在CSM上使用LDAP身份验证配置AnyConnect

简介

本文档介绍如何在CSM上使用LDAP身份验证配置AnyConnect。

先决条件

要求

Cisco 建议您了解以下主题：

• CSM 4.23
• AnyConnect配置
• SSL协议

使用的组件

本文档中的信息基于以下软件和硬件版本：

• CSM 4.23
• ASA 5515
• AnyConnect 4.10.6090

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

网络图

配置

步骤1:配置SSLVPN访问

转至Policies > SSL VPN > Access:

配置接入接口后，请确保单击Save:

第二步：配置身份验证服务器

转至Policy Object Manager > All Object Types > AAA Servers > Add。

配置服务器的IP、源接口、登录目录、登录密码、LDAP层次结构位置、LDAP范围和LDAP可分辨名称：

现在将AAA服务器添加到AAA Server Groups > Add。

第三步：配置连接配置文件

转至Policies > Connection Profiles > Add。 

此处，您必须配置IPv4全局地址池（AnyConnect池）、组策略、AAA和组别名/URL:

要选择AAA服务器，请点击AAA选项卡，然后选择在第2步中创建的服务器：

要在连接配置文件中配置组别名/组url、dns或wins服务器，请转到SSL选项卡：

第四步：部署

点击部署图标。

验证

本部分提供可用于验证配置的信息。

通过CSM访问：

打开Health and Performance Monitor > Tools > Device Selector > Select the ASA > Next > Select Remote Access Users

通过CLI:

ASA#show vpn-sessiondb anyconnect

Session Type: AnyConnect

Username : cisco                        Index : 23719
Assigned IP : 192.168.20.1              Public IP : 209.165.201.25
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 15856                        Bytes Rx : 3545
Group Policy : Basic_Policy             Tunnel Group : CSM_LDAP_SVC
Login Time : 10:29:42 UTC Tue Jul 25 2023
Duration : 0h:010m:16s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A                      VLAN : none
Audt Sess ID : 0e26864905ca700064bf3396
Security Grp : none

故障排除

为了检查LDAP身份验证或anyconnect建立期间可能出现的故障，您可以在CLI上执行以下命令：

debug ldap 255
debug webvpn anyconnect 255