はじめに
このドキュメントでは、Firepower Management Center(UCMC)によって管理されるFirepower Threat Defense(FTD)でLDAP AAを使用してリモートアクセスVPN(RVPN)を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- リモートアクセスVPN(RA VPN)の動作に関する基本的な知識
- firepower Management Center(FMC)を介したナビゲーションについて理解します。
- Microsoft Windows ServerでのLightweight Directory Access Protocol(LDAP)サービスの設定。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- CiscoFirepowerマネジメントセンターバージョン7.3.0
- CiscoFirepower脅威対策バージョン7.3.0
- LDAPサーバとして設定されたMicrosoft Windows Server 2016
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
このドキュメントでは、Firepower Management Center(FMC)によって管理されるFirepower Threat Defense(FTD)でのLightweight Directory Access Protocol(LDAP)認証および許可を使用したリモートアクセスVPN(RA VPN)の設定について説明します。
LDAPは、分散ディレクトリ情報サービスにアクセスして維持するための、ベンダーに依存しないオープンな業界標準アプリケーションプロトコルです。
LDAP属性マップは、Active Directory(AD)またはLDAPサーバに存在する属性をCisco属性名と同等にします。その後、リモートアクセスVPN接続の確立中にADサーバまたはLDAPサーバがFTDデバイスに認証応答を返すと、FTDデバイスはその情報を使用して、AnyConnectクライアントが接続を完了する方法を調整できます。
LDAP認証を使用するRA VPNはバージョン6.2.1以降でサポートされており、FMCバージョン6.7.0より前のLDAP認可は、LDAP属性マップを設定してレルムサーバに関連付けるために、FlexConfigを介して通知されました。バージョン6.7.0のこの機能は、FMCのRA VPNコンフィギュレーションウィザードに統合され、FlexConfigを使用する必要がなくなりました。
注:この機能を使用するには、FMCがバージョン6.7.0である必要があります。一方、管理対象FTDは6.3.0より上位の任意のバージョンである可能性があります。
ライセンス要件
エクスポート制御機能が有効になっているAnyConnect Apex、AnyConnect Plus、またはAnyConnect VPN Onlyライセンスが必要。
ライセンスを確認するには、 System > Licenses > Smart Licenses
を参照。
FMCでの設定手順
レルム/LDAPサーバの設定
注:ここに示す手順は、新しいレルム/LDAPサーバを設定する場合にのみ必要です。RA VPNでの認証に使用できる設定済みのサーバがある場合は、RA VPN Configurationに移動します。
ステップ 1:移動先 System > Other Integrations > Realms
,以下の図に、出力例を示します。
ステップ 2:図に示すように、 Add a new realm
を参照。
ステップ 3:ADサーバとディレクトリの詳細を指定します。クリック OK
を参照。
このデモンストレーションの目的は次のとおりです。
名前:LDAP
タイプ:AD
ADプライマリドメイン:test.com
ディレクトリユーザ名:CN=Administrator,CN=Users,DC=test,DC=com
ディレクトリパスワード: <Hidden>
ベースDN:DC=test,DC=com
グループDN:DC=test,DC=com
ステップ 4:クリック Save
次の図に示すように、レルム/ディレクトリの変更を保存します。
ステップ 5:を切り替えます。 State
ボタンをクリックして、次の図に示すように、サーバの状態を有効に変更します。
RA VPNの設定
これらの手順は、承認済みVPNユーザに割り当てられるグループポリシーを設定するために必要です。グループポリシーがすでに定義されている場合は、ステップ5に進みます。
ステップ 1:移動先 Objects > Object Management
を参照。
ステップ2:左側のペインで、 VPN > Group Policy
を参照。
ステップ3:クリック Add Group Policy
を参照。
ステップ4:グループポリシーの値を指定します。
このデモンストレーションの目的は次のとおりです。
名前:RA-VPN
バナー: !VPNへようこそ!
