PIX/ASA 8.0: Verwenden der LDAP-Authentifizierung zum Zuweisen einer Gruppenrichtlinie bei der Anmeldung

Einleitung

In diesem Dokument wird die Verwendung der LDAP-Authentifizierung (Lightweight Directory Access Protocol) beschrieben, um bei der Anmeldung eine Gruppenrichtlinie zuzuweisen. Häufig möchten Administratoren VPN-Benutzern unterschiedliche Zugriffsberechtigungen für WebVPN-Inhalte gewähren. Auf der Adaptive Security Appliance (ASA) wird dies regelmäßig durch die Zuweisung unterschiedlicher Gruppenrichtlinien an verschiedene Benutzer erreicht. Wenn LDAP-Authentifizierung verwendet wird, kann dies automatisch über eine LDAP-Attributzuordnung erreicht werden.

Um einem Benutzer mithilfe von LDAP eine Gruppenrichtlinie zuzuweisen, müssen Sie eine Zuordnung konfigurieren, die ein LDAP-Attribut, z. B. das Active Directory (AD)-Attribut memberOf, dem Attribut IETF-Radius-Class zuordnet, das von der ASA verstanden wird. Sobald die Attributzuordnung eingerichtet ist, müssen Sie den auf dem LDAP-Server konfigurierten Attributwert dem Namen einer Gruppenrichtlinie auf der ASA zuordnen.

Hinweis: Das memberOf-Attribut entspricht der Gruppe, zu der der Benutzer im Active Directory gehört. Ein Benutzer kann Mitglied mehrerer Gruppen im Active Directory sein. Dadurch werden mehrere memberOf-Attribute vom Server gesendet, aber die ASA kann nur ein Attribut mit einer Gruppenrichtlinie abgleichen.

Voraussetzungen

Anforderungen

Für dieses Dokument muss auf dem ASA-Gerät bereits eine funktionsfähige LDAP-Authentifizierungskonfiguration konfiguriert sein. Unter Konfigurieren der LDAP-Authentifizierung für WebVPN-Benutzer erfahren Sie, wie Sie eine grundlegende LDAP-Authentifizierungskonfiguration auf der ASA einrichten.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf PIX/ASA 8.0.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Hintergrundinformationen

In diesem Beispiel wird das AD/LDAP-Attribut memberOf dem ASA-Attribut CVPN3000-Radius-IETF-Class zugeordnet. Das class-Attribut wird verwendet, um Gruppenrichtlinien auf dem ASA-Gerät zuzuweisen. Dies ist der allgemeine Prozess, den die ASA abschließt, wenn sie Benutzer mit LDAP authentifiziert:

1. Der Benutzer stellt eine Verbindung mit der ASA her.

2. Die ASA ist so konfiguriert, dass dieser Benutzer über den Microsoft AD/LDAP-Server authentifiziert wird.

3. Die ASA bindet sich mit den auf der ASA konfigurierten Anmeldeinformationen (in diesem Fall Admin) an den LDAP-Server an und sucht den angegebenen Benutzernamen.

4. Wenn der Benutzername gefunden wird, versucht die ASA, eine Bindung zum LDAP-Server mit den Anmeldeinformationen herzustellen, die der Benutzer bei der Anmeldung bereitstellt.

5. Wenn die zweite Bindung erfolgreich ist, verarbeitet die ASA die Benutzerattribute, zu denen memberOf gehört.

6. Das memberOf-Attribut wird der CVPN3000-Radius-IETF-Klasse durch die konfigurierte LDAP-Attributzuordnung zugeordnet.

   • Der Wert, der die Mitgliedschaft in der Gruppe Employees angibt, wird ExamplePolicy1 zugeordnet.

   • Der Wert, der die Mitgliedschaft in der Gruppe Auftragnehmer angibt, wird ExamplePolicy2 zugeordnet.

7. Das neu zugewiesene CVPN3000-Radius-IETF-Class-Attribut wird geprüft, und es wird eine Gruppenrichtlinienbestimmung durchgeführt.

   • Der ExamplePolicy1-Wert bewirkt, dass die ExamplePolicy1-Gruppenrichtlinie dem Benutzer zugewiesen wird.

   • Der ExamplePolicy2-Wert bewirkt, dass die ExamplePolicy2-Gruppenrichtlinie dem Benutzer zugewiesen wird.

Konfigurieren

Konfigurieren der ASA

In diesem Abschnitt werden die Informationen angezeigt, mit denen Sie die ASA so konfigurieren können, dass Benutzern auf Basis ihrer LDAP-Attribute eine Gruppenrichtlinie zugewiesen wird.

ASDM

Führen Sie diese Schritte im ASDM (Adaptive Security Device Manager) aus, um die LDAP-Zuordnung auf der ASA zu konfigurieren.

1. Navigieren Sie zu Configuration > Remote Access VPN > AAA Setup > LDAP Attribute Map.

2. Klicken Sie auf Hinzufügen.

3. Nennen Sie die Karte.

4. Erstellen Sie eine Zuordnung zwischen einem LDAP-Attribut und dem IETF-Radius-Class-Attribut auf der ASA. In diesem Beispiel ist der Kundenname das memberOf-Attribut in Active Directory. Sie wird dem Cisco Namen der IETF-Radius-Class zugeordnet. Klicken Sie auf Hinzufügen.

   Hinweis: Attributnamen und -werte berücksichtigen die Groß- und Kleinschreibung.

   Hinweis: Wenn Sie die genauen Attributnamen oder Schreibweisen, die vom LDAP-Server bereitgestellt werden, nicht kennen, kann es hilfreich sein, die Fehlersuche zu untersuchen, bevor Sie die Zuordnung erstellen. Im Abschnitt Überprüfen finden Sie weitere Informationen zum Identifizieren von LDAP-Attributen mit Debuggen.

   

5. Nachdem Sie die Attributzuordnung hinzugefügt haben, klicken Sie auf die Registerkarte Zuordnungswert, und klicken Sie auf Hinzufügen, um eine Wertzuordnung zu erstellen. Fügen Sie so viele Wertzuordnungen wie erforderlich hinzu, und klicken Sie abschließend auf OK.

   • Kundenwert - der Attributwert vom LDAP-Server

   • Cisco Value - der Name der Gruppenrichtlinie auf der ASA

   In diesem Beispiel wird der Wert CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com memberOf ExamplePolicy1 zugeordnet, und der Wert CN=Contractors,CN=Users,DC=ftwsecurity,DC=cisco,DC=com memberOf wird ExamplePolicy2 zugeordnet.

   

   Vollständige LDAP-Attributzuordnung

   

6. Nachdem Sie die Zuordnung erstellt haben, muss sie dem AAA-Server (Authentication, Authorization, and Accounting) zugewiesen werden, der für die LDAP-Authentifizierung konfiguriert ist. Wählen Sie im linken Bereich AAA-Servergruppen aus.

7. Wählen Sie den AAA-Server aus, der für LDAP konfiguriert ist, und klicken Sie auf Bearbeiten.

8. Suchen Sie am unteren Rand des angezeigten Fensters die Dropdown-Liste LDAP Attribute Map (LDAP-Attributzuordnung). Wählen Sie die Liste aus, die Sie gerade erstellt haben. Klicken Sie abschließend auf OK.

   

CLI

Führen Sie diese Schritte in der CLI aus, um die LDAP-Zuordnung auf der ASA zu konfigurieren.

ciscoasa#configure terminal


!--- Create the LDAP Attribute Map.

ciscoasa(config)#ldap attribute-map CISCOMAP
ciscoasa(config-ldap-attribute-map)#map-name memberOf IETF-Radius-Class
ciscoasa(config-ldap-attribute-map)#map-value memberOf CN=Employees,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com ExamplePolicy1
ciscoasa(config-ldap-attribute-map)#map-value memberOf CN=Contractors,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com ExamplePolicy2
ciscoasa(config-ldap-attribute-map)#exit


!--- Assign the map to the LDAP AAA server.

ciscoasa(config)#aaa-server LDAP_SRV_GRP (inside) host 192.168.1.2
ciscoasa(config-aaa-server-host)#ldap-attribute-map CISCOMAP

Konfigurieren einer NOACCESS-Gruppenrichtlinie

Sie können eine NOACCESS-Gruppenrichtlinie erstellen, um die VPN-Verbindung abzulehnen, wenn der Benutzer keiner der LDAP-Gruppen angehört. Dieser Konfigurationsausschnitt wird als Referenz angezeigt:

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol IPSec webvpn

Sie müssen diese Gruppenrichtlinie als Standardgruppenrichtlinie auf die Tunnelgruppe anwenden. Damit Benutzer, die eine Zuordnung aus der LDAP-Attributzuordnung erhalten, z.B. diejenigen, die einer gewünschten LDAP-Gruppe angehören, ihre gewünschten Gruppenrichtlinien abrufen können und Benutzer, die keine Zuordnung erhalten, z.B. diejenigen, die keiner der gewünschten LDAP-Gruppen angehören, die NOACCESS-Gruppenrichtlinie aus der Tunnelgruppe abrufen können, die den Zugriff für sie blockiert.

Hinweis: Weitere Informationen zum Erstellen verschiedener LDAP-Attributzuordnungen, die den Zugriff für einige Benutzer verweigern, finden Sie unter ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example (Zuordnung von VPN-Clients zu VPN-Gruppenrichtlinien über LDAP-Konfigurationsbeispiel).

Active Directory oder einen anderen LDAP-Server konfigurieren

Die einzige erforderliche Konfiguration auf dem Active Directory oder einem anderen LDAP-Server bezieht sich auf die Attribute des Benutzers. In diesem Beispiel ist die Benutzerin Kate Austen Mitglied der Gruppe "Mitarbeiter" in AD:

Ben Linus ist ein Mitglied der Contractors Group:

Überprüfung

Verwenden Sie diesen Abschnitt, um Ihre Konfiguration zu überprüfen.

Anmelden

Melden Sie sich als Benutzer an, dem eine Gruppenrichtlinie mit der LDAP-Attributzuordnung zugewiesen sein soll, um den Erfolg Ihrer Konfiguration zu überprüfen. In diesem Beispiel wird für jede Gruppenrichtlinie ein Banner konfiguriert. Der Screenshot zeigt, dass sich die Benutzerin kate erfolgreich anmeldet und ExamplePolicy1 angewendet hat, da sie Mitglied der Gruppe Employees ist.

Debuggen der LDAP-Transaktion

Um zu überprüfen, ob die LDAP-Zuordnung erfolgt, oder um weitere Informationen zu den Attributen abzurufen, die der LDAP-Server sendet, geben Sie den Befehl debug ldap 255 in der ASA-Befehlszeile ein, und versuchen Sie dann die Authentifizierung.

Bei diesem Debugging wird der Benutzer kate die Gruppenrichtlinie ExamplePolicy1 zugewiesen, da sie Mitglied der Employees-Gruppe ist. Dieses Debug zeigt auch, dass kate ein Mitglied der Castaways-Gruppe ist, aber dieses Attribut nicht zugeordnet ist, sodass es ignoriert wird.

ciscoasa#debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[105] Session Start
[105] New request Session, context 0xd5481808, reqType = 1
[105] Fiber started
[105] Creating LDAP context with uri=ldap://192.168.1.2:389
[105] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[105] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[105] supportedLDAPVersion: value = 3
[105] supportedLDAPVersion: value = 2
[105] supportedSASLMechanisms: value = GSSAPI
[105] supportedSASLMechanisms: value = GSS-SPNEGO
[105] supportedSASLMechanisms: value = EXTERNAL
[105] supportedSASLMechanisms: value = DIGEST-MD5
[105] Binding as administrator
[105] Performing Simple authentication for admin to 192.168.1.2
[105] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=kate]
        Scope   = [SUBTREE]
[105] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com]
[105] Talking to Active Directory server 192.168.1.2
[105] Reading password policy for kate, dn:CN=Kate Austen,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com
[105] Read bad password count 0
[105] Binding as user
[105] Performing Simple authentication for kate to 192.168.1.2
[105] Checking password policy for user kate
[105] Binding as administrator
[105] Performing Simple authentication for admin to 192.168.1.2
[105] Authentication successful for kate to 192.168.1.2
[105] Retrieving user attributes from server 192.168.1.2
[105] Retrieved Attributes:
[105]   objectClass: value = top
[105]   objectClass: value = person
[105]   objectClass: value = organizationalPerson
[105]   objectClass: value = user
[105]   cn: value = Kate Austen
[105]   sn: value = Austen
[105]   givenName: value = Kate
[105]   distinguishedName: value = CN=Kate Austen,CN=Users,DC=ftwsecurity,
   DC=cisco,DC=com
[105]   instanceType: value = 4
[105]   whenCreated: value = 20070815155224.0Z
[105]   whenChanged: value = 20070815195813.0Z
[105]   displayName: value = Kate Austen
[105]   uSNCreated: value = 16430
[105]   memberOf: value = CN=Castaways,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[105]           mapped to IETF-Radius-Class: value = CN=Castaways,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com
[105]   memberOf: value = CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[105]           mapped to IETF-Radius-Class: value = ExamplePolicy1
[105]   uSNChanged: value = 20500
[105]   name: value = Kate Austen
[105]   objectGUID: value = ..z...yC.q0.....
[105]   userAccountControl: value = 66048
[105]   badPwdCount: value = 0
[105]   codePage: value = 0
[105]   countryCode: value = 0
[105]   badPasswordTime: value = 128316837694687500
[105]   lastLogoff: value = 0
[105]   lastLogon: value = 128316837785000000
[105]   pwdLastSet: value = 128316667442656250
[105]   primaryGroupID: value = 513
[105]   objectSid: value = ............Q..p..*.p?E.Z...
[105]   accountExpires: value = 9223372036854775807
[105]   logonCount: value = 0
[105]   sAMAccountName: value = kate
[105]   sAMAccountType: value = 805306368
[105]   userPrincipalName: value = kate@ftwsecurity.cisco.com
[105]   objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
   DC=ftwsecurity,DC=cisco,DC=com
[105]   dSCorePropagationData: value = 20070815195237.0Z
[105]   dSCorePropagationData: value = 20070815195237.0Z
[105]   dSCorePropagationData: value = 20070815195237.0Z
[105]   dSCorePropagationData: value = 16010108151056.0Z
[105] Fiber exit Tx=685 bytes Rx=2690 bytes, status=1
[105] Session End

In diesem Debugging wird dem Benutzer ben die ExamplePolicy2-Gruppenrichtlinie zugewiesen, da er Mitglied der Contractors-Gruppe ist. Dieses Debugging zeigt auch, dass ben Mitglied der Gruppe TheOthers ist, dieses Attribut jedoch nicht zugeordnet ist und daher ignoriert wird.

ciscoasa#debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[106] Session Start
[106] New request Session, context 0xd5481808, reqType = 1
[106] Fiber started
[106] Creating LDAP context with uri=ldap://192.168.1.2:389
[106] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[106] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[106] supportedLDAPVersion: value = 3
[106] supportedLDAPVersion: value = 2
[106] supportedSASLMechanisms: value = GSSAPI
[106] supportedSASLMechanisms: value = GSS-SPNEGO
[106] supportedSASLMechanisms: value = EXTERNAL
[106] supportedSASLMechanisms: value = DIGEST-MD5
[106] Binding as administrator
[106] Performing Simple authentication for admin to 192.168.1.2
[106] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=ben]
        Scope   = [SUBTREE]
[106] User DN = [CN=Ben Linus,CN=Users,DC=ftwsecurity,DC=cisco,DC=com]
[106] Talking to Active Directory server 192.168.1.2
[106] Reading password policy for ben, dn:CN=Ben Linus,CN=Users,DC=ftwsecurity,
   DC=cisco,DC=com
[106] Read bad password count 0
[106] Binding as user
[106] Performing Simple authentication for ben to 192.168.1.2
[106] Checking password policy for user ben
[106] Binding as administrator
[106] Performing Simple authentication for admin to 192.168.1.2
[106] Authentication successful for ben to 192.168.1.2
[106] Retrieving user attributes from server 192.168.1.2
[106] Retrieved Attributes:
[106]   objectClass: value = top
[106]   objectClass: value = person
[106]   objectClass: value = organizationalPerson
[106]   objectClass: value = user
[106]   cn: value = Ben Linus
[106]   sn: value = Linus
[106]   givenName: value = Ben
[106]   distinguishedName: value = CN=Ben Linus,CN=Users,DC=ftwsecurity,
   DC=cisco,DC=com
[106]   instanceType: value = 4
[106]   whenCreated: value = 20070815160840.0Z
[106]   whenChanged: value = 20070815195243.0Z
[106]   displayName: value = Ben Linus
[106]   uSNCreated: value = 16463
[106]   memberOf: value = CN=TheOthers,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[106]           mapped to IETF-Radius-Class: value = CN=TheOthers,CN=Users,
DC=ftwsecurity,DC=cisco,DC=com
[106]  memberOf: value = CN=Contractors,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[106]           mapped to IETF-Radius-Class: value = ExamplePolicy2
[106]   uSNChanged: value = 20499
[106]   name: value = Ben Linus
[106]   objectGUID: value = ..j...5@.z.|...n
[106]   userAccountControl: value = 66048
[106]   badPwdCount: value = 0
[106]   codePage: value = 0
[106]   countryCode: value = 0
[106]   badPasswordTime: value = 0
[106]   lastLogoff: value = 0
[106]   lastLogon: value = 0
[106]   pwdLastSet: value = 128316677201718750
[106]   primaryGroupID: value = 513
[106]   objectSid: value = ............Q..p..*.p?E.^...
[106]   accountExpires: value = 9223372036854775807
[106]   logonCount: value = 0
[106]   sAMAccountName: value = ben
[106]   sAMAccountType: value = 805306368
[106]   userPrincipalName: value = ben@ftwsecurity.cisco.com
[106]   objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
   DC=ftwsecurity,DC=cisco,DC=com
[106]   dSCorePropagationData: value = 20070815195243.0Z
[106]   dSCorePropagationData: value = 20070815195243.0Z
[106]   dSCorePropagationData: value = 20070815195243.0Z
[106]   dSCorePropagationData: value = 16010108151056.0Z
[106] Fiber exit Tx=680 bytes Rx=2642 bytes, status=1
[106] Session End

Fehlerbehebung

Verwenden Sie diesen Abschnitt, um Probleme mit Ihrer Konfiguration zu beheben.

Bei Attributnamen und -werten wird die Groß-/Kleinschreibung berücksichtigt.

Bei Attributnamen und -werten wird die Groß-/Kleinschreibung berücksichtigt. Wenn die Zuordnung nicht ordnungsgemäß erfolgt, stellen Sie sicher, dass Sie die richtige Schreibweise und Groß-/Kleinschreibung in der LDAP-Attributzuordnung für die Attributnamen und -werte von Cisco und LDAP verwenden.

ASA kann keine Benutzer vom LDAP-Server authentifizieren

Die ASA kann keine Benutzer vom LDAP-Server authentifizieren. Hier sind die Debug-Meldungen:

ldap 255 output:[1555805] Session Start[1555805] Neue Anfrage Session, context 0xcd66c028, reqType = 1[1555805] Fibre gestartet[1555805] Erstellen des LDAP-Kontexts mit uri=ldaps://172.30.74.70:636[1555805] Verbindung zum LDAP-Server herstellen: ldaps://172.30.74.70:636, status = Erfolgreich[1555805] unterstütztLDAPVersion: Wert = 3[1555805] unterstütztLDAPP Version: Wert = 2[1555805] Bindung als Administrator[1555805] Durchführung einer einfachen Authentifizierung für Sysservices an 172.30.74.70[1555805] Einfache Authentifizierung für zurückgegebenen Sysservices-Code (49) Ungültige Anmeldeinformationen[1555805] Fehlgeschlagene Bindung als vom Administrator zurückgegebener Code (-1) Verbindung zum LDAP-Server nicht möglich[1555805] Fibre exit Tx=2222 Bytes x=605 Bytes, status=-2[1555805] Ende der Sitzung

Was die Fehlersuche angeht, so ist entweder das LDAP-Anmelde-DN-Format falsch oder das Kennwort ist falsch. Überprüfen Sie daher beide, um das Problem zu beheben.