RNA VPN configureren met LDAP-verificatie en -autorisatie voor FTD

Downloadopties

  • PDF     (1.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (840.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 mei 2023
Document-id:216313

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Remote Access VPN kunt configureren met LDAP AA op een Firepower Threat Defence (FTD) die wordt beheerd door een Firepower Management Center.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Basiskennis van werken met Remote Access VPN (RA VPN).
    • Ga op de hoogte van navigatie via het Firepower Management Center (FMC).
    • Configuratie van Lichtgewicht Directory Access Protocol (LDAP)-services op Microsoft Windows Server.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende softwareversies:

    • Cisco Firepower Management Center versie 7.3.0
    • Cisco Firepower Threat Defense versie 7.3.0
    • Microsoft Windows Server 2016, geconfigureerd als LDAP-server

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Dit document beschrijft de configuratie van Remote Access VPN (RA VPN) met LDAP-verificatie (Lichtgewicht Directory Access Protocol) en autorisatie op een Firepower Threat Defence (FTD) die wordt beheerd door een Firepower Management Center (FMC).

    LDAP is een open, leverancier-neutraal, industrie-standaardtoepassingsprotocol om tot de gedistribueerde indexinformatiediensten toegang te hebben en te handhaven.

    Een LDAP attributenkaart vergelijkt attributen die in de Active Directory (AD) of LDAP server bestaan met de attributennamen van Cisco. Vervolgens kan het FTD-apparaat, wanneer de AD- of LDAP-server de verificatiereacties op het FTD-apparaat retourneert tijdens een instelling voor externe VPN-verbindingen, de informatie gebruiken om aan te passen hoe de AnyConnect-client de verbinding voltooit.

    RA VPN met LDAP-verificatie is ondersteund op het VCC sinds versie 6.2.1 en LDAP-autorisatie voorafgaand aan FMC versie 6.7.0 werd geadviseerd via FlexConfig om LDAP Attribute Map te configureren en deze te koppelen aan de Real Server. Deze optie, met versie 6.7.0, is nu geïntegreerd met de RA VPN-configuratiewizard op het VCC en vereist geen gebruik meer van FlexConfig.

    NB: Voor deze functie moet het VCC versie 6.7.0 hebben; het beheerde VCC kan op elke versie hoger dan 6.3.0 zijn.

    Licentievereisten

    Vereist AnyConnect Apex, AnyConnect Plus of AnyConnect VPN Only-licentie met exportgestuurde functionaliteit.

    Als u de licentie wilt controleren, navigeer dan naar System > Licenses > Smart Licenses.

    Smart License Status

    Edit Licenses

    Configuratiestappen op FMC

    Configuratie van REALM/LDAP-server

    Opmerking: de genoemde stappen zijn alleen vereist als het gaat om de configuratie van een nieuwe REALM / LDAP-server. Als u een vooraf ingestelde server hebt, die kan worden gebruikt voor verificatie in RA VPN, navigeer dan naar RA VPN Configuration.

    Stap 1. Naar navigeren System > Other Integrations > Realms, zoals in deze afbeelding wordt getoond.

    REALM / LDAP Server Configuration

    Stap 2. Zoals in de afbeelding, klikt u op Add a new realm.

    Add a New Realm

    Stap 3. Geef de details van de AD-server en de directory. Klik op de knop OK.

    Voor deze demonstratie:

    Naam: LDAP

    Type: AD

    AD Primair domein: test.com

    Gebruikersnaam voor map: CN=Administrator, CN=users, DC=test, DC=com

    Directory Wachtwoord: <Hidden>

    Base-DN: DC=test, DC=com

    Groep DN: DC=test, DC=com

    Provide Details of AD Server and Directory

    Stap 4. Klik op de knop  Save om de wijzigingen in domein/map op te slaan, zoals in deze afbeelding wordt getoond.

    Save the Realm / Directory Changes

    Stap 5. Schakel de State om de status van de server te wijzigen in Ingeschakeld, zoals in deze afbeelding wordt weergegeven.

    Toggle to Change the State of the Server

    RA VPN-configuratie

    Deze stappen zijn nodig om het groepsbeleid te configureren, dat is toegewezen aan geautoriseerde VPN-gebruikers. Als het groepsbeleid al is gedefinieerd, gaat u naar Stap 5.

    Stap 1. Naar navigeren Objects > Object Management.

    RA VPN Configuration

    Stap 2: Ga in het linkerdeelvenster naar VPN > Group Policy.

    Navigate to VPN, Group Policy

    Stap 3: Klik op Add Group Policy.

    Add Group Policy

    Stap 4: Verstrek de waarden van het Beleid van de Groep.

    Voor deze demonstratie:

    Naam: RA-VPN

    Banier: ! Welkom bij VPN!

    Gelijktijdige aanmelding per gebruiker: 3 (standaard)

    Provide Group Policy Values

       Provide Session Settings

    Stap 5. Naar navigeren Devices > VPN > Remote Access.

    Navigate to Devices, VPN, Remote Access

    Stap 6. Klik op de knop Add a new configuration.

    Add New Configuration

    Stap 7. Een Name voor het RA VPN-beleid. Kiezen VPN Protocols en kiezen Targeted Devices. Klik op de knop Next.

    Voor deze demonstratie:

    Naam: RA-VPN

    VPN-protocollen: SSL

    Gerichte apparaten: FTD

    Provide Name for RA VPN Policy

    Stap 8. Voor de Authentication Method, kiezen AAA Only. Kies de REALM / LDAP server voor de Authentication Server. Klik op de knop  Configure LDAP Attribute Map (om LDAP-autorisatie te configureren).

    Remote Access VPN Policy Wizard

    Stap 9. Geef de LDAP Attribute Name en de Cisco Attribute Name. Klik op de knop Add Value Map.

    Voor deze demonstratie:

    Naam van LDAP-kenmerk: memberOfI

    Cisco-naam van kenmerk: groepsbeleid

    Authentication Server - Configure LDAP Attribute Map

    Stap 10. Geef de LDAP Attribute Value en de Cisco Attribute Value. Klik op de knop OK.

    Voor deze demonstratie:

    LDAP Attribute Value: DC=tlalocan,DC=sec

    Cisco Attribute Value: RA-VPN

    Provide LDAP Attribute Name and Cisco Attribute Name

    Opmerking: Je kunt meer Waardekaarten toevoegen volgens de vereiste.

    Stap 11. Voeg het Address Pool voor de lokale adrestoewijzing. Klik op de knop OK.

    Provide the LDAP Attribute Value and the Cisco Attribute Value

    Stap 12. Geef de Connection Profile Name en de Group-Policy. Klik op de knop Next.

    Voor deze demonstratie:

    Naam verbindingsprofiel: RA-VPN

    Verificatiemethode: alleen AAA

    Verificatieserver: LDAP

    IPv4-adresgroep: VPN-pool

    Groepsbeleid: geen toegang

    Opmerking: de verificatiemethode, verificatieserver en de IPV4-adresgroep zijn in de vorige stappen geconfigureerd.

    Het groepsbeleid zonder toegang heeft het volgende: Simultaneous Login Per User parameter ingesteld op 0 (om gebruikers niet in staat te stellen om in te loggen als ze het standaard geen-toegang groep-beleid ontvangen).

    Add Address Pool for the Local Address Assignment

    Stap 13. Klik op de knop  Add new AnyConnect Image om een AnyConnect Client Image naar het FTD.

    No-Access Group-Policy has the Simultaneous Login per User Parameter Set to Zero

    Stap 14. Een Name voor het geüploade image en blader vanuit het lokale opslagsysteem om het image te uploaden. Klik op de knop Save.

    Click Add New AnyConnect Image

    Stap 15. Klik op het aanvinkvakje naast de afbeelding om dit voor gebruik in te schakelen. Klik op de knop Next.

    Provide a Name for the Image Uploaded

    Stap 16. Kies de Interface group/Security Zone en de Device Certificate. Klik op de knop Next.

    Voor deze demonstratie:

    Interfacegroep/Security Zone: out-zone

    Apparaatcertificaat: zelfondertekend

    Opmerking: u kunt ervoor kiezen de beleidsoptie Omzeilen voor toegangscontrole in te schakelen om elke toegangscontrole voor versleuteld (VPN) verkeer te omzeilen (standaard uitgeschakeld).

    Click Check Box to Enable It for Use

    Stap 17. Bekijk de samenvatting van de RA VPN configuratie. Klik op de knop  Finish om op te slaan, zoals in de afbeelding.

    View Summary of RA VPN Configuration

    Stap 18. Naar navigeren Deploy > Deployment. Kies de FTD waarop de configuratie moet worden ingezet. Klik op de knop Deploy.

    De configuratie wordt na een succesvolle implementatie naar de FTD CLI gedrukt:

    !--- LDAP Server Configuration ---!

    ldap attribute-map LDAP
     map-name memberOf Group-Policy
     map-value memberOf DC=tlalocan,DC=sec RA-VPN

    aaa-server LDAP protocol ldap
     max-failed-attempts 4
     realm-id 2
    aaa-server LDAP host 10.106.56.137
     server-port 389
     ldap-base-dn DC=tlalocan,DC=sec
     ldap-group-base-dn DC=tlalocan,DC=sec
     ldap-scope subtree
     ldap-naming-attribute sAMAccountName
     ldap-login-password *****
     ldap-login-dn CN=Administrator,CN=Users,DC=test,DC=com
     server-type microsoft
     ldap-attribute-map LDAP

    !--- RA VPN Configuration ---!

    webvpn
     enable Outside
     anyconnect image disk0:/csm/anyconnect-win-4.10.07061-webdeploy-k9.pkg 1 regex "Mac"
     anyconnect enable
     tunnel-group-list enable
     error-recovery disable

    ssl trust-point Self-Signed

    group-policy No-Access internal
    group-policy No-Access attributes 
     vpn-simultaneous-logins 0
     vpn-idle-timeout 30

     !--- Output Omitted ---!

     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelall
     ipv6-split-tunnel-policy tunnelall
     split-tunnel-network-list none

    group-policy RA-VPN internal
    group-policy RA-VPN attributes
     banner value ! Welcome to VPN !
     vpn-simultaneous-logins 3
     vpn-idle-timeout 30

     !--- Output Omitted ---!

     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelall
     ipv6-split-tunnel-policy tunnelall
     split-tunnel-network-list non

    ip local pool VPN-Pool 10.72.1.1-10.72.1.150 mask 255.255.255.0

    tunnel-group RA-VPN type remote-access
    tunnel-group RA-VPN general-attributes
    address-pool VPN-Pool
    authentication-server-group LDAP
    default-group-policy No-Access
    tunnel-group RA-VPN webvpn-attributes
    group-alias RA-VPN enable

    Verifiëren

    Meld u op de AnyConnect-client aan met de geldige VPN-gebruikersgroep Credentials en u krijgt het juiste groepsbeleid toegewezen door de LDAP-kenmerkkaart:

    Cisco VPN AnyConnect Banner

    Van het LDAP Debug Snippet (debug ldap 255) kunt u zien dat er een match is op de LDAP Attribute Map:

    Authentication successful for test to 10.106.56.137

    memberOf: value = DC=tlalocan,DC=sec
            mapped to Group-Policy: value = RA-VPN
            mapped to LDAP-Class: value = RA-VPN

    Meld u aan bij de AnyConnect-client met een ongeldige VPN-gebruikersgroep Credentials en u krijgt het groepsbeleid Geen toegang.

    Cisco AnyConnect Login Failure

    %FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator
    %FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator
    %FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator

    Van LDAP Debug Snippet (debug ldap 255), kunt u zien dat er geen match is op de LDAP Attribute Map:

    Authentication successful for Administrator to 10.106.56.137

    memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
    memberOf: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    18-May-2023
    Toegevoegd Alt Text. Bijgewerkte inleiding, machinevertaling, stijlvereisten, achtergronden en opmaak.
    1.0
    23-Nov-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Rohan Biswas
      Cisco TAC Engineer
    • Tazy Khan
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten