, sich anzumelden, wenn sie die Standard-Gruppenrichtlinie "Kein Zugriff" erhalten).

    Add Address Pool for the Local Address Assignment

    Schritt 13: Klicken Sie auf  Add new AnyConnect Image um eine AnyConnect Client Image an die FTD.

    No-Access Group-Policy has the Simultaneous Login per User Parameter Set to Zero

    Schritt 14: Bieten Sie Name um das hochgeladene Bild anzuzeigen und im lokalen Speicher zu suchen, um das Bild hochzuladen. Klicken Sie auf Save.

    Click Add New AnyConnect Image

    Schritt 15: Klicken Sie auf das Kontrollkästchen neben dem Bild, um es zu aktivieren. Klicken Sie auf Next.

    Provide a Name for the Image Uploaded

    Schritt 16: Wählen Sie Interface group/Security Zone und Device Certificate. Klicken Sie auf Next.

    Für diese Demonstration gilt Folgendes:

    Schnittstellengruppe/Sicherheitszone: Out-Zone

    Gerätezertifikat: selbstsigniert

    Hinweis: Sie können die Richtlinienoption "Zugriffskontrolle umgehen" aktivieren, um die Zugriffskontrolle für verschlüsselten (VPN) Datenverkehr zu umgehen (standardmäßig deaktiviert).

    Click Check Box to Enable It for Use

    Schritt 17: Überblick über die RA VPN-Konfiguration anzeigen. Klicken Sie auf  Finish um zu speichern, wie im Bild gezeigt.

    View Summary of RA VPN Configuration

    Schritt 18: Navigieren Sie zu Deploy > Deployment. Wählen Sie den FTD aus, auf dem die Konfiguration bereitgestellt werden soll. Klicken Sie auf Deploy.

    Die Konfiguration wird nach der erfolgreichen Bereitstellung an die FTD-CLI weitergeleitet:

    !--- LDAP Server Configuration ---!

    ldap attribute-map LDAP
     map-name memberOf Group-Policy
     map-value memberOf DC=tlalocan,DC=sec RA-VPN

    aaa-server LDAP protocol ldap
     max-failed-attempts 4
     realm-id 2
    aaa-server LDAP host 10.106.56.137
     server-port 389
     ldap-base-dn DC=tlalocan,DC=sec
     ldap-group-base-dn DC=tlalocan,DC=sec
     ldap-scope subtree
     ldap-naming-attribute sAMAccountName
     ldap-login-password *****
     ldap-login-dn CN=Administrator,CN=Users,DC=test,DC=com
     server-type microsoft
     ldap-attribute-map LDAP

    !--- RA VPN Configuration ---!

    webvpn
     enable Outside
     anyconnect image disk0:/csm/anyconnect-win-4.10.07061-webdeploy-k9.pkg 1 regex "Mac"
     anyconnect enable
     tunnel-group-list enable
     error-recovery disable

    ssl trust-point Self-Signed

    group-policy No-Access internal
    group-policy No-Access attributes 
     vpn-simultaneous-logins 0
     vpn-idle-timeout 30

     !--- Output Omitted ---!

     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelall
     ipv6-split-tunnel-policy tunnelall
     split-tunnel-network-list none

    group-policy RA-VPN internal
    group-policy RA-VPN attributes
     banner value ! Welcome to VPN !
     vpn-simultaneous-logins 3
     vpn-idle-timeout 30

     !--- Output Omitted ---!

     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelall
     ipv6-split-tunnel-policy tunnelall
     split-tunnel-network-list non

    ip local pool VPN-Pool 10.72.1.1-10.72.1.150 mask 255.255.255.0

    tunnel-group RA-VPN type remote-access
    tunnel-group RA-VPN general-attributes
    address-pool VPN-Pool
    authentication-server-group LDAP
    default-group-policy No-Access
    tunnel-group RA-VPN webvpn-attributes
    group-alias RA-VPN enable

    Überprüfung

    Melden Sie sich auf dem AnyConnect-Client mit gültigen Anmeldeinformationen für VPN-Benutzergruppen an, und Sie erhalten die richtige Gruppenrichtlinie, die von der LDAP-Attributzuordnung zugewiesen wird:

    Cisco VPN AnyConnect Banner

    Im LDAP-Debugausschnitt (debug ldap 255) wird eine Übereinstimmung in der LDAP-Attributzuordnung angezeigt:

    Authentication successful for test to 10.106.56.137

    memberOf: value = DC=tlalocan,DC=sec
            mapped to Group-Policy: value = RA-VPN
            mapped to LDAP-Class: value = RA-VPN

    Melden Sie sich auf dem AnyConnect-Client mit ungültigen VPN-Benutzergruppenanmeldeinformationen an, und Sie erhalten die Gruppenrichtlinie "Kein Zugriff".

    Cisco AnyConnect Login Failure

    %FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator
    %FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator
    %FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator

    In LDAP Debug Snippet (debug ldap 255) wird keine Übereinstimmung in der LDAP-Attributzuordnung angezeigt:

    Authentication successful for Administrator to 10.106.56.137

    memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
    memberOf: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    18-May-2023
    Alternativer Text hinzugefügt. Aktuelle Einführung, maschinelle Übersetzung, Stilvorgaben, Gerunds und Formatierung.
    1.0
    23-Nov-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Rohan Biswas
      Cisco TAC Engineer
    • Tazy Khan
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren