ASA 8.0: Configuración de Autenticación LDAP para Usuarios de WebVPN

Transcripción

1 ASA 8.0: Configuración de Autenticación LDAP para Usuarios de WebVPN Contenido Introducción Prerrequisitos Antecedentes Configuración de Autenticación LDAP ASDM Interfaz de Línea de Comandos Realización de Búsquedas de Dominios Múltiples (Opcional) Verificación Prueba con ASDM Prueba con CLI Troubleshooting Introducción En este documento, se demuestra cómo configurar un Cisco Adaptive Security Appliance (ASA) para utilizar un servidor LDAP para la autenticación de usuarios de WebVPN. En este ejemplo, el servidor LDAP es Microsoft Active Directory (Directorio Activo). Esta configuración se realiza con el Adaptive Security Device Manager (ASDM) 6.0(2) en un ASA que ejecuta el software versión 8.0(2). Nota: En este ejemplo, la autenticación con Lightweight Directory Access Protocol (LDAP) está configurada para usuarios de WebVPN, pero también puede utilizarse esta configuración para todos los otros tipos de clientes de acceso remoto. Simplemente asigne el AAA server group al perfil de la conexión deseada (tunnel group) como se muestra. Prerrequisitos Se requiere una configuración básica de VPN. En este ejemplo, se utiliza WebVPN. Antecedentes En este ejemplo, el ASA comprueba con un servidor LDAP para verificar la identidad de los usuarios que autentica. Este proceso no funciona como un intercambio tradicional del Servicio de Usuario de Acceso Telefónico de Autenticación Remota (RADIUS) o del Sistema de Control de Acceso del Controlador de Acceso a Terminales Más (TACACS+). En los siguientes pasos se explica, en forma general, cómo el ASA utiliza un servidor LDAP para comprobar las credenciales de usuario El usuario inicia una conexión con el ASA. El ASA está configurado para autenticar ese usuario con el servidor LDAP/Microsoft Active Directory (AD). El ASA se enlaza con el servidor LDAP con las credenciales configuradas en el ASA (en este caso, admin) y busca el nombre de usuario proporcionado. El usuario admin también obtiene las credenciales correspondientes para enumerar los contenidos dentro de Active Directory. Consulte para obtener más información sobre cómo otorgar privilegios de consultas de LDAP. Nota: El sitio Web de Microsoft contenido de dicho sitio web. es administrado por terceros. Cisco no es responsable del Si se encuentra el nombre de usuario, el ASA intenta enlazarse al servidor LDAP con las credenciales que el usuario proporcionó al iniciar sesión. Si el segundo enlace es exitoso, se realiza la autenticación y luego el ASA procesa los atributos del usuario. Nota: En este ejemplo, los atributos no se utilizan con ningún fin. Consulte ASA/PIX: Ejemplo de Configuración de Mapeo de Clientes de VPN a Policy-Group de VPN a través de LDAP para obtener un ejemplo de cómo el ASA puede procesar los atributos LDAP.

2 Configuración de Autenticación LDAP En esta sección, encontrará información para configurar el ASA de modo tal de utilizar un servidor LDAP para la autenticación de los clientes de WebVPN. ASDM Complete los siguientes pasos en el ASDM para configurar el ASA de modo tal que se comunique con el servidor LDAP y autentique los clientes de WebVPN Vaya a Configuration > Remote Access VPN > AAA Setup > AAA Server Groups. Haga clic en Add, junto a AAA Server Groups. Especifique un nombre para el nuevo AAA server group y elija LDAP como protocolo Asegúrese de que el nuevo grupo esté seleccionado en el panel superior y haga clic en Add, junto al panel Servers in the Selected Group. Proporcione la información de configuración del servidor LDAP. En la siguiente captura de pantalla, se muestra un ejemplo de configuración. A continuación, se explican muchas de las opciones de configuración: Interface Name: La interfaz que el ASA utiliza para alcanzar el servidor LDAP. Server Name or IP address: La dirección que el ASA utiliza para alcanzar el servidor LDAP. Server Type: El tipo de servidor LDAP, por ejemplo, Microsoft. Base DN: La ubicación en la jerarquía de LDAP donde el servidor debe comenzar la búsqueda. Scope: El alcance de la búsqueda que el servidor debe realizar en la jerarquía de LDAP. Naming Attribute: El atributo (o los atributos) de Nombre Distintivo Relativo que identifica/n exclusivamente una entrada del servidor LDAP. El atributo predeterminado en Microsoft Active Directory es samaccountname. Otros atributos comúnmente utilizados son CN, UID y userprincipalname. Login DN: El DN con privilegios suficientes para poder realizar search/read/lookup con los usuarios en el servidor LDAP. Login Password: La contraseña de la cuenta DN. LDAP Attribute Map: Un mapa de atributos LDAP para utilizar con las respuestas de este servidor. Consulte ASA/PIX: Ejemplo de Configuración de Mapeo de Clientes de VPN a Policy-Group de VPN a través de LDAP para obtener más información sobre cómo configurar los mapas de atributos LDAP.

3 Una vez que configuró el AAA server group y le agregó un servidor, debe configurar el perfil de la conexión (tunnel group) para utilizar la nueva configuración AAA. Vaya a Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles. Elija el perfil de la conexión (tunnel group) para el que se desea configurar AAA y luego haga clic en Edit. En Authentication, elija el server group LDAP que creó anteriormente. Interfaz de Línea de Comandos Complete los siguientes pasos en la Interfaz de Línea de Comandos (CLI) para configurar el ASA de modo tal que se comunique con el servidor LDAP y autentique los clientes de WebVPN. ciscoasa#configure terminal!--- Configuración de AAA server group.

4 ciscoasa(config)#aaa-server LDAP_SRV_GRP protocol ldap!--- Configuración del servidor AAA. ciscoasa(config-aaa-server-group)#aaa-server LDAP_SRV_GRP (inside) host ciscoasa(config-aaa-server-host)#ldap-base-dn dc=ftwsecurity, dc=cisco, dc=com ciscoasa(config-aaa-server-host)#ldap-login-dn cn=admin, cn=users, dc=ftwsecurity, dc=cisco, dc=com ciscoasa(config-aaa-server-host)#ldap-login-password ********** ciscoasa(config-aaa-server-host)#ldap-naming-attribute samaccountname ciscoasa(config-aaa-server-host)#ldap-scope subtree ciscoasa(config-aaa-server-host)#server-type microsoft ciscoasa(config-aaa-server-host)#exit!--- Configuración de tunnel group para utilizar la nueva configuración de AAA. ciscoasa(config)#tunnel-group ExampleGroup2 general-att ciscoasa(config-tunnel-general)#authentication-server-group LDAP_SRV_GRP Realización de Búsquedas de Dominios Múltiples (Opcional) Opcional. Actualmente, el ASA no soporta el mecanismo de referencia de LDAP para las búsquedas de dominios múltiples (Id. de falla CSCsj32153 de Cisco). El servidor AD soporta las búsquedas de dominios múltiples en el modo Global Catalog Server. Para realizar búsquedas de dominios múltiples, configure el servidor AD en el modo Global Catalog Server, generalmente con los siguientes parámetros de clave para la entrada del servidor LDAP en el ASA. La clave es utilizar un ldap-name-attribute que debe ser único en todo el árbol de directorio. server-port 3268 ldap-scope subtree ldap-naming-attribute userprincipalname Verificación Utilice esta sección para confirmar que la configuración funcione correctamente. Prueba con ASDM Verifique su configuración LDAP con el botón Test de la pantalla de configuración AAA Server Groups. Una vez que proporcionó un nombre de usuario y una contraseña, este botón permite enviar una petición de autenticación de prueba al servidor LDAP Vaya a Configuration > Remote Access VPN > AAA Setup > AAA Server Groups. Seleccione el AAA server group deseado en el panel superior. En el panel inferior, seleccione el servidor AAA que desea probar. Haga clic en el botón Test, que está ubicado a la derecha del panel inferior. 5. En la ventana que aparece, haga clic en el botón Authentication y suministre las credenciales con las que desea realizar la prueba. Al finalizar, haga clic en OK.

5 6. Después de que el ASA se comunica con el servidor LDAP, aparece un mensaje de éxito o de falla. Prueba con CLI Para probar su configuración AAA, puede utilizar el comando test en la línea de comandos. Se envía una petición de prueba al servidor AAA y la salida aparece en la línea de comandos. ciscoasa#test aaa-server authentication LDAP_SRV_GRP host username kate password cisco123 INFO: Attempting Authentication test to IP address < > (timeout: 12 seconds) INFO: Authentication Successful Troubleshooting Si no está seguro de qué cadena DN actual debe utilizar, puede ejecutar el comando dsquery en un servidor Windows Active Directory desde un símbolo del sistema para verificar la cadena DN correspondiente de un objeto de usuario. C:\Documents and Settings\Administrator>dsquery user -samid kate!--- Consulta a Active Directory por el ID samid "kate" "CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com" En esta situación, el comando debug ldap 255 puede ayudar a resolver problemas de autenticación. Este comando activa la debugging LDAP y permite observar el proceso que el ASA utiliza para conectarse con el servidor LDAP. Estas salidas muestran que el ASA se conecta al servidor LDAP según se describe en la sección Antecedentes de este documento. La siguiente debug muestra una autenticación correcta:

6 ciscoasa#debug ldap 255 [7] Session Start [7] New request Session, context 0xd4b11730, reqtype = 1 [7] Fiber started [7] Creating LDAP context with uri=ldap:// :389 [7] Connect to LDAP server: ldap:// :389, status = Successful [7] defaultnamingcontext: value = DC=ftwsecurity,DC=cisco,DC=com [7] supportedldapversion: value = 3 [7] supportedldapversion: value = 2 [7] supportedsaslmechanisms: value = GSSAPI [7] supportedsaslmechanisms: value = GSS-SPNEGO [7] supportedsaslmechanisms: value = EXTERNAL [7] supportedsaslmechanisms: value = DIGEST-MD5!--- El ASA se conecta al servidor LDAP como administrador para buscar a kate. [7] Binding as administrator [7] Performing Simple authentication for admin to [7] LDAP Search: Base DN = [dc=ftwsecurity, dc=cisco, dc=com] Filter = [samaccountname=kate] Scope = [SUBTREE] [7] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com] [7] Talking to Active Directory server [7] Reading password policy for kate, dn:cn=kate Austen,CN=Users, DC=ftwsecurity,DC=cisco,DC=com [7] Read bad password count 1!--- El ASA se vincula al servidor LDAP como kate para probar la contraseña. [7] Binding as user [7] Performing Simple authentication for kate to [7] Checking password policy for user kate [7] Binding as administrator [7] Performing Simple authentication for admin to [7] Authentication successful for kate to [7] Retrieving user attributes from server [7] Retrieved Attributes: [7] objectclass: value = top [7] objectclass: value = person [7] objectclass: value = organizationalperson [7] objectclass: value = user [7] cn: value = Kate Austen [7] sn: value = Austen [7] givenname: value = Kate [7] distinguishedname: value = CN=Kate Austen,CN=Users,DC=ftwsecurity, DC=cisco,DC=com [7] instancetype: value = 4 [7] whencreated: value = Z [7] whenchanged: value = Z [7] displayname: value = Kate Austen [7] usncreated: value = [7] memberof: value = CN=Castaways,CN=Users,DC=ftwsecurity,DC=cisco,DC=com [7] memberof: value = CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com [7] usnchanged: value = [7] name: value = Kate Austen [7] objectguid: value =..z...yc.q0... [7] useraccountcontrol: value = [7] badpwdcount: value = 1 [7] codepage: value = 0 [7] countrycode: value = 0 [7] badpasswordtime: value = [7] lastlogoff: value = 0 [7] lastlogon: value = [7] pwdlastset: value = [7] primarygroupid: value = 513 [7] objectsid: value =...Q..p..*.p?E.Z... [7] accountexpires: value = [7] logoncount: value = 0 [7] samaccountname: value = kate [7] samaccounttype: value = [7] userprincipalname: value = kate@ftwsecurity.cisco.com [7] objectcategory: value = CN=Person,CN=Schema,CN=Configuration, DC=ftwsecurity,DC=cisco,DC=com [7] dscorepropagationdata: value = Z [7] dscorepropagationdata: value = Z [7] dscorepropagationdata: value = Z [7] dscorepropagationdata: value = Z [7] Fiber exit Tx=685 bytes Rx=2690 bytes, status=1 [7] Session End

