PIX/ASA 8.0: Gebruik LDAP-verificatie om een groepsbeleid toe te wijzen bij aanmelding

Inleiding

Dit document beschrijft hoe u LDAP-verificatie (Lichtgewicht Directory Access Protocol) moet gebruiken om een groepsbeleid toe te wijzen bij het inloggen. Beheerders willen VPN-gebruikers vaak verschillende toegangsrechten of WebVPN-inhoud geven. Op de adaptieve security applicatie (ASA) wordt dit regelmatig bereikt door de toewijzing van verschillend groepsbeleid aan verschillende gebruikers. Wanneer LDAP-verificatie in gebruik is, kan dit automatisch worden bereikt met een LDAP-kenmerkkaart.

Om LDAP te gebruiken om een groepsbeleid aan een gebruiker toe te wijzen, moet u een kaart configureren die een LDAP-kenmerk, zoals het attribuut Active Directory (AD) memberOf, toewijst aan het attribuut IETF-Radius-Class dat begrepen wordt door de ASA. Zodra de attributenafbeelding wordt gevestigd, moet u de attributenwaarde in kaart brengen die op de server LDAP aan de naam van een groepsbeleid op ASA wordt gevormd.

Opmerking: Het attribuut memberOf komt overeen met de groep waarin de gebruiker deel uitmaakt van de Active Directory. Het is mogelijk voor een gebruiker om lid te zijn van meer dan één groep in de Active Directory. Dit zorgt ervoor dat meerdere memberOf attributen door de server worden verzonden, maar de ASA kan slechts één attribuut aan één groepsbeleid aanpassen.

Voorwaarden

Vereisten

Dit document vereist dat er al een werkende LDAP-verificatie is geconfigureerd op de ASA. Raadpleeg LDAP-verificatie configureren voor WebVPN-gebruikers om te leren hoe u een basisconfiguratie voor LDAP-verificatie kunt instellen op de ASA.

Gebruikte componenten

De informatie in dit document is gebaseerd op PIX/ASA 8.0.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

In dit voorbeeld wordt het kenmerk AD/LDAP memberOf toegewezen aan het ASA-kenmerk CVPN3000-Radius-IETF-Class. Het klassenattribuut wordt gebruikt om groepsbeleid inzake ASA toe te wijzen. Dit is het algemene proces dat ASA voltooit wanneer het gebruikers met LDAP voor authentiek verklaart:

1. De gebruiker stelt een verbinding met de ASA in werking.

2. ASA wordt geconfigureerd om die gebruiker te verifiëren met de Microsoft AD/LDAP-server.

3. ASA bindt aan de LDAP-server met de referenties die op de ASA zijn geconfigureerd (in dit geval admin) en zoekt de opgegeven gebruikersnaam op.

4. Als de gebruikersnaam wordt gevonden, probeert de ASA aan de LDAP-server de referenties te verbinden die de gebruiker bij de aanmelding biedt.

5. Als de tweede bind succesvol is, verwerkt ASA de gebruikersattesten, die memberOf omvatten.

6. Het attribuut memberOf wordt aan CVPN3000-Radius-IETF-Klasse toegewezen door de geconfigureerde LDAP-functiekaart.

   • De waarde die het lidmaatschap in de groep Werknemers aangeeft, wordt toegewezen aan VoorbeeldPolicy1.

   • De waarde die het lidmaatschap in de groep Contractors aangeeft, wordt toegewezen aan VoorbeeldPolicy2.

7. Het nieuw toegewezen attribuut CVPN3000-Radius-IETF-Class wordt onderzocht en er wordt een groepsbeleidsbepaling uitgevoerd.

   • De waarde VoorbeeldPolicy1 zorgt ervoor dat het groepsbeleid VoorbeeldPolicy1 aan de gebruiker wordt toegewezen.

   • De waarde VoorbeeldPolicy2 zorgt ervoor dat het groepsbeleid VoorbeeldPolicy2 aan de gebruiker wordt toegewezen.

Configureren

ASA configureren

In deze sectie, wordt u voorgesteld met de informatie om ASA te vormen om een groepsbeleid aan gebruikers toe te wijzen die op hun eigenschappen LDAP worden gebaseerd.

ASDM

Voltooi deze stappen in de Adaptieve Security Device Manager (ASDM) om de LDAP-kaart op de ASA te configureren.

1. Navigeer naar Configuration > Remote Access VPN > AAA Setup > LDAP Attribute Map.

2. Klik op Add (Toevoegen).

3. Geef de kaart een naam.

4. Maak een koppeling tussen een LDAP-kenmerk en het kenmerk IETF-Radius-Class op de ASA. In dit voorbeeld is Klantnaam het memberOf attribuut in Active Directory. Het wordt toegewezen aan de Cisco-naam van de IETF-Radius-klasse. Klik op Add (Toevoegen).

   Opmerking: namen en waarden van kenmerken zijn hoofdlettergevoelig.

   Opmerking: Als u de exacte attributennamen of spellings die door de LDAP-server worden verstrekt niet kent, kan het nuttig zijn om de debugs te onderzoeken voordat u de kaart maakt. Zie de sectie Verifiëren voor meer informatie over hoe u LDAP-kenmerken met debugs kunt identificeren.

   

5. Nadat u de attributenafbeelding toevoegt, klik op het tabblad Map Value en klik op Add om een waardetoewijzing te maken. Voeg zo veel waardetoewijzingen toe als nodig is en klik op OK als u klaar bent.

   • Klantwaarde - de attribuutwaarde van de LDAP-server

   • Cisco Value - de naam van het groepsbeleid inzake de ASA

   In dit voorbeeld, wordt de waarde van CN=Werknemers, CN=Gebruikers, DC=ftwsecurity, DC=cisco,DC=com lidOf toegewezen aan VoorbeeldPolicy1 en de waarde van CN=Contractors, CN=Gebruikers, DC=ftwsecurity, DC=cisco,DC=com lidOf toegewezen aan VoorbeeldPolicy2.

   

   Volledige LDAP-kenmerkkaart

   

6. Zodra u de kaart maakt, moet deze worden toegewezen aan de verificatie-, autorisatie- en accounting (AAA) server die is geconfigureerd voor LDAP-verificatie. Kies AAA-servergroepen in het linkerdeelvenster.

7. Selecteer de AAA-server die is geconfigureerd voor LDAP en klik op Bewerken.

8. Zoek onder in het venster dat wordt weergegeven de vervolgkeuzelijst LDAP Attribute Map. Kies de lijst die u zojuist hebt gemaakt. Klik op OK als u klaar bent.

   

CLI

Voltooi deze stappen in de CLI om de LDAP-kaart op de ASA te configureren.

ciscoasa#configure terminal


!--- Create the LDAP Attribute Map.

ciscoasa(config)#ldap attribute-map CISCOMAP
ciscoasa(config-ldap-attribute-map)#map-name memberOf IETF-Radius-Class
ciscoasa(config-ldap-attribute-map)#map-value memberOf CN=Employees,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com ExamplePolicy1
ciscoasa(config-ldap-attribute-map)#map-value memberOf CN=Contractors,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com ExamplePolicy2
ciscoasa(config-ldap-attribute-map)#exit


!--- Assign the map to the LDAP AAA server.

ciscoasa(config)#aaa-server LDAP_SRV_GRP (inside) host 192.168.1.2
ciscoasa(config-aaa-server-host)#ldap-attribute-map CISCOMAP

Een NOACCESS-groepsbeleid configureren

U kunt een NOACCESS-groepsbeleid maken om de VPN-verbinding te weigeren wanneer de gebruiker geen deel uitmaakt van een van de LDAP-groepen. Dit configuratiefragment wordt getoond voor uw verwijzing:

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol IPSec webvpn

U moet dit groepsbeleid als standaardgroepsbeleid toepassen op de tunnelgroep. Zodat gebruikers die een afbeelding krijgen van de LDAP attributenkaart, bijvoorbeeld degenen die tot een gewenste LDAP-groep behoren, hun gewenste groepsbeleid kunnen krijgen en gebruikers die geen afbeelding krijgen, bijvoorbeeld degenen die niet tot een van de gewenste LDAP-groepen behoren, in staat zijn om NOACCESS-groepsbeleid van de tunnelgroep te krijgen, wat de toegang voor hen blokkeert.

Opmerking: Raadpleeg ASA/PIX: Toewijzing van VPN-clients aan VPN-groepsbeleid via LDAP Configuration Voorbeeld voor meer informatie over het maken van verschillende LDAP-attribuut-toewijzingen die de toegang tot bepaalde gebruikers ontzeggen.

De Active Directory of andere LDAP-server configureren

De enige configuratie die vereist is op de Active Directory of andere LDAP-server heeft betrekking op de eigenschappen van de gebruiker. In dit voorbeeld is de gebruiker Kate Austen lid van de Werknemersgroep in AD:

Ben Linus is lid van de Contractors groep:

Verifiëren

Deze sectie bevat informatie over het verifiëren van de configuratie.

Inloggen

Om het succes van uw configuratie te verifiëren, log je in als een gebruiker die verondersteld wordt een groepsbeleid te hebben toegewezen met de LDAP attributenkaart. In dit voorbeeld, wordt een banner gevormd voor elk groepsbeleid. De screenshot toont dat de gebruiker kate met succes inlogt en VoorbeeldPolicy1 toegepast heeft, omdat ze lid is van de groep Werknemers.

Debug de LDAP-transactie

Om te verifiëren dat de LDAP-afbeelding plaatsvindt of om meer informatie te verkrijgen over de eigenschappen van de LDAP-server, geeft u de opdracht debug ldap 255 uit op de ASA-opdrachtregel en probeert u vervolgens verificatie.

In dit debug, de gebruiker kate wordt toegewezen het groepsbeleid VoorbeeldPolicy1 omdat zij een lid van de groep van Werknemers is. Dit debug toont ook aan dat kate een lid is van de Castaways groep, maar dat attribuut is niet in kaart gebracht, dus het wordt genegeerd.

