PIX/ASA 8.0: Utilice la autenticación LDAP para asignar una política de grupo en el login

Introducción

Este documento describe cómo utilizar la autenticación LDAP (Lightweight Directory Access Protocol) para asignar una política de grupo al inicio de sesión. Con frecuencia, los administradores quieren proporcionar a los usuarios VPN diversos permisos de acceso o contenido WebVPN. En el dispositivo de seguridad adaptable (ASA), esto se consigue regularmente mediante la asignación de diferentes políticas de grupo a diferentes usuarios. Cuando está en uso la autenticación LDAP, esto se puede conseguir automáticamente con una correspondencia de atributo LDAP.

Para utilizar LDAP para asignar una política de grupo a un usuario, debe configurar un mapa que asigne un atributo LDAP, como el atributo memberOf de Active Directory (AD), al atributo IETF-Radius-Class que entiende ASA. Una vez establecida la asignación de atributos, debe asignar el valor de atributo configurado en el servidor LDAP al nombre de una política de grupo en el ASA.

Nota: El atributo memberOf corresponde al grupo del que el usuario forma parte en Active Directory. Es posible que un usuario sea miembro de más de un grupo en Active Directory. Esto hace que el servidor envíe varios atributos memberOf, pero ASA sólo puede hacer coincidir un atributo con una política de grupo.

Prerequisites

Requirements

Este documento requiere que una configuración de autenticación LDAP en funcionamiento ya esté configurada en el ASA. Refiérase a Configuración de la Autenticación LDAP para Usuarios WebVPN para aprender a configurar una configuración básica de autenticación LDAP en ASA.

Componentes Utilizados

La información de este documento se basa en PIX/ASA 8.0.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

En este ejemplo, el atributo memberOf de AD/LDAP se asigna al atributo CVPN3000-Radius-IETF-Class de ASA. El atributo class se utiliza para asignar políticas de grupo en el ASA. Este es el proceso general que ASA completa cuando autentica usuarios con LDAP:

1. El usuario inicia una conexión al ASA.

2. ASA está configurado para autenticar a ese usuario con el servidor de Microsoft AD/LDAP.

3. El ASA enlaza al servidor LDAP con las credenciales configuradas en el ASA (admin en este caso), y busca el nombre de usuario proporcionado.

4. Si se encuentra el nombre de usuario, ASA intenta enlazar con el servidor LDAP con las credenciales que el usuario proporciona al iniciar sesión.

5. Si el segundo enlace es exitoso, ASA procesa los atributos de los usuarios, lo que incluye memberOf.

6. El atributo memberOf se asigna a CVPN3000-Radius-IETF-Class mediante el mapa de atributo LDAP configurado.

   • El valor que indica la pertenencia al grupo Empleados se asigna a ExamplePolicy1.

   • El valor que indica la pertenencia al grupo Contratistas se asigna a ExamplePolicy2.

7. Se examina el nuevo atributo CVPN3000-Radius-IETF-Class asignado y se realiza una determinación de política de grupo.

   • El valor ExamplePolicy1 hace que la directiva de grupo ExamplePolicy1 se asigne al usuario.

   • El valor ExamplePolicy2 hace que la directiva de grupo ExamplePolicy2 se asigne al usuario.

Configurar

Configuración del ASA

En esta sección, se le presenta la información para configurar ASA para asignar una política de grupo a los usuarios en función de sus atributos LDAP.

ASDM

Complete estos pasos en el Adaptive Security Device Manager (ASDM) para configurar el mapa LDAP en el ASA.

1. Vaya a Configuration > Remote Access VPN > AAA Setup > LDAP Attribute Map.

2. Haga clic en Add (Agregar).

3. Nombre el mapa.

4. Cree una asignación entre un atributo LDAP y el atributo IETF-Radius-Class en ASA. En este ejemplo, el Nombre del cliente es el atributo memberOf en Active Directory. Se asigna al nombre Cisco de IETF-Radius-Class. Haga clic en Add (Agregar).

   Nota: Los nombres y valores de los atributos distinguen entre mayúsculas y minúsculas.

   Nota: Si no conoce los nombres exactos de atributos o deletreos que proporciona el servidor LDAP, puede ser útil examinar las depuraciones antes de crear el mapa. Vea la sección Verificar para obtener más información sobre cómo identificar atributos LDAP con depuraciones.

   

5. Después de agregar la asignación de atributos, haga clic en la pestaña Map Value, y haga clic en Add para crear una asignación de valor. Agregue tantas asignaciones de valor como sean necesarias y haga clic en Aceptar cuando haya terminado.

   • Valor del cliente: el valor del atributo del servidor LDAP

   • Valor de Cisco: el nombre de la política de grupo en el ASA

   En este ejemplo, CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com memberOf value se asigna a ExamplePolicy1 y CN=Contractors,CN=Users,DC=ftwsecurity,DC=cisco,DC=com memberOf value se asigna a ExamplePolicy2.

   

   Mapa de atributos LDAP completo

   

6. Una vez creado el mapa, debe asignarse al servidor de Autenticación, Autorización y Contabilización (AAA) configurado para la autenticación LDAP. Elija AAA Server Groups en el panel izquierdo.

7. Seleccione el servidor AAA que está configurado para LDAP y haga clic en Edit.

8. En la parte inferior de la ventana que aparece, localice la lista desplegable Mapa de atributos LDAP. Elija la lista que acaba de crear. Haga clic en Aceptar cuando termine.

   

CLI

Complete estos pasos en la CLI para configurar el mapa LDAP en el ASA.

ciscoasa#configure terminal


!--- Create the LDAP Attribute Map.

ciscoasa(config)#ldap attribute-map CISCOMAP
ciscoasa(config-ldap-attribute-map)#map-name memberOf IETF-Radius-Class
ciscoasa(config-ldap-attribute-map)#map-value memberOf CN=Employees,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com ExamplePolicy1
ciscoasa(config-ldap-attribute-map)#map-value memberOf CN=Contractors,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com ExamplePolicy2
ciscoasa(config-ldap-attribute-map)#exit


!--- Assign the map to the LDAP AAA server.

ciscoasa(config)#aaa-server LDAP_SRV_GRP (inside) host 192.168.1.2
ciscoasa(config-aaa-server-host)#ldap-attribute-map CISCOMAP

Configuración de una política de grupo NOACCESS

Puede crear una política de grupo NOACCESS para denegar la conexión VPN cuando el usuario no forma parte de ninguno de los grupos LDAP. Este fragmento de configuración se muestra como referencia:

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol IPSec webvpn

Debe aplicar esta política de grupo como política de grupo predeterminada al grupo de túnel. De modo que los usuarios que obtienen una asignación del mapa de atributos LDAP, por ejemplo aquellos que pertenecen a un grupo LDAP deseado, pueden obtener sus políticas de grupo deseadas y los usuarios que no obtienen ninguna asignación, por ejemplo aquellos que no pertenecen a ninguno de los grupos LDAP deseados, pueden obtener la política de grupo NOACCESS del grupo de túnel, que bloquea el acceso para ellos.

Nota: Consulte ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example para obtener más información sobre cómo crear diferentes asignaciones de atributos LDAP que denieguen el acceso a algunos usuarios.

Configuración de Active Directory u otro servidor LDAP

La única configuración requerida en Active Directory u otro servidor LDAP está relacionada con los atributos del usuario. En este ejemplo, la usuaria Kate Austen es miembro del grupo Empleados en AD:

Ben Linus es miembro del grupo Contractors:

Verificación

Utiliza esta sección para verificar su configuración.

Inicio de sesión

Para verificar el éxito de su configuración, inicie sesión como un usuario que se supone debe tener una política de grupo asignada con el mapa de atributo LDAP. En este ejemplo, se configura un banner para cada política de grupo. La captura de pantalla muestra que el usuario Kate inicia sesión correctamente y tiene ExamplePolicy1 aplicado, porque es miembro del grupo Empleados.

Depurar la transacción LDAP

Para verificar que se produce la asignación LDAP, o para obtener más información sobre qué atributos envía el servidor LDAP, ejecute el comando debug ldap 255 en la línea de comandos ASA y luego intente la autenticación.

En esta depuración, al usuario Kate se le asigna la política de grupo ExamplePolicy1 porque es miembro del grupo Employees. Esta depuración también muestra que Kate es miembro del grupo Castaways, pero ese atributo no está asignado, por lo que se ignora.

ciscoasa#debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[105] Session Start
[105] New request Session, context 0xd5481808, reqType = 1
[105] Fiber started
[105] Creating LDAP context with uri=ldap://192.168.1.2:389
[105] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[105] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[105] supportedLDAPVersion: value = 3
[105] supportedLDAPVersion: value = 2
[105] supportedSASLMechanisms: value = GSSAPI
[105] supportedSASLMechanisms: value = GSS-SPNEGO
[105] supportedSASLMechanisms: value = EXTERNAL
[105] supportedSASLMechanisms: value = DIGEST-MD5
[105] Binding as administrator
[105] Performing Simple authentication for admin to 192.168.1.2
[105] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=kate]
        Scope   = [SUBTREE]
[105] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com]
[105] Talking to Active Directory server 192.168.1.2
[105] Reading password policy for kate, dn:CN=Kate Austen,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com
[105] Read bad password count 0
[105] Binding as user
[105] Performing Simple authentication for kate to 192.168.1.2
[105] Checking password policy for user kate
[105] Binding as administrator
[105] Performing Simple authentication for admin to 192.168.1.2
[105] Authentication successful for kate to 192.168.1.2
[105] Retrieving user attributes from server 192.168.1.2
[105] Retrieved Attributes:
[105]   objectClass: value = top
[105]   objectClass: value = person
[105]   objectClass: value = organizationalPerson
[105]   objectClass: value = user
[105]   cn: value = Kate Austen
[105]   sn: value = Austen
[105]   givenName: value = Kate
[105]   distinguishedName: value = CN=Kate Austen,CN=Users,DC=ftwsecurity,
   DC=cisco,DC=com
[105]   instanceType: value = 4
[105]   whenCreated: value = 20070815155224.0Z
[105]   whenChanged: value = 20070815195813.0Z
[105]   displayName: value = Kate Austen
[105]   uSNCreated: value = 16430
[105]   memberOf: value = CN=Castaways,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[105]           mapped to IETF-Radius-Class: value = CN=Castaways,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com
[105]   memberOf: value = CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[105]           mapped to IETF-Radius-Class: value = ExamplePolicy1
[105]   uSNChanged: value = 20500
[105]   name: value = Kate Austen
[105]   objectGUID: value = ..z...yC.q0.....
[105]   userAccountControl: value = 66048
[105]   badPwdCount: value = 0
[105]   codePage: value = 0
[105]   countryCode: value = 0
[105]   badPasswordTime: value = 128316837694687500
[105]   lastLogoff: value = 0
[105]   lastLogon: value = 128316837785000000
[105]   pwdLastSet: value = 128316667442656250
[105]   primaryGroupID: value = 513
[105]   objectSid: value = ............Q..p..*.p?E.Z...
[105]   accountExpires: value = 9223372036854775807
[105]   logonCount: value = 0
[105]   sAMAccountName: value = kate
[105]   sAMAccountType: value = 805306368
[105]   userPrincipalName: value = kate@ftwsecurity.cisco.com
[105]   objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
   DC=ftwsecurity,DC=cisco,DC=com
[105]   dSCorePropagationData: value = 20070815195237.0Z
[105]   dSCorePropagationData: value = 20070815195237.0Z
[105]   dSCorePropagationData: value = 20070815195237.0Z
[105]   dSCorePropagationData: value = 16010108151056.0Z
[105] Fiber exit Tx=685 bytes Rx=2690 bytes, status=1
[105] Session End

En esta depuración, al usuario ben se le asigna la directiva de grupo ExamplePolicy2 porque es miembro del grupo Contractors. Esta depuración también muestra que ben es miembro del grupo TheOthers, pero ese atributo no está asignado, por lo que se ignora.

ciscoasa#debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[106] Session Start
[106] New request Session, context 0xd5481808, reqType = 1
[106] Fiber started
[106] Creating LDAP context with uri=ldap://192.168.1.2:389
[106] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[106] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[106] supportedLDAPVersion: value = 3
[106] supportedLDAPVersion: value = 2
[106] supportedSASLMechanisms: value = GSSAPI
[106] supportedSASLMechanisms: value = GSS-SPNEGO
[106] supportedSASLMechanisms: value = EXTERNAL
[106] supportedSASLMechanisms: value = DIGEST-MD5
[106] Binding as administrator
[106] Performing Simple authentication for admin to 192.168.1.2
[106] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=ben]
        Scope   = [SUBTREE]
[106] User DN = [CN=Ben Linus,CN=Users,DC=ftwsecurity,DC=cisco,DC=com]
[106] Talking to Active Directory server 192.168.1.2
[106] Reading password policy for ben, dn:CN=Ben Linus,CN=Users,DC=ftwsecurity,
   DC=cisco,DC=com
[106] Read bad password count 0
[106] Binding as user
[106] Performing Simple authentication for ben to 192.168.1.2
[106] Checking password policy for user ben
[106] Binding as administrator
[106] Performing Simple authentication for admin to 192.168.1.2
[106] Authentication successful for ben to 192.168.1.2
[106] Retrieving user attributes from server 192.168.1.2
[106] Retrieved Attributes:
[106]   objectClass: value = top
[106]   objectClass: value = person
[106]   objectClass: value = organizationalPerson
[106]   objectClass: value = user
[106]   cn: value = Ben Linus
[106]   sn: value = Linus
[106]   givenName: value = Ben
[106]   distinguishedName: value = CN=Ben Linus,CN=Users,DC=ftwsecurity,
   DC=cisco,DC=com
[106]   instanceType: value = 4
[106]   whenCreated: value = 20070815160840.0Z
[106]   whenChanged: value = 20070815195243.0Z
[106]   displayName: value = Ben Linus
[106]   uSNCreated: value = 16463
[106]   memberOf: value = CN=TheOthers,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[106]           mapped to IETF-Radius-Class: value = CN=TheOthers,CN=Users,
DC=ftwsecurity,DC=cisco,DC=com
[106]  memberOf: value = CN=Contractors,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[106]           mapped to IETF-Radius-Class: value = ExamplePolicy2
[106]   uSNChanged: value = 20499
[106]   name: value = Ben Linus
[106]   objectGUID: value = ..j...5@.z.|...n
[106]   userAccountControl: value = 66048
[106]   badPwdCount: value = 0
[106]   codePage: value = 0
[106]   countryCode: value = 0
[106]   badPasswordTime: value = 0
[106]   lastLogoff: value = 0
[106]   lastLogon: value = 0
[106]   pwdLastSet: value = 128316677201718750
[106]   primaryGroupID: value = 513
[106]   objectSid: value = ............Q..p..*.p?E.^...
[106]   accountExpires: value = 9223372036854775807
[106]   logonCount: value = 0
[106]   sAMAccountName: value = ben
[106]   sAMAccountType: value = 805306368
[106]   userPrincipalName: value = ben@ftwsecurity.cisco.com
[106]   objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
   DC=ftwsecurity,DC=cisco,DC=com
[106]   dSCorePropagationData: value = 20070815195243.0Z
[106]   dSCorePropagationData: value = 20070815195243.0Z
[106]   dSCorePropagationData: value = 20070815195243.0Z
[106]   dSCorePropagationData: value = 16010108151056.0Z
[106] Fiber exit Tx=680 bytes Rx=2642 bytes, status=1
[106] Session End

Troubleshoot

Use esta sección para resolver problemas su configuración.

Los nombres y valores de atributos distinguen entre mayúsculas y minúsculas

Los nombres y valores de los atributos distinguen entre mayúsculas y minúsculas. Si la asignación no se realiza correctamente, asegúrese de utilizar la ortografía y el uso de mayúsculas y minúsculas correctos en el mapa de atributos LDAP tanto para los nombres de atributo como para los valores de LDAP y de Cisco.

ASA no puede autenticar usuarios desde el servidor LDAP

ASA no puede autenticar a los usuarios desde el servidor LDAP. Estas son las depuraciones:

ldap 255 output:[1555805] Session Start[1555805] New request Session, context 0xcd66c028, reqType = 1[1555805] Fiber started[1555805] Creating LDAP context with uri=ldaps://172.30.74.70:636[1555805] Connect to LDAP server: ldaps://172.30.74.70:636, status = Sucful[1555805] supportedLDAPVersion: value = 3[1555805] supportedLDAPVersion: value = 2[1555805] Binding as administrator[1555805] Performing Simple authentication for sysservices to 172.30.74.70[1555805] Autenticación simple para sysservices código devuelto (49) Credenciales no válidas[1555805] Error al enlazar como administrador código devuelto (-1) No se puede establecer contacto con el servidor LDAP[1555805] Salida de fibra Tx=222 bytes Rx=605 bytes, estado=-2[1555805] Fin de sesión

En cuanto a las depuraciones, el formato LDAP Login DN es incorrecto o la contraseña es incorrecta, por lo que debe verificar ambos para resolver el problema.