تكوين مصادقة AD لعملاء AnyConnect

المقدمة

يوضح هذا المستند كيفية تكوين مصادقة Active Directory (AD) لعملاء AnyConnect المتصلة بدفاعي تهديد FirePOWER (FTD).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• تكوين شبكة RA الخاصة الظاهرية (VPN) على مركز إدارة FirePOWER (FMC)
• تكوين خادم البروتوكول الخفيف للوصول للدليل (LDAP) على FMC
• خدمة Active Directory (AD)
• اسم المجال المؤهل بالكامل (FQDN)
• خدمات Intersight Infrastructure (IIS)
• بروتوكول سطح المكتب البعيد (RDP)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• خادم Microsoft 2016
• تشغيل FMCv 6.5.0
• تشغيل FTDv 6.5.0

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يوضح هذا المستند كيفية تكوين مصادقة Active Directory (AD) لعملاء AnyConnect المتصلة بدفاعات تهديد FirePOWER (FTD)، والتي تتم إدارتها بواسطة مركز إدارة FirePOWER (FMC).

يتم إستخدام هوية المستخدم في سياسات الوصول لتقييد مستخدمي AnyConnect بعناوين IP ومنافذ معينة.

التكوين

الرسم التخطيطي للشبكة والسيناريو

تم تكوين خادم Windows مسبقا باستخدام IIS و RDP لاختبار هوية المستخدم. في دليل التكوين هذا، يتم إنشاء ثلاثة حسابات مستخدمين ومجموعتين.

حسابات المستخدمين:

• مسؤول FTD: يتم إستخدام هذا الحساب كحساب دليل للسماح ل FTD بالارتباط بخادم Active Directory.
• مسؤول تقنية المعلومات: يستخدم حساب مسؤول الاختبار لإظهار هوية المستخدم.
• مستخدم الاختبار: حساب مستخدم إختبار يستخدم لإظهار هوية المستخدم.

المجموعات:

• AnyConnect Admins: مجموعة إختبار تتم إضافة مسؤول تقنية المعلومات إليها لإظهار هوية المستخدم. هذه المجموعة لديها وصول RDP فقط إلى Windows Server.
• مستخدمو AnyConnect: تتم إضافة مجموعة إختبار لمستخدم لعرض هوية المستخدم. هذه المجموعة لديها وصول HTTP إلى Windows Server فقط.

تكوينات Active Directory

من أجل تكوين مصادقة AD وهوية المستخدم بشكل مناسب على FTD، يلزم توفر عدد قليل من القيم.

يجب إنشاء جميع هذه التفاصيل أو تجميعها على Microsoft Server قبل إجراء التكوين على FMC. القيم الرئيسية هي:

• اسم المجال:

هذا هو اسم مجال الخادم. في دليل التكوين هذا، يكون example.com هو اسم المجال.

• عنوان IP/FQDN للخادم:

عنوان IP أو FQDN المستخدم للوصول إلى خادم Microsoft. إذا تم إستخدام FQDN، فيجب تكوين خادم DNS داخل FMC و FTD لحل FQDN.

في دليل التكوين هذا، هذه القيمة هي win2016.example.com (الذي يتم الحل إلى 192.168.1.1).

• منفذ الخادم:

الميناء يستعمل ب ال LDAP خدمة. بشكل افتراضي، يستخدم LDAP و STARTTLS منفذ TCP 389 ل LDAP، و LDAP عبر SSL (LDAPs) منفذ TCP 636.

• المرجع المصدق الجذر:

في حالة إستخدام LDAP أو STARTTLS، يكون المرجع المصدق الجذر المستخدم لتوقيع شهادة SSL المستخدمة بواسطة LDAPs مطلوبا.

• اسم مستخدم الدليل وكلمة المرور:

هذا هو الحساب المستخدم من قبل FMC و FTD للربط بخادم LDAP ومصادقة المستخدمين والبحث عن المستخدمين والمجموعات.

تم إنشاء حساب باسم "مسؤول FTD" لهذا الغرض.

• الاسم المميز للقاعدة والمجموعة (DN):

DN الأساسي هي نقطة البدء FMC ويقوم FTD بإعلام Active Directory ببدء البحث عن المستخدمين ومصادقتهم.

وبالمثل، فإن DN للمجموعة هي نقطة البدء FMC التي تعلم Active Directory بمكان البدء في البحث عن مجموعات لهوية المستخدم.

في دليل التكوين هذا، يتم إستخدام المجال الجذر example.com على أنه شبكة DN الأساسية وشبكة DN الخاصة بالمجموعة.

ومع ذلك، بالنسبة لبيئة الإنتاج، يكون إستخدام DN وDN الأساسي أكثر داخل التدرج الهرمي ل LDAP هو الأفضل.

على سبيل المثال، هذا التدرج الهرمي ل LDAP:

إذا كان المسؤول يريد أن يتمكن المستخدمون داخل وحدة مؤسسة التسويق من مصادقة DN الأساسي، يمكن تعيينها على الجذر (example.com).

ومع ذلك، يسمح هذا أيضا ل User1 ضمن الوحدة التنظيمية المالية بتسجيل الدخول أيضا حيث أن البحث عن المستخدم يبدأ من الجذر وينتقل إلى الشؤون المالية والتسويق والبحث.

تم تعيين شبكة DN الأساسية على example.com

من أجل تقييد تسجيل الدخول إلى المستخدم الوحيد في وحدة مؤسسة التسويق وما قبله، يمكن للمسؤول بدلا من ذلك تعيين DN الأساسي على التسويق.

يمكن الآن ل User2 و User3 فقط المصادقة لأن البحث يبدأ في التسويق.

تعيين DN الأساسي على التسويق

لاحظ أنه لمزيد من التحكم متعدد المستويات داخل FTD والذي يسمح للمستخدمين بتوصيل أو تعيين تفويض مختلف للمستخدمين استنادا إلى سمات AD الخاصة بهم، يلزم تكوين خريطة تفويض LDAP.

يمكن العثور على مزيد من المعلومات حول هذا الأمر هنا: تكوين تخطيط AnyConnect LDAP على الدفاع ضد تهديد FirePOWER (FTD).