Simultaneous Login Per User:3(デフォルト)
ステップ 5:移動先 Devices > VPN > Remote Access
を参照。
手順 6:クリック Add a new configuration
を参照。
手順 7:次を提供します。 Name
RA VPNポリシー用に設定します。選択 VPN Protocols
選択します Targeted Devices
を参照。クリック Next
を参照。
このデモンストレーションの目的は次のとおりです。
名前:RA-VPN
VPNプロトコル:SSL
対象デバイス:FTD
ステップ 8:の場合 Authentication Method
,選択 AAA Only
を参照。WLCのREALM/LDAPサーバを Authentication Server
を参照。クリック Configure LDAP Attribute Map
(LDAP許可を設定するため)。
ステップ 9:次を提供します。 LDAP Attribute Name
および Cisco Attribute Name
を参照。クリック Add Value Map
を参照。
このデモンストレーションの目的は次のとおりです。
LDAP属性名: memberOfI
Cisco属性名:Group-Policy
ステップ 10:次を提供します。 LDAP Attribute Value
および Cisco Attribute Value
を参照。クリック OK
を参照。
このデモンストレーションの目的は次のとおりです。
LDAP属性値:DC=tlalocan,DC=sec
Cisco属性値:RA-VPN
注:要件に応じて、バリューマップをさらに追加できます。
ステップ 11次を追加します。 Address Pool
ローカルアドレスの割り当てに使用します。クリック OK
を参照。
ステップ 12次を提供します。 Connection Profile Name
および Group-Policy
を参照。クリック Next
を参照。
このデモンストレーションの目的は次のとおりです。
接続プロファイル名:RA-VPN
認証方式:AAAのみ
認証サーバ:LDAP
IPv4アドレスプール:VPNプール
グループポリシー:アクセスなし
注:認証方式、認証サーバ、およびIPV4アドレスプールは、前の手順で設定しました。
No-Accessグループポリシーには、 Simultaneous Login Per User
パラメータを0に設定します(デフォルトのNo-Accessグループポリシーを受け取ったユーザがログインできないようにするため)。
ステップ 13クリック Add new AnyConnect Image
インターフェイスに AnyConnect Client Image
FTDに送信します。
ステップ 14:次を提供します。 Name
イメージをアップロードし、ローカルストレージから参照してイメージをアップロードします。クリック Save
を参照。
ステップ 15:イメージを使用可能にするには、イメージの横にあるチェックボックスをオンにします。 クリック Next
を参照。
ステップ 16:次のいずれかを選択します Interface group/Security Zone
および Device Certificate
を参照。クリック Next
を参照。
このデモンストレーションの目的は次のとおりです。
インターフェイスグループ/セキュリティゾーン:アウトゾーン
デバイス証明書:自己署名
注:暗号化された(VPN)トラフィックのアクセスコントロールチェックをバイパスするために、Bypass Access Controlポリシーオプションを有効にすることができます(デフォルトでは無効)。
ステップ 17:RA VPN設定の概要を表示します。クリック Finish
をクリックして保存します(図を参照)。
ステップ 18:移動先 Deploy > Deployment
を参照。設定を展開する必要があるFTDを選択します。クリック Deploy
を参照。
導入が成功すると、設定がFTD CLIにプッシュされます。
!--- LDAP Server Configuration ---!
ldap attribute-map LDAP
map-name memberOf Group-Policy
map-value memberOf DC=tlalocan,DC=sec RA-VPN
aaa-server LDAP protocol ldap
max-failed-attempts 4
realm-id 2
aaa-server LDAP host 10.106.56.137
server-port 389
ldap-base-dn DC=tlalocan,DC=sec
ldap-group-base-dn DC=tlalocan,DC=sec
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn CN=Administrator,CN=Users,DC=test,DC=com
server-type microsoft
ldap-attribute-map LDAP
!--- RA VPN Configuration ---!
webvpn
enable Outside
anyconnect image disk0:/csm/anyconnect-win-4.10.07061-webdeploy-k9.pkg 1 regex "Mac"
anyconnect enable
tunnel-group-list enable
error-recovery disable
ssl trust-point Self-Signed
group-policy No-Access internal
group-policy No-Access attributes
vpn-simultaneous-logins 0
vpn-idle-timeout 30
!--- Output Omitted ---!
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list none
group-policy RA-VPN internal
group-policy RA-VPN attributes
banner value ! Welcome to VPN !
vpn-simultaneous-logins 3
vpn-idle-timeout 30
!--- Output Omitted ---!
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list non
ip local pool VPN-Pool 10.72.1.1-10.72.1.150 mask 255.255.255.0
tunnel-group RA-VPN type remote-access
tunnel-group RA-VPN general-attributes
address-pool VPN-Pool
authentication-server-group LDAP
default-group-policy No-Access
tunnel-group RA-VPN webvpn-attributes
group-alias RA-VPN enable
確認
AnyConnectクライアントで、有効なVPNユーザグループクレデンシャルを使用してログインすると、LDAP属性マップによって割り当てられた正しいグループポリシーが取得されます。
LDAPデバッグスニペット(debug ldap 255)から、LDAP属性マップに一致があることがわかります。
Authentication successful for test to 10.106.56.137
memberOf: value = DC=tlalocan,DC=sec
mapped to Group-Policy: value = RA-VPN
mapped to LDAP-Class: value = RA-VPN
AnyConnectクライアントで、Invalid VPN User Group Credentialを使用してログインすると、No-Accessグループポリシーが表示されます。
%FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator
%FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator
%FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator
LDAPデバッグスニペット(debug ldap 255)から、LDAP属性マップに一致するものがないことがわかります。
Authentication successful for Administrator to 10.106.56.137
memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
memberOf: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
memberOf: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
memberOf: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
memberOf: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec
mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec
mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec