Introduction
Ce document décrit comment configurer AnyConnect avec l'authentification LDAP sur CSM.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- CSM 4.23
- Configuration AnyConnect
- protocole SSL
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- CSM 4.23
- ASA 5515
- AnyConnect 4.10.6090
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configurer
Diagramme du réseau
![Network Diagram](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-00.png)
Configurations
Étape 1. Configuration de l'accès SSLVPN
Accédez à Policies > SSL VPN > Access :
![CSM SSL Configuration](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-01.png)
Après avoir configuré l'interface d'accès, assurez-vous que vous cliquez sur Save :
![Save Button](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-02.png)
Étape 2. Configuration du serveur d'authentification
Accédez à Policy Object Manager > All Object Types > AAA Servers > Add.![Add Button](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-03.png)
Configurez l'adresse IP du serveur, l'interface source, l'annuaire de connexion, le mot de passe de connexion, l'emplacement de la hiérarchie LDAP, l'étendue LDAP et le nom distinctif LDAP :
![AAA Server Configuration](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-04.png)
Ajoutez maintenant le serveur AAA à AAA Server Groups > Add.![Add Button](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-05.png)
![AAA Server Group Configuration](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-06.png)
Étape 3. Configuration du profil de connexion
Accédez à Politiques > Profils de connexion > Ajouter. ![Add Button](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-07.png)
Ici, vous devez configurer le pool d'adresses globales IPv4 (pool AnyConnect), la stratégie de groupe, AAA et l'alias/URL de groupe :
![Connection Profile Configuration](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-08.png)
Afin de sélectionner le serveur AAA, cliquez sur l'onglet AAA et sélectionnez le serveur créé à l'étape 2 :
![Connection Profile AAA Configuration](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-09.png)
Pour configurer un serveur alias/url de groupe, dns ou wins dans le profil de connexion, accédez à l'onglet SSL :
![Connection Profile SSL Configuration](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-10.png)
Étape 4. Déploiement
Cliquez sur l'icône de déploiement .![Deploy Button](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-11.png)
Vérifier
Cette section fournit des informations que vous pouvez utiliser pour vérifier votre configuration.
Accès via CSM :
Ouvrez le Moniteur d'intégrité et de performances > Outils > Sélecteur de périphérique > Sélectionnez l'ASA > Suivant > Sélectionnez Utilisateurs d'accès à distance
![HPM Monitor](/c/dam/en/us/support/docs/security/security-manager-versions-418-/220645-configure-anyconnect-with-ldap-authentic-12.png)
Remarque : l'utilisateur VPN s'affiche en fonction du minuteur d'actualisation HPM.
Via CLI :
ASA#show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 23719
Assigned IP : 192.168.20.1 Public IP : 209.165.201.25
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 15856 Bytes Rx : 3545
Group Policy : Basic_Policy Tunnel Group : CSM_LDAP_SVC
Login Time : 10:29:42 UTC Tue Jul 25 2023
Duration : 0h:010m:16s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0e26864905ca700064bf3396
Security Grp : none
Dépannage
Afin de vérifier les échecs possibles lors de l'authentification LDAP ou de l'établissement anyconnect, vous pouvez exécuter les commandes suivantes sur l'interface de ligne de commande :
debug ldap 255
debug webvpn anyconnect 255