يتم إستخدام هذا التدرج الهرمي ل LDAP المبسط في دليل التكوين هذا ويتم إستخدام DN للجذر example.com لكل من DN الأساسي و DN للمجموعة.

تحديد LDAP DN الأساسي و DN للمجموعة

1. فتح مستخدمي Active Directory وأجهزة الكمبيوتر.

2. انقر فوق مجال الجذر (لفتح الحاوية)، ثم انقر بزر الماوس الأيمن فوق مجال الجذر، ثم تحت عرض، انقر فوق ميزات متقدمة.

3. يتيح ذلك عرض الخصائص الإضافية تحت كائنات AD. على سبيل المثال، للعثور على شبكة DN الخاصة بالجذر الرئيسي example.com، انقر بزر الماوس الأيمن فوق example.com ثم أختر خصائص.

4. تحت خصائص، حدد علامة التبويب محرر السمات. ابحث عن اسم مميز ضمن السمات، ثم انقر فوق عرض.

5. يؤدي ذلك إلى فتح نافذة جديدة حيث يمكن نسخ DN ولصقه في FMC لاحقا. في هذا المثال، يكون DN الجذر هو DC=example،DC=com.

انسخ القيمة وحفظها لوقت لاحق. انقر فوق موافق للخروج من نافذة محرر سمات السلسلة وانقر فوق موافق مرة أخرى للخروج من الخصائص.

يمكن القيام بذلك لكائنات متعددة داخل Active Directory. على سبيل المثال، يتم إستخدام هذه الخطوات للعثور على DN الخاص بحاوية المستخدم:

6. يمكن إزالة طريقة عرض الميزات المتقدمة بالنقر بزر الماوس الأيمن على DN الجذر مرة أخرى، ثم تحت عرض، انقر فوق الميزات المتقدمة مرة أخرى.

إنشاء حساب FTD

يسمح حساب المستخدم هذا ل FMC و FTD بالربط مع Active Directory للبحث عن مستخدمين ومجموعات ومصادقة مستخدمين.

الغرض من إنشاء حساب FTD منفصل هو منع الوصول غير المصرح به إلى مكان آخر داخل الشبكة إذا تم أختراق بيانات الاعتماد المستخدمة للربط.

لا يلزم أن يكون هذا الحساب ضمن نطاق DN الأساسي أو DN الخاص بالمجموعة.

1. في Active Directory User and Computers، انقر بزر الماوس الأيمن فوق الحاوية/المنظمة التي تمت إضافة حساب FTD إليها.

في هذا التكوين، تتم إضافة حساب FTD ضمن حاوية المستخدمون أسفل اسم المستخدم ftd.admin@example.com.

انقر بزر الماوس الأيمن فوق المستخدمين، ثم انتقل إلى جديد > مستخدم.

2. انتقل إلى معالج كائن جديد - مستخدم.

3. تحقق من إنشاء حساب FTD. تم إنشاء حسابين إضافيين، وهما مسؤول تقنية المعلومات ومستخدم الاختبار.

إنشاء مجموعات إعلانات وإضافة مستخدمين إلى مجموعات إعلانات (إختياري)

وعلى الرغم من عدم الحاجة إلى المصادقة، يمكن إستخدام المجموعات لتسهيل تطبيق سياسات الوصول على عدة مستخدمين بالإضافة إلى تفويض LDAP.

في دليل التكوين هذا، يتم إستخدام المجموعات لتطبيق إعدادات نهج التحكم بالوصول لاحقا من خلال هوية المستخدم داخل FMC.

1. في Active Directory User and Computers، انقر بزر الماوس الأيمن فوق الحاوية أو الوحدة التنظيمية التي تمت إضافة المجموعة الجديدة إليها.

في هذا المثال، تتم إضافة مسؤولي AnyConnect في المجموعة ضمن الحاوية مستخدمون. انقر بزر الماوس الأيمن فوق المستخدمين، ثم انتقل إلى جديد > مجموعة.

2. انتقل إلى معالج كائن جديد - مجموعة.

3. تحقق من إنشاء المجموعة. يتم أيضا إنشاء مجموعة مستخدمي AnyConnect.

4. انقر بزر الماوس الأيمن فوق المجموعة (المستخدمين) ثم أختر خصائص. في هذا التكوين، تتم إضافة مسؤول تقنية المعلومات للمستخدم إلى مجموعة مسؤولي AnyConnect وتتم إضافة مستخدم إختبار المستخدم إلى مجموعة مستخدمي AnyConnect.

5. تحت علامة التبويب أعضاء، انقر فوق إضافة.

أدخل المستخدم في الحقل وانقر فوق التحقق من الأسماء للتحقق من العثور على المستخدم. ما إن تم التحقق، طقطقت ok.

تحقق من إضافة المستخدم الصحيح ثم انقر فوق موافق. كما تتم إضافة مستخدم إختبار المستخدم إلى مجموعة مستخدمي AnyConnect باستخدام الخطوات نفسها.

نسخ جذر شهادة SSL الخاص ب LDAP (مطلوب فقط ل LDAPs أو STARTTLS)

1. اضغط على Win+R وأدخل mmc.exe. ثم انقر فوق OK.

2. انتقل إلى ملف > إضافة/إزالة الأداة الإضافية.

3. تحت الأدوات الإضافية المتاحة، حدد الشهادات ثم انقر على إضافة.

4. حدد حساب الكمبيوتر ثم انقر فوق التالي.

انقر فوق إنهاء.

5. انقر فوق OK.

6. قم بتوسيع المجلد الشخصي، ثم انقر فوق الشهادات. يتم إصدار الشهادة المستخدمة من قبل LDAPs إلى اسم المجال المؤهل بالكامل (FQDN) الخاص بخادم Windows. يوجد 3 شهادات مدرجة على هذا الخادم.

• شهادة مرجع مصدق صادرة إلى والمثال WIN2016-CA.
• شهادة هوية صادرة لنظام التشغيل Win2016 بواسطة example-WIN2016-CA.
• شهادة هوية صادرة إلى win2016.example.com بواسطة example-win2016-ca.

في دليل التكوين هذا، يكون FQDN هو win2016.example.com، وبالتالي فإن الشهادات الأولى والثانية غير صالحة للاستخدام كشهادة LDAP SSL. شهادة الهوية التي تم إصدارها إلى win2016.example.com هي شهادة تم إصدارها تلقائيا بواسطة خدمة المرجع المصدق ل Windows Server. انقر نقرا مزدوجا على الشهادة للتحقق من التفاصيل.

7. لكي يتم إستخدامها كشهادة SSL ل LDAPS، يجب أن تستوفي الشهادة هذه المتطلبات:

• يتطابق الاسم الشائع أو الاسم البديل لموضوع DNS مع FQDN الخاص بخادم Windows.
• تحتوي الشهادة على مصادقة الخادم ضمن حقل إستخدام المفتاح المحسن.

تحت علامة التبويب تفاصيل للشهادة، حدد الموضوع واسم الموضوع البديل، يوجد FQDN win2016.example.com.

تحت الاستخدام المحسن للمفاتيح، توجد مصادقة الخادم.

8. بمجرد التأكد من ذلك، تحت علامة التبويب مسار الشهادة، حدد الشهادة العليا التي هي شهادة المرجع المصدق الجذر، ثم انقر فوق عرض الشهادة.

9. يؤدي ذلك إلى فتح تفاصيل الشهادات لشهادة المرجع المصدق الجذر.

تحت علامة التبويب تفاصيل، انقر فوق نسخ إلى ملف.

10. انتقل عبر معالج تصدير الشهادات. يصدر المعالج المرجع المصدق الجذر بتنسيق PEM.

حدد Base-64 المرمز X.509.

حدد اسم الملف وأين يتم تصديره.

الآن انقر فوق إنهاء.

11. انتقل إلى الموقع وافتح الشهادة باستخدام مفكرة أو أي محرر نصوص آخر. يعرض هذا شهادة تنسيق PEM. احفظ هذا لوقت لاحق.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

12. (إختياري) في حالة وجود العديد من شهادات الهوية التي يمكن إستخدامها من قبل LDAPs وكان هناك عدم يقين فيما يتعلق بماهية المستخدم، أو عدم وجود وصول إلى خادم LDAP، من الممكن إستخراج المرجع الجذري من التقاط حزمة تم على خادم Windows أو FTD بعد.

تكوينات FMC

التحقق من الترخيص

لنشر تكوين AnyConnect، يلزم تسجيل FTD مع خادم الترخيص الذكي، ويجب تطبيق ترخيص Plus أو Apex أو VPN صالح على الجهاز فقط.

1. انتقل إلى النظام > التراخيص > الترخيص الذكي.

2. تأكد من أن الأجهزة متوافقة ومسجلة بنجاح. تأكد من تسجيل الجهاز باستخدام ترخيص AnyConnect Apex، Plus، أو VPN فقط.

عالم الإعداد

1. انتقل إلى النظام > التكامل.

2. تحت Realms، ثم انقر فوق New Realm.

3. املأ الحقول المناسبة استنادا إلى المعلومات التي تم تجميعها من خادم Microsoft. ثم انقر فوق OK.

4. في الإطار الجديد، حدد دليل إذا لم يكن قد تم إختياره بالفعل، انقر فوق إضافة دليل.

املأ تفاصيل خادم AD. لاحظ أنه في حالة إستخدام FQDN، لا يمكن ل FMC و FTD الربط بنجاح ما لم يتم تكوين DNS لحل FQDN.

لإعداد DNS ل FMC، انتقل إلى نظام > تكوين وحدد واجهات الإدارة.

من أجل إعداد DNS ل FTD، انتقل إلى الأجهزة > إعدادات النظام الأساسي، أو قم بإنشاء سياسة جديدة، أو حرر سياسة حالية ثم انتقل إلى DNS.

إذا كانت LDAPs أو STARTTLS مستخدمة، انقر رمز + (زائد) الأخضر، وأعط الترخيص اسما وانسخ شهادة المرجع المصدق الجذر لتنسيق PEM. ثم انقر فوق حفظ.

حدد المرجع المصدق الجذر الذي تمت إضافته حديثا من القائمة المنسدلة المجاورة لشهادة SSL وانقر فوق STARTTLS أو LDAPs.

انقر فوق إختبار للتأكد من إمكانية ربط FMC بنجاح باسم مستخدم الدليل وكلمة المرور الموفرين في الخطوة السابقة.

ونظرا لأن هذه الاختبارات يتم بدؤها من وحدة التحكم في إدارة اللوحة الأساسية (FMC) وليس من خلال إحدى الواجهات القابلة للتوجيه التي تم تكوينها على FTD (مثل الواجهات الداخلية والخارجية والنقطة DMZ)، فإن الاتصال الناجح (أو الفاشل) لا يضمن نفس النتيجة لمصادقة AnyConnect لأن طلبات مصادقة AnyConnect LDAP يتم بدؤها من إحدى واجهات FTD القابلة للتوجيه.

لمزيد من المعلومات حول إختبار إتصالات LDAP من FTD، راجع قسم إختبار المصادقة والتفويض والمحاسبة (AAA) وقسم التقاط الحزم في منطقة أستكشاف الأخطاء وإصلاحها.

5. تحت تنزيل المستخدم، قم بتنزيل المجموعات التي يتم إستخدامها لهوية المستخدم في الخطوات اللاحقة.

حدد المربع الخاص بتنزيل المستخدمين والمجموعات والعمود الخاص بالمجموعات المتاحة التي يتم تعبئتها بالمجموعات التي تم تكوينها ضمن Active Directory.

يمكن تضمين المجموعات أو إستبعادها، ومع ذلك يتم تضمين جميع المجموعات التي تم العثور عليها ضمن DN الخاصة بالمجموعة بشكل افتراضي.

كما يمكن تضمين مستخدمين محددين أو إستبعادهم كذلك. تتوفر أي مجموعات مضمنة ومستخدمين ليتم تحديدهم لهوية المستخدم في وقت لاحق.

