为FTD配置RA VPN的LDAP身份验证和授权

下载选项

  • PDF     (1.3 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.1 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (834.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 5 月 18 日
文档 ID:216313

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在由Firepower管理中心管理的Firepower威胁防御(FTD)上使用LDAP AA配置远程访问VPN。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 远程访问VPN(RA VPN)工作的基础知识。
    • 了解通过Firepower管理中心(FMC)进行的导航。
    • Microsoft Windows Server上的轻量级目录访问协议(LDAP)服务配置。

    使用的组件

    本文档中的信息基于以下软件版本:

    • 思科Firepower管理中心版本7.3.0
    • 思科Firepower威胁防御版本7.3.0
    • Microsoft Windows Server 2016,配置为LDAP服务器

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    本文档介绍在由Firepower管理中心(FMC)管理的Firepower威胁防御(FTD)上使用轻量级目录访问协议(LDAP)身份验证和授权配置远程访问VPN(RA VPN)。

    LDAP是一种开放的、供应商中立的行业标准应用协议,用于访问和维护分布式目录信息服务。

    LDAP属性映射将Active Directory(AD)或LDAP服务器中存在的属性与思科属性名称等同。然后,当AD或LDAP服务器在远程访问VPN连接建立期间向FTD设备返回身份验证响应时,FTD设备可以使用信息调整AnyConnect客户端如何完成连接。

    自6.2.1版本起,FMC支持使用LDAP身份验证的RA VPN,建议通过FlexConfig进行FMC 6.7.0版本之前的LDAP授权,以配置LDAP属性映射并将其与领域服务器关联。此功能(版本6.7.0)现已与FMC上的RA VPN配置向导集成,不再需要使用FlexConfig。

    注意:此功能要求FMC在版本6.7.0上;而托管FTD可在任何高于6.3.0的版本上。

    许可证要求

    需要AnyConnect Apex、AnyConnect Plus或AnyConnect VPN Only许可证,并启用导出控制功能。

    要检查许可证,请导航至 System > Licenses > Smart Licenses.

    Smart License Status

    Edit Licenses

    FMC的配置步骤

    领域/ LDAP服务器配置

    注意:只有在配置新的REALM/LDAP服务器时才需要列出的步骤。如果您有一个预配置的服务器,可用于在RA VPN中进行身份验证,则导航到RA VPN配置

    步骤1:导航至 System > Other Integrations > Realms,如图所示。

    REALM / LDAP Server Configuration

    第二步:如图所示,单击 Add a new realm.

    Add a New Realm

    第三步:提供AD服务器和目录的详细信息。点击 OK.

    在本演示中:

    名称:LDAP

    型:AD

    AD主域:test.com

    目录用户名:CN=Administrator,CN=Users,DC=test,DC=com

    目录密码: <Hidden>

    基本DN:DC=test,DC=com

    组DN:DC=test,DC=com

    Provide Details of AD Server and Directory

    第四步:点击 Save 保存领域/目录更改,如本图所示。

    Save the Realm / Directory Changes

    第五步:切换 State 按钮可将服务器的状态更改为“已启用”,如下图所示。

    Toggle to Change the State of the Server

    RA VPN配置

    配置组策略(分配给授权VPN用户)需要执行以下步骤。如果已定义组策略,请转到步骤5

    步骤1:导航至 Objects > Object Management.

    RA VPN Configuration

    第2步:在左侧窗格中,导航到 VPN > Group Policy.

    Navigate to VPN, Group Policy

    第3步:点击 Add Group Policy.

    Add Group Policy

    第4步:提供组策略值。

    在本演示中:

    称:RA-VPN

    幅: !欢迎使用VPN!

    每个用户的同时登录:3(默认值)

    Provide Group Policy Values

       Provide Session Settings

    第五步:导航至 Devices > VPN > Remote Access.

    Navigate to Devices, VPN, Remote Access

    第六步:点击 Add a new configuration.

    Add New Configuration

    步骤 7.提供 Name RA VPN策略。选择 VPN Protocols 选择 Targeted Devices.点击 Next.

    在本演示中:

    称:RA-VPN

    VPN协议:SSL

    目标设备:FTD

    Provide Name for RA VPN Policy

    步骤 8对于 Authentication Method,选择 AAA Only.为选择领域/LDAP服务器 Authentication Server.点击 Configure LDAP Attribute Map (配置LDAP授权)。

    Remote Access VPN Policy Wizard

    步骤 9提供 LDAP Attribute NameCisco Attribute Name.点击 Add Value Map.

    在本演示中:

    LDAP属性名称:memberOfI

    Cisco属性名称:Group-Policy

    Authentication Server - Configure LDAP Attribute Map

    步骤 10提供 LDAP Attribute Value 和 Cisco Attribute Value.点击 OK.

    在本演示中:

    LDAP属性值:DC=tlalocan,DC=sec

    思科属性值:RA-VPN

    Provide LDAP Attribute Name and Cisco Attribute Name

    注意:您可以根据需要添加更多价值映射。

    步骤 11添加 Address Pool 本地地址分配。点击 OK.

    Provide the LDAP Attribute Value and the Cisco Attribute Value

    步骤 12提供 Connection Profile NameGroup-Policy.点击 Next.

