Sécurité - ASA - Configuration d'un serveur AAA LDAP

Slides:



Advertisements
Présentations similaires
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Advertisements

Effacer la Configuration LWAPP sur un LAP
Commandes pour Mots de passe
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Terminaux virtuels (VTY)
bgp always-compare-med
Client VPN SSL avec ASDM
Catalyst 500E - Réinitialisation avec les Paramètres usine
Client léger VPN SSL avec ASDM
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - VPN - Configurer le client VPN SSL
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Examen Final Sécurité - TRCT Cfi_CCH.
Commande ip nat service
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
AAA - Présentation ccnp_cch ccnp_cch.
Sécurité - Cisco ASA Supervision du contenu
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration de base de AAA sur un Server d'accès
PIX/ASA - Configuration Serveur et Client DHCP
TP - Vues CLI basées sur le rôle
(Switch Database Management)
Transfert de fichiers utilisant HTTP ou HTTPS
show ip nat translations
- Enrôlement pour des Certificats numériques
Sécurité 11/2010 (Packet Tracer) - Cfi_CCH.
TP Hot Standby Router Protocol (HSRP)
NAT - Supervision et Maintenance
Préparation de mise à jour
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Intégration de NAT avec les VPNs MPLS
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR2 Cfi_CCH.
Sécurité - Configuration de
- Comment changer le Logo WebVPN
Sécurité - Configuration de -
Pile IGMPv3 de Host.
Changer les critères de nommage
Comment fonctionne RADIUS?
SONET - Bref aperçu de Packet Over SONET APS
Sécurité - ASA - Configuration de Single Sign-On pour WebVPN
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
Configurer l'Autorisation
QoS - Configuration Fragmentation
PROGRAMMATION INFORMATIQUE D’INGÉNIERIE II
Exemples de paramétrages Interfaces IP
Windows Server 2012 Objectifs
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Configuration NAT Statique
Configuration NAT Dynamique
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Implémentation de FTP Rappel sur FTP Relation entre un site Web et FTP
DONNÉE DE BASE QM Manuel de formation. Agenda 2  Introduction  Objectif de la formation  Données de base QM: Caractéristique de contrôle Catalogue.
Tapez les détails de votre événement ici
Transcription de la présentation:

Sécurité - ASA - Configuration d'un serveur AAA LDAP ccnp_cch

Sommaire ● Introduction ● Présentation générale des transactions LDAP ● Création d'une Map d'attribut LDAP ● Configuration des serveurs et groupes de serveurs AAA ● Configuration de la politique de groupe pour l'autorisation LDAP ● Configuration d'un groupe tunnel pour l'authentification LDAP ccnp_cch

Introduction Ce document présente un exemple de procédure de configuration pour la configuration de l'autorisation et de l'authentification de l'utilisateur appliance de sécurité en utili- sant Microsoft Active Directory Server (LDAP) qui est situé sur le même réseau interne que l'appliance de sécurité. Ce document comprend les sections suivantes:  Présentation générale des transactions LDAP  Configuration des serveurs et groupes de serveurs AAA  Configuration de la politique de groupe pour l'autorisation LDAP  Configuration d'un groupe tunnel pour l'authentification LDAP Présentation générale des transactions LDAP La figure suivante montre les transactions principales en utilisant un serveur d'annu- aire LDAP de l'autorisation et de l'authentification dans l'appliance de sécurité. PC Utilisateur Appliance de Sécurité Serveur d'annuaire LDAP Login Request User ___________ Password_______ Group__________ LDAP Authentication Request PC Utilisateur Recherche utilisateur et identification Attributs utilisateur ___________________ ___________________ OK + attributs utilisateur Détermination appartenance au groupe LDAP Authorization Request Recherche du groupe Attributs de groupe _____________ _____________ OK + attributs de groupe L'application (ex:WebVPN) reçoit les valeurs utilisateur et de groupe Login réussi ccnp_cch