عند الانتهاء، انقر فوق حفظ.

6. تمكين المجال الجديد.

7. إذا تم إستخدام LDAPs أو STARTTLS، فسيلزم أيضا أن يثق CA الجذر بواسطة FTD. للقيام بهذا أولا، انتقل إلى الأجهزة > الشهادات.

طقطقة يضيف في الأعلى يمين.

حدد FTD، تتم إضافة تكوين LDAP إلى النقر فوق رمز + (زائد).

منح اسم لنقطة الاتصال ثم أختر التسجيل اليدوي من القائمة المنسدلة نوع التسجيل. الصق شهادة مرجع تصديق جذر PEM هنا، ثم انقر على حفظ.

تحقق من تحديد TrustPoint الذي تم إنشاؤه ثم انقر فوق إضافة.

تظهر نقطة الثقة الجديدة ضمن FTD. على الرغم من أنه يذكر أن إستيراد شهادة الهوية مطلوب، إلا أنه ليس مطلوبا من FTD مصادقة شهادة SSL المرسلة من خادم LDAP. لذلك، يمكن تجاهل هذه الرسالة.

تكوين AnyConnect لمصادقة AD

1. تفترض هذه الخطوات أنه لم يتم إنشاء نهج VPN للوصول عن بعد بالفعل. إذا تم إنشاء واحد، فانقر فوق الزر "تحرير" لهذا النهج وتخطي الخطوة 3.

انتقل إلى الأجهزة > VPN > الوصول عن بعد.

انقر فوق إضافة لإنشاء نهج VPN جديد للوصول عن بعد

2. قم بإكمال معالج نهج VPN للوصول عن بعد. تحت تعيين النهج، حدد اسما للنهج والأجهزة التي يتم تطبيق النهج عليها.

تحت توصيف التوصيل، حدد اسم توصيف التوصيل الذي يستخدم أيضا كاسم مستعار للمجموعة يراه مستخدمو AnyConnect عند توصيلهم.

حدد النطاق الذي تم إنشاؤه مسبقا تحت خادم المصادقة.

حدد الطريقة التي يتم بها تعيين عناوين IP لعملاء AnyConnect.

حدد نهج المجموعة الافتراضي المستخدم لملف تعريف الاتصال هذا.

ضمن AnyConnect، قم بتحميل حزم AnyConnect التي يتم إستخدامها وتحديد هذه الحزم.

تحت الوصول والشهادة، حدد الواجهة التي يمكن لمستخدمي AnyConnect الوصول إليها من أجل AnyConnect.

قم بإنشاء و/أو تحديد الشهادة التي يتم إستخدامها من قبل FTD أثناء مصافحة SSL.

تأكد من أن خانة الاختيار لسياسة التحكم بالوصول الالتفافي لحركة المرور التي تم فك تشفيرها (sysopt allowed-vpn) غير محددة بحيث تصبح هوية المستخدم التي تم إنشاؤها لاحقا نافذة المفعول لاتصالات RAVPN.

تحت ملخص، راجع التكوين انقر فوق إنهاء.

3. ضمن الشبكة الخاصة الظاهرية (VPN) > سياسة الوصول عن بعد، انقر فوق أيقونة تحرير (قلم رصاص) للحصول على ملف تعريف الاتصال المناسب.

تأكد من تعيين خادم المصادقة على النطاق الذي تم إنشاؤه مسبقا.

تحت إعدادات متقدمة، يمكن تدقيق إتاحة إدارة كلمة المرور للسماح للمستخدمين أن يغيروا كلمة مرورهم عندما أو قبل أن تنتهي صلاحيتها.

غير أن هذا الإعداد يتطلب أن يستخدم النطاق LDAPs. إذا تم إجراء أي تغييرات، انقر فوق حفظ.

عند الانتهاء، انقر فوق حفظ.

تمكين نهج الهوية وتكوين سياسات الأمان لهوية المستخدم

1. انتقل إلى السياسات > التحكم في الوصول > الهوية.

إنشاء نهج هوية جديد.

حدد اسما لنهج الهوية الجديد.

2. انقر فوق إضافة قاعدة.

3. حدد اسما للقاعدة الجديدة. تأكد من تمكينها وتم تعيين الإجراء على المصادقة الخاملة.

انقر فوق علامة التبويب Realm & Settings (النطاق والإعدادات) وحدد النطاق الذي تم إنشاؤه مسبقا. انقر فوق إضافة عند الانتهاء.

4. انقر فوق حفظ.

5. انتقل إلى السياسات > التحكم في الوصول > التحكم في الوصول.

6. تحرير سياسة التحكم في الوصول التي تم تكوين FTD الخاص بها.

7. انقر فوق القيمة المجاورة لنهج الهوية.

حدد نهج الهوية الذي تم إنشاؤه مسبقا ثم انقر فوق موافق.

8. انقر فوق إضافة قاعدة لإنشاء قاعدة ACP جديدة. تعمل هذه الخطوات على إنشاء قاعدة للسماح للمستخدم ضمن مجموعة مسؤولي AnyConnect بالاتصال بأجهزة داخل الشبكة باستخدام RDP.

حدد اسما للقاعدة. تأكد من تمكين القاعدة ومن توفر الإجراء المناسب.

تحت علامة التبويب مناطق، حدد المناطق المناسبة لحركة المرور المفيدة.

تأتي حركة مرور RDP التي بدأها المستخدمون إلى FTD المصدرها من واجهة المنطقة الخارجية وتخرج من المنطقة الداخلية.

تحت الشبكات، قم بتعريف شبكات المصدر والوجهة.

يتضمن الكائن AnyConnect_POOL عناوين IP التي يتم تعيينها لعملاء AnyConnect.

يتضمن الكائن inside_net الشبكة الفرعية الداخلية.

تحت Users، انقر فوق النطاق الذي تم إنشاؤه مسبقا ضمن RealMs المتاحة، ثم انقر فوق المجموعة/المستخدم المناسب ضمن Available Users، ثم انقر فوق إضافة إلى القاعدة.

إذا لم يتوفر أي مستخدمين أو مجموعات ضمن قسم المستخدمين المتاحين، فتأكد من قيام وحدة التحكم في إدارة اللوحة الأساسية (FMC) بتنزيل المستخدمين والمجموعات ضمن قسم النطاق ومن تضمين المجموعات/المستخدم المناسب.

يتم التحقق من المستخدمين/المجموعة المحددة هنا من منظور المصدر.

على سبيل المثال، باستخدام ما تم تعريفه في هذه القاعدة حتى الآن، يقيم FTD أن حركة المرور يتم الحصول عليها من المنطقة الخارجية ويتم توجيهها إلى المنطقة الداخلية، ويتم الحصول عليها من الشبكة في كائن AnyConnect_Pool ويتم توجيهها إلى الشبكة في كائن Inside_Net، ويتم الحصول على حركة المرور من مستخدم في مجموعة AnyConnect Admins.

تحت ميناء، عينت مخصص RDP كائن وأضفت أن يسمح TCP و UDP ميناء 3389. لاحظ أنه يمكن إضافة RDP ضمن قسم التطبيقات ولكن من أجل البساطة، يتم التحقق من المنافذ فقط.

أخيرا، تأكد من أنه تحت التسجيل، يتم التحقق من السجل في نهاية الاتصال للتحقق الإضافي في وقت لاحق. انقر فوق إضافة عند الانتهاء.

9. يتم إنشاء قاعدة إضافية لوصول HTTP للسماح للمستخدمين ضمن المجموعة AnyConnect بوصول المستخدم إلى موقع Windows Server IIS على الويب. انقر فوق حفظ.

تكوين إستثناء NAT

إن هناك nat قاعدة أن يؤثر على AnyConnect حركة مرور، مثل إنترنت ضرب قاعدة، هو مهم أن يشكل nat إستثناء قاعدة so that AnyConnect حركة مرور لا nat يتأثر.

1. انتقل إلى الأجهزة > NAT.

حدد نهج NAT المطبق على FTD.

2. في سياسة NAT هذه، هناك ضرب ديناميكي في النهاية أي ضرب يؤثر كل حركة مرور (بما في ذلك AnyConnect حركة مرور) أن يفرز القارن خارجي إلى القارن خارجي.

لمنع تأثير حركة مرور AnyConnect على NAT، انقر فوق إضافة قاعدة.

3. قم بتكوين قاعدة إستثناء NAT، وتأكد من أن القاعدة هي قاعدة NAT يدوية مع النوع ساكن إستاتيكي. هذا قاعدة NAT ثنائية الإتجاه تنطبق على حركة مرور AnyConnect.

مع هذه الإعدادات، عندما يكتشف FTD حركة مرور مصدرة من Inside_Net وموجهة إلى عنوان AnyConnect_IP (المعرف بواسطة AnyConnect_POOL)، تتم ترجمة المصدر إلى نفس القيمة (Inside_Net) وتتم ترجمة الوجهة إلى نفس القيمة (AnyConnect_POOL) عند وصول حركة مرور البيانات inside_zone وتسجيل خارج_zone. يتجاوز هذا بشكل أساسي NAT عندما يتم استيفاء هذه الشروط.

وبالإضافة إلى ذلك، يتم تعيين FTD لإجراء بحث عن مسار حركة المرور هذه وليس ARP للوكيل. طقطقة ok عندما تم.

4. انقر فوق حفظ.

النشر

1. عند انتهاء التكوين، انقر فوق نشر.

2. انقر فوق خانة الاختيار المجاورة ل FTD حيث يتم تطبيق التكوين عليها ثم انقر فوق نشر.

التحقق من الصحة

الترتيب النهائي

تكوين AAA

> show running-configuration aaa-server
aaa-server LAB-AD protocol ldap
 max-failed-attempts 4
 realm-id 5
aaa-server LAB-AD host win2016.example.com
 server-port 389
 ldap-base-dn DC=example,DC=com
 ldap-group-base-dn DC=example,DC=com
 ldap-scope subtree
 ldap-naming-attribute samaccountname
 ldap-login-password *****
 ldap-login-dn ftd.admin@example.com
 server-type microsoft

تكوين AnyConnect

> show running-config webvpn
webvpn
 enable Outside
 anyconnect image disk0:/csm/anyconnect-linux64-4.7.03052-webdeploy-k9.pkg 1 regex "Linux"
 anyconnect image disk0:/csm/anyconnect-win-4.7.00136-webdeploy-k9.pkg 2 regex "Windows"
 anyconnect profiles Lab disk0:/csm/lab.xml
 anyconnect enable
 tunnel-group-list enable
 cache
  no disable
 error-recovery disable

> show running-config tunnel-group
tunnel-group General type remote-access
tunnel-group General general-attributes
 address-pool AnyConnect-Pool
 authentication-server-group LAB-AD
tunnel-group General webvpn-attributes
 group-alias General enable

> show running-config group-policy
group-policy DfltGrpPolicy attributes
 vpn-simultaneous-logins 10
 vpn-tunnel-protocol ikev2 ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Lab
 user-authentication-idle-timeout none
 webvpn
  anyconnect keep-installer none
  anyconnect modules value dart
  anyconnect ask none default anyconnect
  http-comp none
  activex-relay disable
  file-entry disable
  file-browsing disable
  url-entry disable
  deny-message none
  anyconnect ssl df-bit-ignore enable

> show running-config ssl
ssl trust-point FTD-2-SelfSigned outside

الاتصال بقواعد سياسة التحكم في الوصول من AnyConnect والتحقق منها

User IT Admin موجود في المجموعة AnyConnect Admins التي لديها وصول RDP إلى خادم Windows. ومع ذلك، ليس لديه حق الوصول إلى HTTP.

إن فتح جلسة عمل RDP و Firefox لهذا الخادم يتحقق من أن هذا المستخدم يمكنه الوصول إلى الخادم عبر RDP فقط.

في حالة تسجيل الدخول باستخدام "مستخدم إختبار المستخدم" الموجود في مجموعة مستخدمي AnyConnect الذين يمكنهم الوصول إلى HTTP وليس إلى RDP، يمكنك التحقق من أن قواعد نهج التحكم في الوصول أصبحت سارية المفعول.

