• Aucun résultat trouvé

Configurer le VPN RA à l'aide de l'authentification et de l'autorisation LDAP pour FTD géré par FMC

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Configurer le VPN RA à l'aide de l'authentification et de l'autorisation LDAP pour FTD géré par FMC"

Copied!
17
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Configurer le VPN RA à l'aide de

l'authentification et de l'autorisation LDAP pour FTD géré par FMC

Contenu

Introduction

Conditions préalables Conditions requises Components Used Informations générales Exigences de licence

Étapes de configuration sur FMC

Configuration du serveur REALM/LDAP Configuration VPN RA

Vérification

Introduction

Ce document décrit comment configurer un VPN d'accès à distance (RA VPN) avec

authentification et autorisation LDAP (Lightweight Directory Access Protocol) sur un pare-feu FTD (Firepower Threat Defense) géré par Firepower Management Center (FMC).

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes : Compréhension de base du fonctionnement du VPN RA.

Compréhension de la navigation à travers le FMC.

Configuration des services LDAP sur Microsoft Windows Server.

Components Used

Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes : Cisco Firepower Management Center (FMC) version 6.7.0

Cisco Firepower Threat Defense (FTD) version 6.7.0

Windows Server 2012, configuré en tant que serveur LDAP

Remarque : les informations de ce document ont été créées à partir de périphériques dans un environnement de travaux pratiques spécifique. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est actif, assurez-vous de bien

(2)

comprendre l'impact potentiel de toute modification de configuration.

Informations générales

LDAP est un protocole d'application ouvert, indépendant du fournisseur et standard pour accéder aux services d'informations d'annuaire distribués et les gérer.

Un mappage d'attribut LDAP associe les attributs qui existent dans Active Directory (AD) ou le serveur LDAP aux noms d'attributs Cisco. Ensuite, lorsque le serveur AD ou LDAP retourne des réponses d'authentification au périphérique FTD lors d'un établissement de connexion VPN d'accès distant, le périphérique FTD peut utiliser ces informations pour ajuster la manière dont le client AnyConnect termine la connexion.

Le VPN RA avec authentification LDAP a été pris en charge sur FMC depuis la version 6.2.1 et l'autorisation LDAP avant la version 6.7.0 de FMC a été conseillée via FlexConfig afin de

configurer la carte d'attribut LDAP et de l'associer au serveur de domaine. Cette fonctionnalité, avec la version 6.7.0, a maintenant été intégrée à l'assistant de configuration VPN RA sur le FMC et ne nécessite plus l'utilisation de FlexConfig.

Remarque : cette fonctionnalité nécessite que le FMC soit sur la version 6.7.0 alors que le FTD géré peut être sur toute version supérieure à 6.3.0.

Exigences de licence

Nécessite une licence AnyConnect Apex, AnyConnect Plus ou AnyConnect VPN Only avec fonctionnalité contrôlée par l'exportation activée.

Afin de vérifier les licences, accédez à System > Licences > Licences Smart.

(3)

Étapes de configuration sur FMC

Configuration du serveur REALM/LDAP

Remarque : Les étapes mentionnées ne sont requises que si vous configurez un nouveau serveur REALM / LDAP. Si vous disposez d'un serveur préexistant qui pourrait être utilisé pour l'authentification dans le VPN RA, accédez à Configuration VPN RA.

Étape 1. Accédez à System>Integration, comme illustré dans cette image.

Étape 2. Comme le montre l'image, cliquez sur Ajouter un nouveau domaine.

Étape 3. Fournissez les détails du serveur AD. Click OK.

Aux fins de cette démonstration : Name : LDAP

Type : AD

Domaine principal AD : rohan.com

Nom d'utilisateur du répertoire : CN=Administrateur, CN=Utilisateurs, DC=Rohan, DC=com Mot de passe du répertoire : <Masqué>

DN de base : DC=rohan, DC=com

Nom unique du groupe : DC=rohan, DC=com

(4)

Étape 4. Cliquez sur Add Directory, comme illustré dans l'image, pour ajouter le nouveau serveur.

Étape 5. Indiquez le nom d'hôte / adresse IP et port du serveur.

Aux fins de cette démonstration :

Nom d'hôte / Adresse IP : Commutateurs 10.106.56.136 Port : 389 (port LDAP par défaut)

Chiffrement : Aucune    

(5)

Étape 6. Cliquez sur Enregistrer pour enregistrer les modifications du domaine/répertoire, comme illustré dans cette image.

Étape 7. Activez le bouton State pour modifier l'état du serveur en Activé, comme illustré dans cette image.

Configuration VPN RA

Les étapes suivantes sont nécessaires pour configurer la stratégie de groupe qui sera attribuée aux utilisateurs VPN autorisés. Si la stratégie de groupe est déjà définie, passez à l'étape 5.

Étape 1. Accédez à Objets > Gestion des objets.

(6)

Étape 2 : Dans le volet gauche, accédez à VPN > Stratégie de groupe.

Étape 3 : Cliquez sur Ajouter une stratégie de groupe.