7 La siguiente debug muestra una autenticación que falló debido a una contraseña incorrecta: ciscoasa#debug ldap 255 [8] Session Start [8] New request Session, context 0xd4b11730, reqtype = 1 [8] Fiber started [8] Creating LDAP context with uri=ldap:// :389 [8] Connect to LDAP server: ldap:// :389, status = Successful [8] defaultnamingcontext: value = DC=ftwsecurity,DC=cisco,DC=com [8] supportedldapversion: value = 3 [8] supportedldapversion: value = 2 [8] supportedsaslmechanisms: value = GSSAPI [8] supportedsaslmechanisms: value = GSS-SPNEGO [8] supportedsaslmechanisms: value = EXTERNAL [8] supportedsaslmechanisms: value = DIGEST-MD5!--- El ASA se conecta al servidor LDAP como administrador para buscar a kate. [8] Binding as administrator [8] Performing Simple authentication for admin to [8] LDAP Search: Base DN = [dc=ftwsecurity, dc=cisco, dc=com] Filter = [samaccountname=kate] Scope = [SUBTREE] [8] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com] [8] Talking to Active Directory server [8] Reading password policy for kate, dn:cn=kate Austen,CN=Users, DC=ftwsecurity,DC=cisco,DC=com [8] Read bad password count 1!--- El ASA intenta vincularse como kate, pero la contraseña es incorrecta. [8] Binding as user [8] Performing Simple authentication for kate to [8] Simple authentication for kate returned code (49) Invalid credentials [8] Binding as administrator [8] Performing Simple authentication for admin to [8] Reading bad password count for kate, dn: CN=Kate Austen,CN=Users, DC=ftwsecurity,DC=cisco,DC=com [8] Received badpwdcount=1 for user kate [8] badpwdcount=1 before, badpwdcount=1 after for kate [8] now: Tue, 28 Aug :33:05 GMT, lastset: Wed, 15 Aug :52:24 GMT, delta= , maxage= secs [8] Invalid password for kate [8] Fiber exit Tx=788 bytes Rx=2904 bytes, status=-1 [8] Session End La siguiente debug muestra una autenticación que falló porque no se puede encontrar el usuario en el servidor LDAP: ciscoasa#debug ldap 255 [9] Session Start [9] New request Session, context 0xd4b11730, reqtype = 1 [9] Fiber started [9] Creating LDAP context with uri=ldap:// :389 [9] Connect to LDAP server: ldap:// :389, status = Successful [9] defaultnamingcontext: value = DC=ftwsecurity,DC=cisco,DC=com [9] supportedldapversion: value = 3 [9] supportedldapversion: value = 2 [9] supportedsaslmechanisms: value = GSSAPI [9] supportedsaslmechanisms: value = GSS-SPNEGO [9] supportedsaslmechanisms: value = EXTERNAL [9] supportedsaslmechanisms: value = DIGEST-MD5!--- No se encuentra el usuario mikhail. [9] Binding as administrator [9] Performing Simple authentication for admin to [9] LDAP Search: Base DN = [dc=ftwsecurity, dc=cisco, dc=com] Filter = [samaccountname=mikhail] Scope = [SUBTREE] [9] Requested attributes not found [9] Fiber exit Tx=256 bytes Rx=607 bytes, status=-1 [9] Session End

8 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 25 Agosto