التحقق باستخدام أحداث اتصال FMC

ونظرا لتمكين التسجيل في قواعد سياسة التحكم بالوصول، يمكن التحقق من أحداث الاتصال لأي حركة مرور تطابق هذه القواعد.

انتقل إلى Analysis (التحليل) > Connections > Events.

تحت عرض الجدول لأحداث الاتصال، تتم تصفية السجلات لعرض أحداث الاتصال لمسؤول تقنية المعلومات فقط.

هنا، أنت يستطيع دققت أن يسمح حركة مرور RDP إلى الخادم (TCP و UDP 3389)، مهما، أيسر 80 حركة مرور يكون منعت.

بالنسبة لمستخدم إختبار المستخدم، يمكنك التحقق من حظر حركة مرور RDP إلى الخادم والسماح بحركة مرور المنفذ 80.

استكشاف الأخطاء وإصلاحها

تصحيح الأخطاء

يمكن تشغيل تصحيح الأخطاء هذا في CLI تشخيصي لاستكشاف أخطاء مصادقة LDAP وإصلاحها: debug ldap 255.

لاستكشاف أخطاء سياسة التحكم في الوصول لهوية المستخدم وإصلاحها، يمكن تشغيل تصحيح أخطاء جدار حماية دعم النظام في قائمة التحكم لتحديد سبب السماح بحركة المرور أو منعها بشكل غير متوقع.

تصحيح أخطاء LDAP العاملة

[53] Session Start
[53] New request Session, context 0x00002b1d13f4bbf0, reqType = Authentication
[53] Fiber started
[53] Creating LDAP context with uri=ldap://192.168.1.1:389
[53] Connect to LDAP server: ldap://192.168.1.1:389, status = Successful
[53] supportedLDAPVersion: value = 3
[53] supportedLDAPVersion: value = 2
[53] LDAP server 192.168.1.1 is Active directory
[53] Binding as ftd.admin@example.com
[53] Performing Simple authentication for ftd.admin@example.com to 192.168.1.1
[53] LDAP Search:
        Base DN = [DC=example,DC=com]
        Filter  = [sAMAccountName=it.admin]
        Scope   = [SUBTREE]
[53] User DN = [CN=IT Admin,CN=Users,DC=example,DC=com]
[53] Talking to Active Directory server 192.168.1.1
[53] Reading password policy for it.admin, dn:CN=IT Admin,CN=Users,DC=example,DC=com
[53] Read bad password count 6
[53] Binding as it.admin
[53] Performing Simple authentication for it.admin to 192.168.1.1
[53] Processing LDAP response for user it.admin
[53] Message (it.admin):
[53] Authentication successful for it.admin to 192.168.1.1
[53] Retrieved User Attributes:
[53]    objectClass: value = top
[53]    objectClass: value = person
[53]    objectClass: value = organizationalPerson
[53]    objectClass: value = user
[53]    cn: value = IT Admin
[53]    sn: value = Admin
[53]    givenName: value = IT
[53]    distinguishedName: value = CN=IT Admin,CN=Users,DC=example,DC=com
[53]    instanceType: value = 4
[53]    whenCreated: value = 20200421025811.0Z
[53]    whenChanged: value = 20200421204622.0Z
[53]    displayName: value = IT Admin
[53]    uSNCreated: value = 25896
[53]    memberOf: value = CN=AnyConnect Admins,CN=Users,DC=example,DC=com
[53]    uSNChanged: value = 26119
[53]    name: value = IT Admin
[53]    objectGUID: value = &...J..O..2w...c
[53]    userAccountControl: value = 512
[53]    badPwdCount: value = 6
[53]    codePage: value = 0
[53]    countryCode: value = 0
[53]    badPasswordTime: value = 132320354378176394
[53]    lastLogoff: value = 0
[53]    lastLogon: value = 0
[53]    pwdLastSet: value = 132319114917186142
[53]    primaryGroupID: value = 513
[53]    objectSid: value = .............{I...;.....j...
[53]    accountExpires: value = 9223372036854775807
[53]    logonCount: value = 0
[53]    sAMAccountName: value = it.admin
[53]    sAMAccountType: value = 805306368
[53]    userPrincipalName: value = it.admin@example.com
[53]    objectCategory: value = CN=Person,CN=Schema,CN=Configuration,DC=example,DC=com
[53]    dSCorePropagationData: value = 16010101000000.0Z
[53]    lastLogonTimestamp: value = 132319755825875876
[53] Fiber exit Tx=515 bytes Rx=2659 bytes, status=1
[53] Session End

تعذر إنشاء اتصال بخادم LDAP

[-2147483611] Session Start
[-2147483611] New request Session, context 0x00007f9e65ccdc40, reqType = Authentication
[-2147483611] Fiber started
[-2147483611] Creating LDAP context with uri=ldap://171.16.1.1:389
[-2147483611] Connect to LDAP server: ldap://172.16.1.1:389, status = Failed
[-2147483611] Unable to read rootDSE. Can't contact LDAP server.
[-2147483611] Fiber exit Tx=0 bytes Rx=0 bytes, status=-2
[-2147483611] Session End

الحلول المحتملة:

• تحقق من التوجيه وتأكد من أن FTD يتلقى إستجابة من خادم LDAP.
• في حالة إستخدام LDAP أو STARTTLS، تأكد من أن شهادة CA الجذر الصحيحة موثوق بها بحيث يمكن إكمال مصافحة SSL بنجاح.
• دققت أن يستعمل العنوان وميناء صحيح. إذا تم إستخدام اسم المضيف، فتحقق من قدرة DNS على حله إلى عنوان IP الصحيح.