Étape 4 : Indiquez les paramètres de stratégie de groupe.

Aux fins de cette démonstration : Name : RA-VPN

Bannière : ! Bienvenue dans VPN !

Connexion simultanée par utilisateur : 3 (Default)

(7)

  

Étape 5. Accédez à Périphériques > VPN > Accès à distance.

Étape 6. Cliquez sur Ajouter une nouvelle configuration.

(8)

Étape 7. Indiquez un nom pour la stratégie VPN d'accès distant. Choisissez les protocoles VPN et choisissez les périphériques ciblés. Cliquez sur Next (Suivant).

Aux fins de cette démonstration : Name : RA-VPN

Protocoles VPN : SSL Périphériques ciblés : FTD

Étape 8. Sélectionnez la méthode d'authentification en tant qu'AAA uniquement. Choisissez le serveur REALM / LDAP sous le serveur d'authentification. Cliquez sur Configurer la carte d'attribut LDAP (pour configurer l'autorisation LDAP).

Étape 9. Indiquez le nom de l'attribut LDAP et le nom de l'attribut Cisco. Cliquez sur Ajouter une carte de valeur.

Aux fins de cette démonstration : Nom d'attribut LDAP : membreDe

Nom de l'attribut Cisco : Stratégie de groupe

(9)

Étape 10. Fournissez la valeur d'attribut LDAP et la valeur d'attribut Cisco. Cliquez sur OK.

Aux fins de cette démonstration :

Valeur de l'attribut LDAP : CN=VPN, DC=rohan, DC=com Valeur de l'attribut Cisco : RA-VPN

(10)

Remarque : Vous pouvez ajouter d'autres cartes de valeurs en fonction des besoins.

Étape 11. Ajoutez le pool d'adresses pour l'affectation d'adresse locale. Click OK.

(11)

Étape 12. Fournissez le nom du profil de connexion et la stratégie de groupe. Cliquez sur Next (Suivant).

Aux fins de cette démonstration : Nom du profil de connexion : RA-VPN

Méthode d'authentification : AAA uniquement Serveur d'authentification : LDAP

Pool d'adresses IPv4 : Pool VPN Stratégie de groupe : Sans accès

Remarque : La méthode d'authentification, le serveur d'authentification et le pool d'adresses IPV4 ont été configurés au cours des étapes précédentes.

(12)

La stratégie de groupe No-Access a le paramètre Connexion simultanée par utilisateur défini sur 0 (pour ne pas autoriser les utilisateurs à se connecter s'ils reçoivent la stratégie de groupe No- Access par défaut).

Étape 13. Cliquez sur Ajouter une nouvelle image AnyConnect afin d'ajouter une image cliente AnyConnect au FTD.

Étape 14. Indiquez un nom pour l'image téléchargée et parcourez le stockage local pour télécharger l'image. Click Save.

(13)

Étape 15. Cochez la case en regard de l'image afin de l'activer pour utilisation. Cliquez sur Next (Suivant).

Étape 16. Choisissez le groupe d'interfaces/zone de sécurité et le certificat de périphérique.

Cliquez sur Next (Suivant).

Aux fins de cette démonstration :

Groupe d'interfaces/Zone de sécurité : Zone externe Certificat de périphérique : Auto-signé

Remarque : Vous pouvez choisir d'activer l'option de stratégie de contrôle d'accès de contournement afin de contourner toute vérification de contrôle d'accès pour le trafic crypté (VPN). (Désactivé par défaut).

(14)

Étape 17. Affichez le résumé de la configuration du VPN RA. Cliquez sur Terminer pour enregistrer, comme illustré dans l'image.

Étape 18. Accédez à Déployer > Déploiement. Choisissez le FTD auquel la configuration doit être déployée et cliquez sur Déployer.

Configuration poussée vers l'interface CLI FTD après un déploiement réussi :

!--- LDAP Server Configuration ---!

ldap attribute-map LDAP

map-name memberOf Group-Policy

map-value memberOf CN=VPN,DC=rohan,DC=com RA-VPN aaa-server LDAP protocol ldap

max-failed-attempts 4 realm-id 2

aaa-server LDAP host 10.106.56.137

(15)

server-port 389

ldap-base-dn DC=rohan,DC=com ldap-group-base-dn DC=rohan,DC=com ldap-scope subtree

ldap-naming-attribute sAMAccountName ldap-login-password *****

ldap-login-dn CN=Administrator,CN=Users,DC=rohan,DC=com server-type microsoft

ldap-attribute-map LDAP

!--- RA VPN Configuration ---!

webvpn

enable Outside

anyconnect image disk0:/csm/anyconnect-win-4.7.02036-webdeploy-k9.pkg 1 regex "Windows"

anyconnect enable

tunnel-group-list enable error-recovery disable ssl trust-point Self-Signed group-policy No-Access internal group-policy No-Access attributes vpn-simultaneous-logins 0

vpn-idle-timeout 30 !--- Output Omitted ---!

vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelall ipv6-split-tunnel-policy tunnelall split-tunnel-network-list none group-policy RA-VPN internal group-policy RA-VPN attributes banner value ! Welcome to VPN ! vpn-simultaneous-logins 3 vpn-idle-timeout 30

!--- Output Omitted ---!

vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelall ipv6-split-tunnel-policy tunnelall split-tunnel-network-list non

ip local pool VPN-Pool 192.168.90.1-192.168.90.100 mask 255.255.255.0 tunnel-group RA-VPN type remote-access

tunnel-group RA-VPN general-attributes address-pool VPN-Pool

authentication-server-group LDAP default-group-policy No-Access

tunnel-group RA-VPN webvpn-attributes group-alias RA-VPN enable

Vérification

Sur le client AnyConnect, connectez-vous à l'aide des informations d'identification valides du groupe d'utilisateurs VPN et vous obtenez la stratégie de groupe correcte affectée par le mappage d'attribut LDAP :

(16)

Àpartir de l'extrait de débogage LDAP (debug ldap 255), vous pouvez voir qu'il y a une correspondance sur le mappage d'attributs LDAP :

Authentication successful for rohan to 10.106.56.137 memberOf: value = CN=VPN,DC=rohan,DC=com

mapped to Group-Policy: value = RA-VPN mapped to LDAP-Class: value = RA-VPN

Sur le client AnyConnect, connectez-vous à l'aide des informations d'identification du groupe d'utilisateurs VPN non valides et vous obtenez la stratégie de groupe No-Access.

%FTD-6-113004: AAA user authentication Successful : server = 10.106.56.137 : user = Administrator

(17)

%FTD-6-113009: AAA retrieved default group policy (No-Access) for user = Administrator

%FTD-6-113013: AAA unable to complete the request Error : reason = Simultaneous logins exceeded for user : user = Administrator

Àpartir de l'extrait de débogage LDAP (debug ldap 255), vous pouvez voir qu'il n'y a aucune correspondance sur le mappage d'attributs LDAP :

Authentication successful for Administrator to 10.106.56.137

memberOf: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com

mapped to Group-Policy: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com mapped to LDAP-Class: value = CN=Group Policy Creator Owners,CN=Users,DC=rohan,DC=com memberOf: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com

mapped to Group-Policy: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com mapped to LDAP-Class: value = CN=Domain Admins,CN=Users,DC=rohan,DC=com memberOf: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com

mapped to Group-Policy: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com mapped to LDAP-Class: value = CN=Enterprise Admins,CN=Users,DC=rohan,DC=com memberOf: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com

mapped to Group-Policy: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com mapped to LDAP-Class: value = CN=Schema Admins,CN=Users,DC=rohan,DC=com memberOf: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com

mapped to Group-Policy: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com mapped to LDAP-Class: value = CN=IIS_IUSRS,CN=Builtin,DC=rohan,DC=com memberOf: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com

mapped to Group-Policy: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com mapped to LDAP-Class: value = CN=Administrators,CN=Builtin,DC=rohan,DC=com

Références

Télécharger maintenant ( PDF - 17 Page - 1.04 MB )

Documents relatifs

σ(Cn) sont ind´ependantes

Dans l’´enonc´e qui suit, on a choisi pour fixer les id´ees de s’int´eresser au cas de trois paquets de variables. Il va de soi que le r´esultat reste vrai pour quatre, cinq,.

Configurer SSL AnyConnect avec authentification locale sur FTD géré par FMC

afin de choisir le package AnyConnect et enfin choisir AnyConnect Client Image comme type de fichier dans le menu déroulant.. Sélectionnez Enregistrer, l'objet doit être ajouté à

CN LY

Les corrélations entre les épaisseurs et le poids total de peau ne sont pas significatives, à l’exception de l’épaisseur mesurée au niveau de l’aile.. Parmi

CN (CN

the cells from intact animals were treated in vitro with CN·Ly, indicated that the action of substances was augmented by some.

If RT CN rliNtl N

Petit à petit, tout le monde s'est mis au travail : chiffonner du papier journal (petits doigts sales), bourrer des collants pour faire naître des formes.. Toutes

Configurer l'authentification AD (LDAP) et l'identité de l'utilisateur sur FTD géré par FDM pour les clients AnyConnect

Cliquez avec le bouton droit sur le DN de base, puis cliquez sur Rechercher comme indiqué dans l'image... Spécifiez les mêmes valeurs de base DB, de filtre et d'étendue que

cn ~ as bn-s 8--0

RENl~ LAGRANGE LILLE. L'6tude des suites des polynbmes de Bernoulli et d'Euler suggbre deux remaxques simples, dont l'dnoncd est susceptible de faire comprendre

PERCEUSE UNIVERSELLE SCM MODÈLE STARTECH CN À CN DÉDIÉE AUX OPÉRATIONS DE PERÇAGE ET DE RAINURAGE

• éditeur guidé avec aides graphiques et syntaxiques pour des perçage et coupe de lame. • possibilité d'effectuer le changement de l'origine