Création d'une Map d'attribut LDAP Pour configurer l'appliance de sécurité pour l'authentification et l'autorisation LDAP, vous devez créer une map d'attribut LDAP qui fait correspondre les noms d'attributs utilisateur aux noms d'attributs Cisco LDAP. Ceci vous évite de renommer vos attri- buts existants en utilisant les noms Cisco que l'appliance de sécurité comprend. Note: pour utiliser correctement la fonctionnalité de correspondance d'attribut, vous devez comprendre les noms et les valeurs d'attributs LDAP Cisco mais également les noms et les valeurs d'attributs utilisateur. Voir le document "Cisco Security Appliance Command Line Configuration Guide appendice "Configuring an external server for Au- thorization and Authentication" pour la liste des attributs LDAP Cisco. Pour créer une nouvelle map d'attribut LDAP, exécutez les étapes suivantes: Etape 1: Dans le fenêtre de l'ASDM cisco, choisissez Configuration> Properties> AAA Setup> LDAP Attribute Map. La zone LDAP Attribute MAP apparaît dans la partie droite de la fenêtre comme le montre la figure suivante. Etape 2: Dans la zone LDAP Attribute Map cliquez sur Add. La boîte de dialogue Add LDAP Attribute Map apparaît comme le montre la figure suivante. ccnp_cch

Etape 3: Dans le champ Name au-dessus des onglets, entrez un nom pour la map d'attribut LDAP. Etape 4: Si l'onglet Map Name n'est pas sélectionné, sélectionnez-le. Etape 5: Dans Custom Name (nom d'attribut utilisateur) de l'onglet Map Name, entrez le nom d'un attribut que vous voulez faire correspondre avec un nom d'attri- but Cisco. Dans cet exemple le nom personnalisé est department. Etape 6: Choisissez un nom Cisco depuis le Menu Cisco Name. Le nom personnalisé va correspondre au nom Cisco. Dans cet exemple, le nom Cisco est cVPN3000-IETF-Radius-Class. Comme le montre la première figure, l'appliance de sécurité reçoit les attributs utilisa- teur du serveur d'authentification après validation des identités de l'utilisa- teur. Si une classe d'attributs est présente parmi les attributs de l'utilisateur, l'appliance de sécurité l'interprète comme une politique de groupe pour cet utilisateur et il transmet une requête au serveur du groupe AAA configuré pour cette politique de groupe afin d'obtenir les attributs de groupe. Etape 7: Cliquez sur Add pour inclure la correspondance de nom dans la map d'attri- but. Etape 8: Cliquez sur l'onglet MAP Value et ensuite cliquez sur Add dans l'onglet Map Value. La boîte de dialogue Add LDAP Attribute Map Value apparaît comme le mon- tre la figure suivante. ccnp_cch

Etape 9: A partir du menu Custom Name, choisissez l'attribut personnalisé pour lequel vous voulez mapper la valeur. Etape 10: Entrez la valeur personnalisée (définie par utilisateur) dans le champ Custom Value. Etape 11: Entrez la valeur Cisco dans le champ Cisco Value. Etape 12: Cliquez sur Add pour inclure la valeur correspondante dans la map d'attri- but. Etape 13: Répétez les étapes 4 à 12 pour chaque nom et valeur d'attribut devant être mappé. Etape 14: Après avoir terminé le mapping de tous les noms et valeurs, cliquez sur OK en bas de la fenêtre Add LDAP Attribute Map. Etape 15: Cliquez sur Apply pour terminer la nouvelle map d'attribut LDAP et l'ajou- ter à la configuration courante de l'appliance de sécurité. Configuration des serveurs et des groupes de serveurs AAA Vous allez configurer les groupes de serveurs AAA et les serveurs AAA qui vont dedans. Vous devez configurez deux groupes de serveurs AAA. Vous configurez un groupe ser- veur comme groupe serveur d'authentification contenant un serveur d'authentification qui demande une recherche LDAP des enregistrements utilisateur. Vous configurez l'autre groupe serveur comme groupe serveur d'autorisation contenant un serveur d'autorisation qui demande une recherche LDAP pour les enregistrements de groupe. ccnp_cch