ciscoasa#debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[105] Session Start
[105] New request Session, context 0xd5481808, reqType = 1
[105] Fiber started
[105] Creating LDAP context with uri=ldap://192.168.1.2:389
[105] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[105] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[105] supportedLDAPVersion: value = 3
[105] supportedLDAPVersion: value = 2
[105] supportedSASLMechanisms: value = GSSAPI
[105] supportedSASLMechanisms: value = GSS-SPNEGO
[105] supportedSASLMechanisms: value = EXTERNAL
[105] supportedSASLMechanisms: value = DIGEST-MD5
[105] Binding as administrator
[105] Performing Simple authentication for admin to 192.168.1.2
[105] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=kate]
        Scope   = [SUBTREE]
[105] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com]
[105] Talking to Active Directory server 192.168.1.2
[105] Reading password policy for kate, dn:CN=Kate Austen,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com
[105] Read bad password count 0
[105] Binding as user
[105] Performing Simple authentication for kate to 192.168.1.2
[105] Checking password policy for user kate
[105] Binding as administrator
[105] Performing Simple authentication for admin to 192.168.1.2
[105] Authentication successful for kate to 192.168.1.2
[105] Retrieving user attributes from server 192.168.1.2
[105] Retrieved Attributes:
[105]   objectClass: value = top
[105]   objectClass: value = person
[105]   objectClass: value = organizationalPerson
[105]   objectClass: value = user
[105]   cn: value = Kate Austen
[105]   sn: value = Austen
[105]   givenName: value = Kate
[105]   distinguishedName: value = CN=Kate Austen,CN=Users,DC=ftwsecurity,
   DC=cisco,DC=com
[105]   instanceType: value = 4
[105]   whenCreated: value = 20070815155224.0Z
[105]   whenChanged: value = 20070815195813.0Z
[105]   displayName: value = Kate Austen
[105]   uSNCreated: value = 16430
[105]   memberOf: value = CN=Castaways,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[105]           mapped to IETF-Radius-Class: value = CN=Castaways,CN=Users,
   DC=ftwsecurity,DC=cisco,DC=com
[105]   memberOf: value = CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[105]           mapped to IETF-Radius-Class: value = ExamplePolicy1
[105]   uSNChanged: value = 20500
[105]   name: value = Kate Austen
[105]   objectGUID: value = ..z...yC.q0.....
[105]   userAccountControl: value = 66048
[105]   badPwdCount: value = 0
[105]   codePage: value = 0
[105]   countryCode: value = 0
[105]   badPasswordTime: value = 128316837694687500
[105]   lastLogoff: value = 0
[105]   lastLogon: value = 128316837785000000
[105]   pwdLastSet: value = 128316667442656250
[105]   primaryGroupID: value = 513
[105]   objectSid: value = ............Q..p..*.p?E.Z...
[105]   accountExpires: value = 9223372036854775807
[105]   logonCount: value = 0
[105]   sAMAccountName: value = kate
[105]   sAMAccountType: value = 805306368
[105]   userPrincipalName: value = kate@ftwsecurity.cisco.com
[105]   objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
   DC=ftwsecurity,DC=cisco,DC=com
[105]   dSCorePropagationData: value = 20070815195237.0Z
[105]   dSCorePropagationData: value = 20070815195237.0Z
[105]   dSCorePropagationData: value = 20070815195237.0Z
[105]   dSCorePropagationData: value = 16010108151056.0Z
[105] Fiber exit Tx=685 bytes Rx=2690 bytes, status=1
[105] Session End

In dit debug, de gebruiker is toegewezen het VoorbeeldPolicy2 groepsbeleid omdat hij een lid van de groep Contractors is. Dit debug toont ook aan dat ben lid is van de TheOthers groep, maar dat attribuut is niet in kaart gebracht, dus het wordt genegeerd.

ciscoasa#debug ldap 255
debug ldap  enabled at level 255
ciscoasa#
[106] Session Start
[106] New request Session, context 0xd5481808, reqType = 1
[106] Fiber started
[106] Creating LDAP context with uri=ldap://192.168.1.2:389
[106] Connect to LDAP server: ldap://192.168.1.2:389, status = Successful
[106] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com
[106] supportedLDAPVersion: value = 3
[106] supportedLDAPVersion: value = 2
[106] supportedSASLMechanisms: value = GSSAPI
[106] supportedSASLMechanisms: value = GSS-SPNEGO
[106] supportedSASLMechanisms: value = EXTERNAL
[106] supportedSASLMechanisms: value = DIGEST-MD5
[106] Binding as administrator
[106] Performing Simple authentication for admin to 192.168.1.2
[106] LDAP Search:
        Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
        Filter  = [sAMAccountName=ben]
        Scope   = [SUBTREE]
[106] User DN = [CN=Ben Linus,CN=Users,DC=ftwsecurity,DC=cisco,DC=com]
[106] Talking to Active Directory server 192.168.1.2
[106] Reading password policy for ben, dn:CN=Ben Linus,CN=Users,DC=ftwsecurity,
   DC=cisco,DC=com
[106] Read bad password count 0
[106] Binding as user
[106] Performing Simple authentication for ben to 192.168.1.2
[106] Checking password policy for user ben
[106] Binding as administrator
[106] Performing Simple authentication for admin to 192.168.1.2
[106] Authentication successful for ben to 192.168.1.2
[106] Retrieving user attributes from server 192.168.1.2
[106] Retrieved Attributes:
[106]   objectClass: value = top
[106]   objectClass: value = person
[106]   objectClass: value = organizationalPerson
[106]   objectClass: value = user
[106]   cn: value = Ben Linus
[106]   sn: value = Linus
[106]   givenName: value = Ben
[106]   distinguishedName: value = CN=Ben Linus,CN=Users,DC=ftwsecurity,
   DC=cisco,DC=com
[106]   instanceType: value = 4
[106]   whenCreated: value = 20070815160840.0Z
[106]   whenChanged: value = 20070815195243.0Z
[106]   displayName: value = Ben Linus
[106]   uSNCreated: value = 16463
[106]   memberOf: value = CN=TheOthers,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[106]           mapped to IETF-Radius-Class: value = CN=TheOthers,CN=Users,
DC=ftwsecurity,DC=cisco,DC=com
[106]  memberOf: value = CN=Contractors,CN=Users,DC=ftwsecurity,DC=cisco,DC=com
[106]           mapped to IETF-Radius-Class: value = ExamplePolicy2
[106]   uSNChanged: value = 20499
[106]   name: value = Ben Linus
[106]   objectGUID: value = ..j...5@.z.|...n
[106]   userAccountControl: value = 66048
[106]   badPwdCount: value = 0
[106]   codePage: value = 0
[106]   countryCode: value = 0
[106]   badPasswordTime: value = 0
[106]   lastLogoff: value = 0
[106]   lastLogon: value = 0
[106]   pwdLastSet: value = 128316677201718750
[106]   primaryGroupID: value = 513
[106]   objectSid: value = ............Q..p..*.p?E.^...
[106]   accountExpires: value = 9223372036854775807
[106]   logonCount: value = 0
[106]   sAMAccountName: value = ben
[106]   sAMAccountType: value = 805306368
[106]   userPrincipalName: value = ben@ftwsecurity.cisco.com
[106]   objectCategory: value = CN=Person,CN=Schema,CN=Configuration,
   DC=ftwsecurity,DC=cisco,DC=com
[106]   dSCorePropagationData: value = 20070815195243.0Z
[106]   dSCorePropagationData: value = 20070815195243.0Z
[106]   dSCorePropagationData: value = 20070815195243.0Z
[106]   dSCorePropagationData: value = 16010108151056.0Z
[106] Fiber exit Tx=680 bytes Rx=2642 bytes, status=1
[106] Session End

Problemen oplossen

Deze sectie bevat troubleshooting-informatie voor uw configuratie.

Namen en waarden van kenmerken zijn hoofdlettergevoelig

De namen en de waarden van eigenschappen zijn hoofdlettergevoelig. Als uw afbeelding niet correct voorkomt, moet u er zeker van zijn dat u de juiste spelling en hoofdlettergebruik in uw LDAP-kenmerkkaart gebruikt voor zowel de namen en waarden van de Cisco- als LDAP-kenmerken.

ASA kan gebruikers niet verifiëren vanaf de LDAP-server

ASA kan geen gebruikers van de LDAP-server verifiëren. Hier zijn de debugs:

ldap 255 uitvoer:[1555805] Sessiestart[1555805] Nieuwe aanvraagsessie, context 0xcd66c028, reqType = 1[1555805] Fibre gestart[1555805] LDAP-context maken met uri=ldaps://172.30.74.70:636[1555805] Verbinden met LDAP-server: ldaps://172.30.74.70:636, status = succesvol[1555805] ondersteundLDAPVersion: waarde = 3[1555805] ondersteundLDAPVersion: waarde = 2[1555805] Binding als beheerder[1555805] Eenvoudige verificatie voor systeemservices uitvoeren naar 172.30.70[1555805] voor sysservices retourneerde code (49) Ongeldige referenties[1555805] Kan niet binden als door beheerder geretourneerde code (-1) Kan geen contact opnemen met LDAP-server[1555805] Fibre exit Tx=222 bytes Rx=605 bytes, status=-2[1555805] Session End

Wat de debugs betreft, is ofwel de LDAP Login DN-indeling onjuist of het wachtwoord is onjuist, dus controleer beide om het probleem op te lossen.