In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Verwendung der LDAP-Authentifizierung (Lightweight Directory Access Protocol) beschrieben, um bei der Anmeldung eine Gruppenrichtlinie zuzuweisen. Häufig möchten Administratoren VPN-Benutzern unterschiedliche Zugriffsberechtigungen für WebVPN-Inhalte gewähren. Auf der Adaptive Security Appliance (ASA) wird dies regelmäßig durch die Zuweisung unterschiedlicher Gruppenrichtlinien an verschiedene Benutzer erreicht. Wenn LDAP-Authentifizierung verwendet wird, kann dies automatisch über eine LDAP-Attributzuordnung erreicht werden.
Um einem Benutzer mithilfe von LDAP eine Gruppenrichtlinie zuzuweisen, müssen Sie eine Zuordnung konfigurieren, die ein LDAP-Attribut, z. B. das Active Directory (AD)-Attribut memberOf, dem Attribut IETF-Radius-Class zuordnet, das von der ASA verstanden wird. Sobald die Attributzuordnung eingerichtet ist, müssen Sie den auf dem LDAP-Server konfigurierten Attributwert dem Namen einer Gruppenrichtlinie auf der ASA zuordnen.
Hinweis: Das memberOf-Attribut entspricht der Gruppe, zu der der Benutzer im Active Directory gehört. Ein Benutzer kann Mitglied mehrerer Gruppen im Active Directory sein. Dadurch werden mehrere memberOf-Attribute vom Server gesendet, aber die ASA kann nur ein Attribut mit einer Gruppenrichtlinie abgleichen.
Für dieses Dokument muss auf dem ASA-Gerät bereits eine funktionsfähige LDAP-Authentifizierungskonfiguration konfiguriert sein. Unter Konfigurieren der LDAP-Authentifizierung für WebVPN-Benutzer erfahren Sie, wie Sie eine grundlegende LDAP-Authentifizierungskonfiguration auf der ASA einrichten.
Die Informationen in diesem Dokument basieren auf PIX/ASA 8.0.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
In diesem Beispiel wird das AD/LDAP-Attribut memberOf dem ASA-Attribut CVPN3000-Radius-IETF-Class zugeordnet. Das class-Attribut wird verwendet, um Gruppenrichtlinien auf dem ASA-Gerät zuzuweisen. Dies ist der allgemeine Prozess, den die ASA abschließt, wenn sie Benutzer mit LDAP authentifiziert:
Der Benutzer stellt eine Verbindung mit der ASA her.
Die ASA ist so konfiguriert, dass dieser Benutzer über den Microsoft AD/LDAP-Server authentifiziert wird.
Die ASA bindet sich mit den auf der ASA konfigurierten Anmeldeinformationen (in diesem Fall Admin) an den LDAP-Server an und sucht den angegebenen Benutzernamen.
Wenn der Benutzername gefunden wird, versucht die ASA, eine Bindung zum LDAP-Server mit den Anmeldeinformationen herzustellen, die der Benutzer bei der Anmeldung bereitstellt.
Wenn die zweite Bindung erfolgreich ist, verarbeitet die ASA die Benutzerattribute, zu denen memberOf gehört.
Das memberOf-Attribut wird der CVPN3000-Radius-IETF-Klasse durch die konfigurierte LDAP-Attributzuordnung zugeordnet.
Der Wert, der die Mitgliedschaft in der Gruppe Employees angibt, wird ExamplePolicy1 zugeordnet.
Der Wert, der die Mitgliedschaft in der Gruppe Auftragnehmer angibt, wird ExamplePolicy2 zugeordnet.
Das neu zugewiesene CVPN3000-Radius-IETF-Class-Attribut wird geprüft, und es wird eine Gruppenrichtlinienbestimmung durchgeführt.
Der ExamplePolicy1-Wert bewirkt, dass die ExamplePolicy1-Gruppenrichtlinie dem Benutzer zugewiesen wird.
Der ExamplePolicy2-Wert bewirkt, dass die ExamplePolicy2-Gruppenrichtlinie dem Benutzer zugewiesen wird.
In diesem Abschnitt werden die Informationen angezeigt, mit denen Sie die ASA so konfigurieren können, dass Benutzern auf Basis ihrer LDAP-Attribute eine Gruppenrichtlinie zugewiesen wird.
Führen Sie diese Schritte im ASDM (Adaptive Security Device Manager) aus, um die LDAP-Zuordnung auf der ASA zu konfigurieren.
Navigieren Sie zu Configuration > Remote Access VPN > AAA Setup > LDAP Attribute Map.
Klicken Sie auf Hinzufügen.
Nennen Sie die Karte.
Erstellen Sie eine Zuordnung zwischen einem LDAP-Attribut und dem IETF-Radius-Class-Attribut auf der ASA. In diesem Beispiel ist der Kundenname das memberOf-Attribut in Active Directory. Sie wird dem Cisco Namen der IETF-Radius-Class zugeordnet. Klicken Sie auf Hinzufügen.
Hinweis: Attributnamen und -werte berücksichtigen die Groß- und Kleinschreibung.
Hinweis: Wenn Sie die genauen Attributnamen oder Schreibweisen, die vom LDAP-Server bereitgestellt werden, nicht kennen, kann es hilfreich sein, die Fehlersuche zu untersuchen, bevor Sie die Zuordnung erstellen. Im Abschnitt Überprüfen finden Sie weitere Informationen zum Identifizieren von LDAP-Attributen mit Debuggen.
Nachdem Sie die Attributzuordnung hinzugefügt haben, klicken Sie auf die Registerkarte Zuordnungswert, und klicken Sie auf Hinzufügen, um eine Wertzuordnung zu erstellen. Fügen Sie so viele Wertzuordnungen wie erforderlich hinzu, und klicken Sie abschließend auf OK.
Kundenwert - der Attributwert vom LDAP-Server
Cisco Value - der Name der Gruppenrichtlinie auf der ASA
In diesem Beispiel wird der Wert CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com memberOf ExamplePolicy1 zugeordnet, und der Wert CN=Contractors,CN=Users,DC=ftwsecurity,DC=cisco,DC=com memberOf wird ExamplePolicy2 zugeordnet.
Vollständige LDAP-Attributzuordnung
Nachdem Sie die Zuordnung erstellt haben, muss sie dem AAA-Server (Authentication, Authorization, and Accounting) zugewiesen werden, der für die LDAP-Authentifizierung konfiguriert ist. Wählen Sie im linken Bereich AAA-Servergruppen aus.
Wählen Sie den AAA-Server aus, der für LDAP konfiguriert ist, und klicken Sie auf Bearbeiten.
Suchen Sie am unteren Rand des angezeigten Fensters die Dropdown-Liste LDAP Attribute Map (LDAP-Attributzuordnung). Wählen Sie die Liste aus, die Sie gerade erstellt haben. Klicken Sie abschließend auf OK.
Führen Sie diese Schritte in der CLI aus, um die LDAP-Zuordnung auf der ASA zu konfigurieren.
ciscoasa#configure terminal !--- Create the LDAP Attribute Map. ciscoasa(config)#ldap attribute-map CISCOMAP ciscoasa(config-ldap-attribute-map)#map-name memberOf IETF-Radius-Class ciscoasa(config-ldap-attribute-map)#map-value memberOf CN=Employees,CN=Users, DC=ftwsecurity,DC=cisco,DC=com ExamplePolicy1 ciscoasa(config-ldap-attribute-map)#map-value memberOf CN=Contractors,CN=Users, DC=ftwsecurity,DC=cisco,DC=com ExamplePolicy2 ciscoasa(config-ldap-attribute-map)#exit !--- Assign the map to the LDAP AAA server. ciscoasa(config)#aaa-server LDAP_SRV_GRP (inside) host 192.168.1.2 ciscoasa(config-aaa-server-host)#ldap-attribute-map CISCOMAP
Sie können eine NOACCESS-Gruppenrichtlinie erstellen, um die VPN-Verbindung abzulehnen, wenn der Benutzer keiner der LDAP-Gruppen angehört. Dieser Konfigurationsausschnitt wird als Referenz angezeigt:
group-policy NOACCESS internal group-policy NOACCESS attributes vpn-simultaneous-logins 0 vpn-tunnel-protocol IPSec webvpn
Sie müssen diese Gruppenrichtlinie als Standardgruppenrichtlinie auf die Tunnelgruppe anwenden. Damit Benutzer, die eine Zuordnung aus der LDAP-Attributzuordnung erhalten, z.B. diejenigen, die einer gewünschten LDAP-Gruppe angehören, ihre gewünschten Gruppenrichtlinien abrufen können und Benutzer, die keine Zuordnung erhalten, z.B. diejenigen, die keiner der gewünschten LDAP-Gruppen angehören, die NOACCESS-Gruppenrichtlinie aus der Tunnelgruppe abrufen können, die den Zugriff für sie blockiert.
Hinweis: Weitere Informationen zum Erstellen verschiedener LDAP-Attributzuordnungen, die den Zugriff für einige Benutzer verweigern, finden Sie unter ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example (Zuordnung von VPN-Clients zu VPN-Gruppenrichtlinien über LDAP-Konfigurationsbeispiel).
Die einzige erforderliche Konfiguration auf dem Active Directory oder einem anderen LDAP-Server bezieht sich auf die Attribute des Benutzers. In diesem Beispiel ist die Benutzerin Kate Austen Mitglied der Gruppe "Mitarbeiter" in AD:
Ben Linus ist ein Mitglied der Contractors Group:
Verwenden Sie diesen Abschnitt, um Ihre Konfiguration zu überprüfen.
Melden Sie sich als Benutzer an, dem eine Gruppenrichtlinie mit der LDAP-Attributzuordnung zugewiesen sein soll, um den Erfolg Ihrer Konfiguration zu überprüfen. In diesem Beispiel wird für jede Gruppenrichtlinie ein Banner konfiguriert. Der Screenshot zeigt, dass sich die Benutzerin kate erfolgreich anmeldet und ExamplePolicy1 angewendet hat, da sie Mitglied der Gruppe Employees ist.
Um zu überprüfen, ob die LDAP-Zuordnung erfolgt, oder um weitere Informationen zu den Attributen abzurufen, die der LDAP-Server sendet, geben Sie den Befehl debug ldap 255 in der ASA-Befehlszeile ein, und versuchen Sie dann die Authentifizierung.
Bei diesem Debugging wird der Benutzer kate die Gruppenrichtlinie ExamplePolicy1 zugewiesen, da sie Mitglied der Employees-Gruppe ist. Dieses Debug zeigt auch, dass kate ein Mitglied der Castaways-Gruppe ist, aber dieses Attribut nicht zugeordnet ist, sodass es ignoriert wird.
ciscoasa#debug ldap 255 debug ldap enabled at level 255 ciscoasa# [105] Session Start [105] New request Session, context 0xd5481808, reqType = 1 [105] Fiber started [105] Creating LDAP context with uri=ldap://192.168.1.2:389 [105] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful [105] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com [105] supportedLDAPVersion: value = 3 [105] supportedLDAPVersion: value = 2 [105] supportedSASLMechanisms: value = GSSAPI [105] supportedSASLMechanisms: value = GSS-SPNEGO [105] supportedSASLMechanisms: value = EXTERNAL [105] supportedSASLMechanisms: value = DIGEST-MD5 [105] Binding as administrator [105] Performing Simple authentication for admin to 192.168.1.2 [105] LDAP Search: Base DN = [dc=ftwsecurity, dc=cisco, dc=com] Filter = [sAMAccountName=kate] Scope = [SUBTREE] [105] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com] [105] Talking to Active Directory server 192.168.1.2 [105] Reading password policy for kate, dn:CN=Kate Austen,CN=Users, DC=ftwsecurity,DC=cisco,DC=com [105] Read bad password count 0 [105] Binding as user [105] Performing Simple authentication for kate to 192.168.1.2 [105] Checking password policy for user kate [105] Binding as administrator [105] Performing Simple authentication for admin to 192.168.1.2 [105] Authentication successful for kate to 192.168.1.2 [105] Retrieving user attributes from server 192.168.1.2 [105] Retrieved Attributes: [105] objectClass: value = top [105] objectClass: value = person [105] objectClass: value = organizationalPerson [105] objectClass: value = user [105] cn: value = Kate Austen [105] sn: value = Austen [105] givenName: value = Kate [105] distinguishedName: value = CN=Kate Austen,CN=Users,DC=ftwsecurity, DC=cisco,DC=com [105] instanceType: value = 4 [105] whenCreated: value = 20070815155224.0Z [105] whenChanged: value = 20070815195813.0Z [105] displayName: value = Kate Austen [105] uSNCreated: value = 16430 [105] memberOf: value = CN=Castaways,CN=Users,DC=ftwsecurity,DC=cisco,DC=com [105] mapped to IETF-Radius-Class: value = CN=Castaways,CN=Users, DC=ftwsecurity,DC=cisco,DC=com [105] memberOf: value = CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com [105] mapped to IETF-Radius-Class: value = ExamplePolicy1 [105] uSNChanged: value = 20500 [105] name: value = Kate Austen [105] objectGUID: value = ..z...yC.q0..... [105] userAccountControl: value = 66048 [105] badPwdCount: value = 0 [105] codePage: value = 0 [105] countryCode: value = 0 [105] badPasswordTime: value = 128316837694687500 [105] lastLogoff: value = 0 [105] lastLogon: value = 128316837785000000 [105] pwdLastSet: value = 128316667442656250 [105] primaryGroupID: value = 513 [105] objectSid: value = ............Q..p..*.p?E.Z... [105] accountExpires: value = 9223372036854775807 [105] logonCount: value = 0 [105] sAMAccountName: value = kate [105] sAMAccountType: value = 805306368 [105] userPrincipalName: value = kate@ftwsecurity.cisco.com [105] objectCategory: value = CN=Person,CN=Schema,CN=Configuration, DC=ftwsecurity,DC=cisco,DC=com [105] dSCorePropagationData: value = 20070815195237.0Z [105] dSCorePropagationData: value = 20070815195237.0Z [105] dSCorePropagationData: value = 20070815195237.0Z [105] dSCorePropagationData: value = 16010108151056.0Z [105] Fiber exit Tx=685 bytes Rx=2690 bytes, status=1 [105] Session End
In diesem Debugging wird dem Benutzer ben die ExamplePolicy2-Gruppenrichtlinie zugewiesen, da er Mitglied der Contractors-Gruppe ist. Dieses Debugging zeigt auch, dass ben Mitglied der Gruppe TheOthers ist, dieses Attribut jedoch nicht zugeordnet ist und daher ignoriert wird.
ciscoasa#debug ldap 255 debug ldap enabled at level 255 ciscoasa# [106] Session Start [106] New request Session, context 0xd5481808, reqType = 1 [106] Fiber started [106] Creating LDAP context with uri=ldap://192.168.1.2:389 [106] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful [106] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com [106] supportedLDAPVersion: value = 3 [106] supportedLDAPVersion: value = 2 [106] supportedSASLMechanisms: value = GSSAPI [106] supportedSASLMechanisms: value = GSS-SPNEGO [106] supportedSASLMechanisms: value = EXTERNAL [106] supportedSASLMechanisms: value = DIGEST-MD5 [106] Binding as administrator [106] Performing Simple authentication for admin to 192.168.1.2 [106] LDAP Search: Base DN = [dc=ftwsecurity, dc=cisco, dc=com] Filter = [sAMAccountName=ben] Scope = [SUBTREE] [106] User DN = [CN=Ben Linus,CN=Users,DC=ftwsecurity,DC=cisco,DC=com] [106] Talking to Active Directory server 192.168.1.2 [106] Reading password policy for ben, dn:CN=Ben Linus,CN=Users,DC=ftwsecurity, DC=cisco,DC=com [106] Read bad password count 0 [106] Binding as user [106] Performing Simple authentication for ben to 192.168.1.2 [106] Checking password policy for user ben [106] Binding as administrator [106] Performing Simple authentication for admin to 192.168.1.2 [106] Authentication successful for ben to 192.168.1.2 [106] Retrieving user attributes from server 192.168.1.2 [106] Retrieved Attributes: [106] objectClass: value = top [106] objectClass: value = person [106] objectClass: value = organizationalPerson [106] objectClass: value = user [106] cn: value = Ben Linus [106] sn: value = Linus [106] givenName: value = Ben [106] distinguishedName: value = CN=Ben Linus,CN=Users,DC=ftwsecurity, DC=cisco,DC=com [106] instanceType: value = 4 [106] whenCreated: value = 20070815160840.0Z [106] whenChanged: value = 20070815195243.0Z [106] displayName: value = Ben Linus [106] uSNCreated: value = 16463 [106] memberOf: value = CN=TheOthers,CN=Users,DC=ftwsecurity,DC=cisco,DC=com [106] mapped to IETF-Radius-Class: value = CN=TheOthers,CN=Users,
DC=ftwsecurity,DC=cisco,DC=com [106] memberOf: value = CN=Contractors,CN=Users,DC=ftwsecurity,DC=cisco,DC=com [106] mapped to IETF-Radius-Class: value = ExamplePolicy2 [106] uSNChanged: value = 20499 [106] name: value = Ben Linus [106] objectGUID: value = ..j...5@.z.|...n [106] userAccountControl: value = 66048 [106] badPwdCount: value = 0 [106] codePage: value = 0 [106] countryCode: value = 0 [106] badPasswordTime: value = 0 [106] lastLogoff: value = 0 [106] lastLogon: value = 0 [106] pwdLastSet: value = 128316677201718750 [106] primaryGroupID: value = 513 [106] objectSid: value = ............Q..p..*.p?E.^... [106] accountExpires: value = 9223372036854775807 [106] logonCount: value = 0 [106] sAMAccountName: value = ben [106] sAMAccountType: value = 805306368 [106] userPrincipalName: value = ben@ftwsecurity.cisco.com [106] objectCategory: value = CN=Person,CN=Schema,CN=Configuration, DC=ftwsecurity,DC=cisco,DC=com [106] dSCorePropagationData: value = 20070815195243.0Z [106] dSCorePropagationData: value = 20070815195243.0Z [106] dSCorePropagationData: value = 20070815195243.0Z [106] dSCorePropagationData: value = 16010108151056.0Z [106] Fiber exit Tx=680 bytes Rx=2642 bytes, status=1 [106] Session End
Verwenden Sie diesen Abschnitt, um Probleme mit Ihrer Konfiguration zu beheben.
Bei Attributnamen und -werten wird die Groß-/Kleinschreibung berücksichtigt. Wenn die Zuordnung nicht ordnungsgemäß erfolgt, stellen Sie sicher, dass Sie die richtige Schreibweise und Groß-/Kleinschreibung in der LDAP-Attributzuordnung für die Attributnamen und -werte von Cisco und LDAP verwenden.
Die ASA kann keine Benutzer vom LDAP-Server authentifizieren. Hier sind die Debug-Meldungen:
ldap 255 output:[1555805] Session Start[1555805] Neue Anfrage Session, context 0xcd66c028, reqType = 1[1555805] Fibre gestartet[1555805] Erstellen des LDAP-Kontexts mit uri=ldaps://172.30.74.70:636[1555805] Verbindung zum LDAP-Server herstellen: ldaps://172.30.74.70:636, status = Erfolgreich[1555805] unterstütztLDAPVersion: Wert = 3[1555805] unterstütztLDAPP Version: Wert = 2[1555805] Bindung als Administrator[1555805] Durchführung einer einfachen Authentifizierung für Sysservices an 172.30.74.70[1555805] Einfache Authentifizierung für zurückgegebenen Sysservices-Code (49) Ungültige Anmeldeinformationen[1555805] Fehlgeschlagene Bindung als vom Administrator zurückgegebener Code (-1) Verbindung zum LDAP-Server nicht möglich[1555805] Fibre exit Tx=2222 Bytes x=605 Bytes, status=-2[1555805] Ende der Sitzung
Was die Fehlersuche angeht, so ist entweder das LDAP-Anmelde-DN-Format falsch oder das Kennwort ist falsch. Überprüfen Sie daher beide, um das Problem zu beheben.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
29-Aug-2007 |
Erstveröffentlichung |