Une différence notable entre les deux groupes est que les serveurs AAA ont des champs "Base DN" différents pour spécifier des données Active Directory différentes pour la re- cherche. Création de groupes serveur AAA LDAP Pour configurer les deux groupes de serveurs, exécutez ces étapes: Etape 1: Dans la fenêtre Cisco ASDM, choisissez Configuration> Properties> AAA Setup> AAA servers. Les zones AAA apparaissent dans la partie droite de la fenêtre comme le montre la figure suivante. Les champs dans la zone AAA servers sont répartis de deux sous-zones: la sous- zone Server Group et la sous-zone Servers in Selected Group. La sous-zone Server Groups vous permet de configurer les groupes de serveurs AAA et les protocoles de sécurité que l'appliance de sécurité utilise pour communiquer avec les serveurs listés dans chaque groupe. Etape 2: Dans la zone Server Groups, cliquez sur Add. La boîte de dialogue Add AAA Server Group apparaît comme le montre la figure suivante. ccnp_cch

Etape 3: Entrez le nom du groupe de serveurs dans le champ Server Group. Utilisez des noms différents pour le groupe de serveurs d'authentification e le groupe de serveurs d'autorisation. Dans cet exemple, nous avons nommé le groupe de serveurs d'authentification ldap-authenticat ( authenticate est tronqué à cause du nombre maximum de 16 caractères) et le groupe de ser- veurs d'autorisation ldap-authorize. Etape 4: Choisissez LDAP à partir du menu Protocol. Etape 5: Pour Reactivation Mode, choisissez une options suivantes:  Depletion - Configurez l'appliance de sécurité pour réactiver les serveurs en échec uniquement après que tous les serveurs du groupe soient deve- nus inactifs.  Timed - Configure l'appliance de sécurité pour réactiver les serveurs en échec après 30 secondes d'arrêt. Etape 6: Dans le champ Dead Time, entrez le nombre de minutes qui s'écoulent entre la dévalidation du dernier serveur dans le groupe et la réactivation suivante de tous les serveurs. Ce champ n'est pas accessible si vous avez choisi l'option Timed Mode à l'étape 5. Etape 7: Dans le champ Max Failed Attempts entrez le nombre de tentatives de con- nexions (1 à 5) autorisées avant de déclarer inactif un serveur qui ne répond pas. ccnp_cch

Etape 8: Cliquez sur OK pour entrer le nouveau groupe de serveurs configuré dans la table Server Groups. Etape 9: Répétez les étapes 2 à 8 pour le second groupe de serveurs AAA. Quand cela est fait, vous devez avoir un groupe de serveurs pour l'authentification et un pour l'autorisation. Configurer les serveurs AAA LDAP Pour chacun des groupes de serveurs, vous allez configurer un serveur AAA. De nou- veau, un des serveurs est utilisé pour l'authentification et l'autre pour l'autorisation. Pour ajouter un nouveau serveur AAA LDAP à chacun des groupes de serveurs AAA, exécutez les étapes suivants: Etape 1: Dans la fenêtre Cisco ASDM, choisissez Configuration> Properties> AAA Setup> AAA Servers. La zone AAA Servers apparaît dans la partie droite de la fenêtre. Etape 2: Dans Server Group Table, cliquez le groupe de serveurs LDAP auquel vous voulez ajouter le serveur LDAP. Dans cet exemple, nous avons configuré le serveur d'authentification LDAP dans le groupe ldap-authenticat et le serveur d'autorisation dans le groupe ldap-authorize. Etape 3: Dans la zone Servers in Selected Group, cliquez sur Add. La boîte de dialogue Add AAA Servers apparaît comme le montre la figure suivante. ccnp_cch

Etape 4: Depuis le menu Interface Name, choisissez soit:  Inside - Si votre serveur LDAP est situé sur le réseau interne. ou  Outside - Si votre serveur LDAP est situé sur le réseau externe. Dans cet exemple, le serveur LDAP est situé sur le réseau interne. Etape 5: Entrez le nom du serveur ou l'adresse IP dans le champ Server Name ou IP Address. Dans cet exemple, nous avons utilisé une adresse IP. Etape 6: Dans le champ Timeout, entrez l'intervalle de timeout en secondes. C'est le temps après lequel l'appliance de sécurité abandonne sa requête vers le serveur AAA primaire. S'il y a un autre serveur dans le groupe de serveurs, l'appliance de sécurité transmet la requête au serveur de secours. Etape 7: Dans la zone LDAP Parameters, cochez Enable LDAP over SSL si vous vou- lez que toutes les communications entre l'appliance de sécurité et l'annuaire LDAP soient cryptés par SSL. ccnp_cch

Attention: Si vous ne cochez pas Enable LDAP over SSL, l'appliance de sécurité et l'annuaire LDAP échangent des données en clair y compris les données sen- sibles d'authentification et d'autorisation. Etape 8: Entrez le port du serveur à utiliser dans le champ Server Port. C'est le numéro de port TCP avec lequel vous accédez à votre serveur. Etape 9: A partir du menu Server Type, choisissez une des options suivantes:  Sun Microsystems JAVA Systems Directory Server (Sun One Directory Server) ou  Microsoft Active Directory ou  Detect Automatically L'appliance de sécurité supporte les fonctionnalités d'authentification et de gestion de mots de passe uniquement sur Sun Microsystems JAVA Systems Directory (Sun One Directory Server) et Microsoft Active Directory. Avec tout autre type de serveur LDAP tels qu'un serveur Novell ou OpenLDAP, elle supporte uniquement l'autorisation LDAP et la récupération de CRL (Certif- cate Revocation List). En sélectionnant Detect Automatically, vous laissez l'appliance de sécurité déterminer si le serveur est un serveur Microsoft ou Sun. Note: le DN configuré sur l'appliance de sécurité pour accéder au serveur d'annuaire Sun doit être capable d'accéder à la politique de mot de passe par défaut sur ce serveur. Nous recommandons l'utilisation de l'administra- teur de l'annuaire ou un utilisateur avec les privilèges d'administrateur de l'annuaire comme DN. Vous avez également le choix de placer une ACI sur la politique de mot de passe par défaut. Etape 10: Entrez une de ces valeurs dans le champ Base DN:  Le DN de base du dossier Active Directory contient les attributs utilisa- teurs (typiquement le dossier utilisateur) quand vous configurez le ser- veur d'authentification ou  Le DN de base du dossier Active Directory contient les attributs de grou- pe (typiquement un dossier de groupe) quand vous configurez le serveur d'autorisation. Le DN de base est l'emplacement dans la hiérarchie LDAP où le serveur doit commencer à chercher quand il reçoit une requête d'autorisation. Par exemple, OU=people, dc=cisco, dc=com. ccnp_cch

Etape 11: A partir du menu Scope, sélectionnez un des choix suivants:  One level beneath the Base DN ou  All levels beneath the Base DN La portée spécifie l'extension de la recherche dans la hiérarchie LDAP que le serveur doit faire quand il reçoit une requête d'autorisation. One Level Beneath the Base DN spécifie une recherche sur uniquement un niveau en dessous du Base DN. Cette option est la plus rapide. All levels Beneath the Base DN spécifie une recherche dans sous-arbre entier de la hiérarchie LDAP. Cette option prend plus de temps. Etape 12: Dans le champ Naming Attributes, entrez l'attribut Relative Distinguished Name qui identifie de manière unique l'entrée sur le serveur LDAP. Les nommages communs des attributs sont Common Name (cn) et User ID (uid). Etape 13: Dans le champ Login DN exécutez une de ces actions:  Entrez le nom de l'objet de l'annuaire pour le lien d'authentification de l'appliance de sécurité. cn=Administrator, cn=users, dc=com. ou  Laissez ce champ vide pour un accès anonyme. Certains serveurs LDAP, y compris le serveur Microsoft Active Directory, requièrent que l'appliance de sécurité établisse un échange via un lien au- thentifié avant d'accepter les requêtes pour les opérations LDAP. L'applian- ce de sécurité s'identifie pour un lien authentifié en incluant un champ Login DN avec la requête d'authentification de l'utilisateur. Le champ Login DN définit les caractéristiques d'authentification de l'appliance de sécurité qui doit correspondre à celles d'un utilisateur avec les privilèges d'adminis- trateur. Etape 14: Entrez le mot de passe associé au Login DN dans le champ Login Password. Les caractères tapés sont affichés avec des astérisques. Etape 15: A partir du menu LDAP Attribute Map, choisissez la Map d'attribut LDAP à appliquer au serveur LDAP. La map d'attribut LDAP traduit les noms et les valeurs d'attributs LDAP utilisateur en noms et valeurs d'attributs Cisco. Etape 16: Cochez la case SASL MD5 Authentication pour utiliser les mécanismes MD5 de SASL (Simple Authentication and Secure socket layer) pour sécu- riser les communications d'authentification entre l'appliance de sécurité et le serveur LDAP. ccnp_cch