    在本演示中:

    连接配置文件名称:RA-VPN

    身份验证方法:仅AAA

    身份验证服务器:LDAP

    IPv4地址池:VPN-Pool

    组策略:无访问权限

    注意:在前面的步骤中配置了身份验证方法、身份验证服务器和IPV4地址池。

    No-Access组策略具有 Simultaneous Login Per User 参数设置为0(如果用户收到默认的No-Access组策略,则不允许用户登录)。

    Add Address Pool for the Local Address Assignment

    步骤 13点击 Add new AnyConnect Image 为了添加 AnyConnect Client Image 到FTD。

    No-Access Group-Policy has the Simultaneous Login per User Parameter Set to Zero

    步骤 14提供 Name 上传的映像并从本地存储中浏览以上传映像。点击 Save.

    Click Add New AnyConnect Image

    步骤 15单击图像旁边的复选框以启用该图像以供使用。 点击 Next.

    Provide a Name for the Image Uploaded

    步骤 16选择 Interface group/Security ZoneDevice Certificate.点击 Next.

    在本演示中:

    接口组/安全区域:区域外

    设备证书:自签名

    注意:您可以选择启用Bypass Access Control策略选项,以绕过针对加密(VPN)流量的任何访问控制检查(默认情况下禁用)。

    Click Check Box to Enable It for Use

    步骤 17查看RA VPN配置的摘要。点击 Finish 保存,如图所示。

    View Summary of RA VPN Configuration

    步骤 18.导航至 Deploy > Deployment.选择配置需要部署到的FTD。点击 Deploy.

    成功部署后,配置将被推送到FTD CLI:

    !--- LDAP Server Configuration ---!

    ldap attribute-map LDAP
     map-name memberOf Group-Policy
     map-value memberOf DC=tlalocan,DC=sec RA-VPN

    aaa-server LDAP protocol ldap
     max-failed-attempts 4
     realm-id 2
    aaa-server LDAP host 10.106.56.137
     server-port 389
     ldap-base-dn DC=tlalocan,DC=sec
     ldap-group-base-dn DC=tlalocan,DC=sec
     ldap-scope subtree
     ldap-naming-attribute sAMAccountName
     ldap-login-password *****
     ldap-login-dn CN=Administrator,CN=Users,DC=test,DC=com
     server-type microsoft
     ldap-attribute-map LDAP

    !--- RA VPN Configuration ---!

    webvpn
     enable Outside
     anyconnect image disk0:/csm/anyconnect-win-4.10.07061-webdeploy-k9.pkg 1 regex "Mac"
     anyconnect enable
     tunnel-group-list enable
     error-recovery disable

    ssl trust-point Self-Signed

    group-policy No-Access internal
    group-policy No-Access attributes 
     vpn-simultaneous-logins 0
     vpn-idle-timeout 30

     !--- Output Omitted ---!

     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelall
     ipv6-split-tunnel-policy tunnelall
     split-tunnel-network-list none

    group-policy RA-VPN internal
    group-policy RA-VPN attributes
     banner value ! Welcome to VPN !
     vpn-simultaneous-logins 3
     vpn-idle-timeout 30

     !--- Output Omitted ---!

     vpn-tunnel-protocol ssl-client 
     split-tunnel-policy tunnelall
     ipv6-split-tunnel-policy tunnelall
     split-tunnel-network-list non

    ip local pool VPN-Pool 10.72.1.1-10.72.1.150 mask 255.255.255.0

    tunnel-group RA-VPN type remote-access
    tunnel-group RA-VPN general-attributes
    address-pool VPN-Pool
    authentication-server-group LDAP
    default-group-policy No-Access
    tunnel-group RA-VPN webvpn-attributes
    group-alias RA-VPN enable

    验证

    在AnyConnect客户端上,使用有效的VPN用户组凭据登录,然后您将获得由LDAP属性映射分配的正确的组策略:

    Cisco VPN AnyConnect Banner

    从LDAP调试片段(debug ldap 255)中,您可以看到LDAP属性映射上有匹配项:

    Authentication successful for test to 10.106.56.137

    memberOf: value = DC=tlalocan,DC=sec
            mapped to Group-Policy: value = RA-VPN
            mapped to LDAP-Class: value = RA-VPN

    在AnyConnect客户端上,使用无效的VPN用户组凭证登录,然后您将获得禁止访问组策略。

    Cisco AnyConnect Login Failure

    %FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator
    %FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator
    %FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator

    从LDAP调试片段(debug ldap 255),您可以看到LDAP属性映射上没有匹配项:

    Authentication successful for Administrator to 10.106.56.137

    memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=tlalocan,DC=sec
    memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=tlalocan,DC=sec
    memberOf: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec
            mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec
            mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=tlalocan,DC=sec

    修订历史记录

    版本 发布日期 备注
    2.0
    18-May-2023
    添加了Alt文本。 已更新简介、机器翻译、样式要求、简档和格式。
    1.0
    23-Nov-2020
    初始版本
    TAC Authored

    由思科工程师提供

    • 罗恩·比斯瓦斯
      思科TAC工程师
    • 大慈汗
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们