Configurer une adresse IP statique sur un VPN d'accès à distance AnyConnect avec ISE et AD

Introduction

Ce document décrit comment configurer une adresse IP statique sur le VPN d'accès à distance Cisco AnyConnect avec Identity Services Engine (ISE) et Active Directory (AD).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Configuration de Cisco ISE Versions 3.0
• Configuration de l'appareil de sécurité adaptatif Cisco (ASA)/Firepower Threat Defense (FTD)
• Flux d'authentification VPN

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco ISE version 3.0
• Cisco ASA
• Windows 2016
• Windows 10
• Client Cisco AnyConnect

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Lorsque les utilisateurs effectuent une authentification VPN avec un Cisco ASA avec le logiciel client VPN AnyConnect, il est parfois utile d'attribuer la même adresse IP statique à un client. Ici, vous pouvez configurer une adresse IP statique par compte d'utilisateur dans Active Directory et utiliser cette adresse IP chaque fois que l'utilisateur se connecte au VPN. ISE peut être configuré avec l'attribut msRADIUSFramedIPAddress  pour demander à Active Directory de récupérer l'adresse IP auprès d'Active Directory et de l'attribuer au client chaque fois qu'il se connecte.

Ce document décrit uniquement comment configurer une adresse IP statique sur un VPN d'accès à distance Cisco AnyConnect.

Configurer

Configuration AD

Étape 1. Sélectionnez un compte de test dans Active Directory. Modifiez le Properties du compte test ; sélectionnez le Dial-in comme illustré dans l'image.

Étape 2. Cochez la case Assign Static IP Address, sélectionnez une option.

Étape 3. Cliquez sur le bouton Static IP Addresses s'affiche.

Étape 4. Cochez la case Assign a static IPv4 addresset entrez une adresse IP.

Étape 5. Cliquer OK pour terminer la configuration.

Configuration ISE

Étape 1. Ajoutez un périphérique réseau sur ISE et configurez RADIUS et la clé partagée. Naviguez jusqu'àISE > Administration > Network Devices > Add Network Device.

Étape 2. Intégrer ISE à AD. Naviguez jusqu'à ISE > Administration > External Identity Sources > Active Directory > Join ISE to Domain .

Étape 3. Ajouter AD Attribute msRADIUSFramedIPAddress. Naviguez jusqu'à ISE > Administration > External Identity Sources > Active Directory puis sélectionnez le nom du point de jonction créé. Cliquez sur Edit.Cliquez ensuite sur le bouton Attributes s'affiche. Et, cliquez sur Add > Select Attributes from Directory.

Entrez le nom de l'utilisateur test présent sur Active Directory auquel l'adresse IP statique est attribuée et sélectionnez Retrieve Attributes.

Cochez la case correspondante msRADIUSFramedIPAddress et cliquez sur OK .

Modifier l'attribut msRADIUSFramedIPAddress et de modifier le Type valeur de STRING to IPet cliquez sur Save.

Étape 4. Créer un profil d'autorisation. Naviguez jusqu'à ISE > Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add.

Dans la Advanced Attributes Settings,ajouter une nouvelle valeur pour Radius: Framed-IP-Address et est égal à msRADIUSFramedIPAddressvaleur précédemment sélectionnée sous Attributs AD (à l'étape 3).

Étape 5. Créer Policy Set. Naviguez jusqu'à ISE > Policy > Policy Sets. Créer un ensemble de stratégies et Save. Créez une stratégie d’authentification et sélectionnez la source d’identité Active Directory (jointe à l’étape 2).Créez une stratégie d’autorisation et sélectionnez le résultat avec le profil d’autorisation créé (créé à l’étape 4).

Configuration ASA

Activez WebVPN sur l'interface OUTSIDE et activez l'image AnyConnect.

webvpn

  enable OUTSIDE

  anyconnect image disk0:/anyconnect-win-4.10.00093-webdeploy-k9.pkg 1

 anyconnect enable

 tunnel-group-list enable

Définissez le groupe de serveurs AAA et le serveur :

aaa-server ISE protocol radius

aaa-server ISE (inside) host 10.127.197.230

 key *****

 authentication-port 1812

 accounting-port 1813

 radius-common-pw *****

 authorize-only

 interim-accounting-update periodic 24

 dynamic-authorization

Pool VPN :

ip local pool VPN_POOL 192.168.1.1-192.168.1.50 mask 255.255.255.0

Stratégie de groupe :

group-policy GP-1 internal

group-policy GP-1 attributes

 dns-server value 10.127.197.254

 vpn-tunnel-protocol ssl-client

 address-pools value VPN_POOL

Groupe de tunnels :

tunnel-group TG-2 type remote-access

tunnel-group TG-2 general-attributes

 authentication-server-group ISE

 default-group-policy GP-1

tunnel-group TG-2 webvpn-attributes

 group-alias TG-2 enable

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Si une adresse IP statique est attribuée à Active Directory :

Journaux en direct ISE:

Autres attributs : ici, vous pouvez voir l'attribut  msRADIUSFramedIPAddress  avec une adresse IP attribuée à cet utilisateur sur Active Directory.

Résultats : adresse IP envoyée par ISE à ASA.

Résultat de l'ASA :

commande : show vpn-sessiondb anyconnect

Pour les utilisateurs sans adresses IP statiques sur Active Directory

Si aucune adresse IP n'est attribuée aux utilisateurs sur Active Directory, ils se voient attribuer l'adresse IP attribuée à partir du pool VPN local ou du protocole DHCP (si configuré). Ici, le pool local défini sur ASA est utilisé.

Journaux en direct ISE:

Résultat de l'ASA :

commande :  show vpn-sessiondb anyconnect

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.