سجل الربط في DN و/أو كلمة المرور غير صحيحة

[-2147483615] Session Start
[-2147483615] New request Session, context 0x00007f9e65ccdc40, reqType = Authentication
[-2147483615] Fiber started
[-2147483615] Creating LDAP context with uri=ldap://192.168.1.1:389
[-2147483615] Connect to LDAP server: ldap://192.168.1.1:389, status = Successful
[-2147483615] defaultNamingContext: value = DC=example,DC=com
[-2147483615] supportedLDAPVersion: value = 3
[-2147483615] supportedLDAPVersion: value = 2
[-2147483615] LDAP server 192.168.1.1 is Active directory
[-2147483615] supportedSASLMechanisms: value = GSSAPI
[-2147483615] supportedSASLMechanisms: value = GSS-SPNEGO
[-2147483615] supportedSASLMechanisms: value = EXTERNAL
[-2147483615] supportedSASLMechanisms: value = DIGEST-MD5
[-2147483615] Binding as ftd.admin@example.com
[-2147483615] Performing Simple authentication for ftd.admin@example.com to 192.168.1.1
[-2147483615] Simple authentication for ftd.admin@example.com returned code (49) Invalid credentials
[-2147483615] Failed to bind as administrator returned code (-1) Can't contact LDAP server
[-2147483615] Fiber exit Tx=186 bytes Rx=744 bytes, status=-2
[-2147483615] Session End

الحل المحتمل: تحقق من تكوين كلمة مرور تسجيل الدخول إلى DN وتسجيل الدخول بشكل صحيح. يمكن التحقق من هذا الإجراء على خادم AD باستخدام ldp.exe. للتحقق من إمكانية ربط حساب بنجاح باستخدام LDP، اتبع الخطوات التالية:

1. اضغط على Win+R والبحث عن ldp.exe على خادم AD

2. تحت الاتصال، حدد Connect.

3. حدد مضيف محلي للخادم والمنفذ المناسب ثم انقر فوق موافق.

4. يظهر العمود الأيمن نصا يشير إلى اتصال ناجح. انتقل إلى اتصال > ربط.

5. حدد ربط بسيط ثم حدد مستخدم حساب الدليل وكلمة المرور. وانقر فوق OK.

باستخدام ربط ناجح، يظهر LDP مصدق ك: DOMAIN\username

ينتج عن محاولة الربط باسم مستخدم غير صالح أو كلمة مرور غير صحيحة فشل مثل الاثنين اللذين نراهما هنا.

تعذر على خادم LDAP العثور على اسم المستخدم

[-2147483612] Session Start
[-2147483612] New request Session, context 0x00007f9e65ccdc40, reqType = Authentication
[-2147483612] Fiber started
[-2147483612] Creating LDAP context with uri=ldap://192.168.1.1:389
[-2147483612] Connect to LDAP server: ldap://192.168.1.1:389, status = Successful
[-2147483612] supportedLDAPVersion: value = 3
[-2147483612] supportedLDAPVersion: value = 2
[-2147483612] LDAP server 192.168.1.1 is Active directory
[-2147483612] Binding as ftd.admin@example.com
[-2147483612] Performing Simple authentication for ftd.admin@example.com to 192.168.1.1
[-2147483612] LDAP Search:
        Base DN = [dc=example,dc=com]
        Filter  = [samaccountname=it.admi]
        Scope   = [SUBTREE]
[-2147483612] Search result parsing returned failure status
[-2147483612] Talking to Active Directory server 192.168.1.1
[-2147483612] Reading password policy for it.admi, dn:
[-2147483612] Binding as ftd.admin@example.com
[-2147483612] Performing Simple authentication for ftd.admin@example.com to 192.168.1.1
[-2147483612] Fiber exit Tx=456 bytes Rx=1082 bytes, status=-1
[-2147483612] Session End

الحل المحتمل: تحقق من أن AD يمكنه العثور على المستخدم مع البحث الذي تم بواسطة FTD. ومن الممكن أن يتم هذا مع ldp.exe أيضا.

1. بعد الربط بنجاح كما هو موضح أعلاه، انتقل إلى عرض > شجرة.

2. حدد DN الأساسي الذي تم تكوينه على FTD ثم انقر فوق موافق

3. انقر بزر الماوس الأيمن فوق DN الأساسي ثم انقر فوق بحث.

4. حدد نفس قيم DN الأساسية، Filter، وScope كما تظهر في تصحيح الأخطاء.

في هذا المثال، هذه:

• شبكة DN الأساسية: dc=example،dc=com
• عامل التصفية: samaccountName=it.admi
• النطاق:الشجرة الفرعية

يبحث LDP عن 0 إدخالات نظرا لعدم وجود حساب مستخدم مع sAMAccountname it.admi أسفل DN الأساسي=example،dc=com.

تظهر محاولة أخرى مع SAMAccountname it.admin الصحيح نتيجة مختلفة. يبحث LDP عن إدخال واحد تحت DN=example، dc=com الأساسي ويطبع DN للمستخدم.

كلمة المرور غير صحيحة لاسم المستخدم

[-2147483613] Session Start
[-2147483613] New request Session, context 0x00007f9e65ccdc40, reqType = Authentication
[-2147483613] Fiber started
[-2147483613] Creating LDAP context with uri=ldap://192.168.1.1:389
[-2147483613] Connect to LDAP server: ldap://192.168.1.1:389, status = Successful
[-2147483613] supportedLDAPVersion: value = 3
[-2147483613] supportedLDAPVersion: value = 2
[-2147483613] LDAP server 192.168.1.1 is Active directory
[-2147483613] Binding as ftd.admin@example.com
[-2147483613] Performing Simple authentication for ftd.admin@example.com to 192.168.1.1
[-2147483613] LDAP Search:
        Base DN = [dc=example,dc=com]
        Filter  = [samaccountname=it.admin]
        Scope   = [SUBTREE]
[-2147483613] User DN = [CN=IT Admin,CN=Users,DC=example,DC=com]
[-2147483613] Talking to Active Directory server 192.168.1.1
[-2147483613] Reading password policy for it.admin, dn:CN=IT Admin,CN=Users,DC=example,DC=com
[-2147483613] Read bad password count 0
[-2147483613] Binding as it.admin
[-2147483613] Performing Simple authentication for it.admin to 192.168.1.1
[-2147483613] Simple authentication for it.admin returned code (49) Invalid credentials
[-2147483613] Message (it.admin): 80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839
[-2147483613] Invalid password for it.admin
[-2147483613] Fiber exit Tx=514 bytes Rx=2764 bytes, status=-1
[-2147483613] Session End

الحل المحتمل: تحقق من تكوين كلمة مرور المستخدم بشكل صحيح ومن عدم انتهاء صلاحيتها. وكما هو الحال مع DN الخاص بتسجيل الدخول، يقوم FTD بربط AD باستخدام بيانات اعتماد المستخدم.

كما يمكن القيام بهذا الربط في ldp للتحقق من أن AD قادر على التعرف على نفس بيانات اعتماد اسم المستخدم وكلمة المرور. يتم عرض الخطوات الموجودة في LDP في DN تسجيل دخول ربط القسم و/أو كلمة المرور غير صحيحة.

بالإضافة إلى ذلك، يمكن مراجعة سجلات عارض أحداث خادم Microsoft لسبب فشل محتمل.

إختبار AAA

يمكن إستخدام الأمر test aaa-server لمحاكاة محاولة مصادقة من FTD باستخدام اسم مستخدم وكلمة مرور محددين. يمكن إستخدام هذا لاختبار حالات فشل الاتصال أو المصادقة. الأمر هو إختبار مصادقة خادم aaa [AAA-server] المضيف [AD IP/hostname].

> show running-configuration aaa-server
aaa-server LAB-AD protocol ldap
 realm-id 7
aaa-server LAB-AD host win2016.example.com
 server-port 389
 ldap-base-dn DC=example,DC=com
 ldap-scope subtree
 ldap-login-password *****
 ldap-login-dn ftd.admin@example.com
 server-type auto-detect

> test aaa-server authentication LAB-AD host win2016.example.com
Username: it.admin
Password: ********
INFO: Attempting Authentication test to IP address (192.168.1.1) (timeout: 12 seconds)
INFO: Authentication Successful

عمليات التقاط الحِزم

يمكن إستخدام مجموعات الحزم للتحقق من إمكانية الوصول إلى خادم AD. إذا غادرت حزم LDAP FTD، ولكن لا توجد إستجابة، فقد يشير ذلك إلى مشكلة في التوجيه.

يظهر الالتقاط حركة مرور LDAP ثنائي الإتجاه.

> show route 192.168.1.1

Routing entry for 192.168.1.0 255.255.255.0
  Known via "connected", distance 0, metric 0 (connected, via interface)
  Routing Descriptor Blocks:
  * directly connected, via inside
      Route metric is 0, traffic share count is 1

> capture AD interface inside match tcp any host 192.168.1.1 eq 389

> show capture
capture AD type raw-data interface inside [Capturing - 0 bytes]
  match tcp any host 192.168.1.1 eq ldap

> test aaa-server authentication LAB-AD host win2016.example.com username it.admin password ******
INFO: Attempting Authentication test to IP address (192.168.1.1) (timeout: 12 seconds)
INFO: Authentication Successful

> show capture
capture AD type raw-data interface inside [Capturing - 10905 bytes]
  match tcp any host 192.168.1.1 eq ldap

> show capture AD

54 packets captured

   1: 23:02:16.770712       192.168.1.17.61960 > 192.168.1.1.389: S 3681912834:3681912834(0) win 32768 <mss 1460,nop,nop,timestamp 1061373057 0>
   2: 23:02:16.772009       192.168.1.1.389 > 192.168.1.17.61960: S 491521506:491521506(0) ack 3681912835 win 8192 <mss 1460,nop,nop,timestamp 762393884 1061373057>
   3: 23:02:16.772039       192.168.1.17.61960 > 192.168.1.1.389: . ack 491521507 win 32768 <nop,nop,timestamp 1061373058 762393884>
   4: 23:02:16.772482       192.168.1.17.61960 > 192.168.1.1.389: P 3681912835:3681912980(145) ack 491521507 win 32768 <nop,nop,timestamp 1061373059 0>
   5: 23:02:16.772924       192.168.1.1.389 > 192.168.1.17.61960: P 491521507:491522141(634) ack 3681912980 win 65160 <nop,nop,timestamp 762393885 1061373059>
   6: 23:02:16.772955       192.168.1.17.61960 > 192.168.1.1.389: . ack 491522141 win 32768 <nop,nop,timestamp 1061373059 762393885>
   7: 23:02:16.773428       192.168.1.17.61960 > 192.168.1.1.389: P 3681912980:3681913024(44) ack 491522141 win 32768 <nop,nop,timestamp 1061373060 0>
   8: 23:02:16.775030       192.168.1.1.389 > 192.168.1.17.61960: P 491522141:491522163(22) ack 3681913024 win 65116 <nop,nop,timestamp 762393887 1061373060>
   9: 23:02:16.775075       192.168.1.17.61960 > 192.168.1.1.389: . ack 491522163 win 32768 <nop,nop,timestamp 1061373061 762393887>
[...]
54 packets shown

سجلات عارض أحداث Windows Server

يمكن أن توفر سجلات عارض الأحداث على خادم AD معلومات أكثر تفصيلا حول سبب حدوث فشل.

1. البحث عن عارض الأحداث وافتتاحه.

2. قم بتوسيع سجلات Windows وانقر فوق الأمان. ابحث عن حالات فشل التدقيق باستخدام اسم حساب المستخدم وراجع معلومات الفشل.

An account failed to log on.

Subject:
	Security ID:		SYSTEM
	Account Name:		WIN2016$
	Account Domain:		EXAMPLE
	Logon ID:		0x3E7

Logon Type:			3

Account For Which Logon Failed:
	Security ID:		NULL SID
	Account Name:		it.admin
	Account Domain:		EXAMPLE

Failure Information:
	Failure Reason:		The specified user account has expired.
	Status:			0xC0000193
	Sub Status:		0x0

Process Information:
	Caller Process ID:	0x25c
	Caller Process Name:	C:\Windows\System32\lsass.exe

Network Information:
	Workstation Name:	WIN2016
	Source Network Address:	192.168.1.17
	Source Port:		56321