Configuration de la politique de groupe pour l'autorisation LDAP Etape 17: Cochez la case SASL Kerberos Authentication pour utiliser les mécanis- mes Kerberos de SASL (Simple Authentication and Secure socket layer) pour sécuriser les communications d'authentification entre l'appliance de sécurité et le serveur LDAP. Note: Si vous configurez plus d'une méthode SASL pour un serveur, l'ap- pliance de sécurité utilise la méthode la plus robuste supportée par le ser- veur et l'appliance de sécurité. Par exemple si MD5 et Kerberos sont sup- portés, l'appliance de sécurité sélectionne Kerberos pour sécuriser la com- munication avec le serveur. Etape 18: Si vous cochez SAL Kerberos Authenticaton à l'étape 17, entrez le groupe de serveurs Kerberos utilisé pour l'authentification dans le champ Kerberos Server Group. Etape 19: Répétez les étapes 3 à 18 pour configurer un serveur AAA dans l'autre groupe de serveurs AAA. Configuration de la politique de groupe pour l'autorisation LDAP Après avoir configuré la map d'attribut LDAP, les groupes de serveurs AAA et les ser- veurs LDAP dans les groupes, vous créez ensuite une politique de groupe externe qui associe le nom de groupe avec le serveur d'autorisation LDAP. Note: des procédures détaillées pour configurer des politiques de groupe sont fournies tout au long de ce document. Les étapes suivantes sont uniquement celles qui s'appli- quent à la configuration de AAA avec LDAP. Pour créer une nouvelle politique de groupe et lui affecter le groupe de serveurs d'au- torisation LDAP, exécutez les étapes suivantes: Etape 1: Dans la fenêtre Cisco ASDM, sélectionnez Configuration> VPN> General > Group Policy. La zone Group Policy apparaît dans la partie droite de la fenêtre. Etape 2: Cliquez sur Add et choisissez soit Internal Group Policy soit External Group Policy. Dans cet exemple, nous avons choisi External Group Policy car le serveur LDAP est externe par rapport à l'appliance de sécurité. La boîte de dialogue Add Group Policy apparaît comme le montre la figure suivante. ccnp_cch

Configuration d'un groupe tunnel pour l'authentification Etape 3: Entrez le nom de la nouvelle politique de groupe dans le champ name. Dans cet exemple la politique de groupe est web1. Etape 4: A partir du menu Server Group, choisissez le groupe de server AAA que vous avez crée précédemment pour l'autorisation. Dans cet exemple, c'est le groupe serveur nommé ldap-authorize. Etape 5: Cliquez sur OK et ensuite sur Apply pour créer une nouvelle politique de groupe. Configuration d'un groupe tunnel pour l'authentification LDAP A la fin de la tâche principale, vous créez un tunnel-group qui spécifie l'authentifica- tion LDAP en exécutant les étapes suivantes. Etape 1: Dans la fenêtre ASDM Cisco, sélectionnez Configuration> VPN> General> Tunnel Group. La zone Groupe Tunnel apparaît dans la partie droite de la fenêtre de l'ASDM comme le montre la figure suivante: ccnp_cch

Etape 2: Cliquez sur Add dans la zone Tunnel Group et choisissez le type de groupe tunnel. Dans cet exemple, nous avons choisi IPSec for Remote Access. La boîte de dialogue Add Tunnel Group apparaît. Etape 3: Choisissez l'onglet General et ensuite choisissez l'onglet AAA comme le montre la figure suivante. ccnp_cch

Etape 4: Entrez le nom du groupe tunnel dans le champ Name Etape 4: Entrez le nom du groupe tunnel dans le champ Name. Dans cet exemple, le nom du groupe tunnel est ipsec-tunnelgroup. Etape 5: A partir du menu Authentication Server Group, choisissez le groupe serveur AAA que vous avez configuré pour l'authentification. Dans cet exemple, le nom du groupe serveur d'authentification est ldap-authenticat. Etape 6: Cliquez sur OK en bas de la boîte de dialogue Add Tunnel Group. Etape 7: Cliquez sur Apply dans le bas de la fenêtre ASDM pour inclure les modifica- tions dans la configuration courante. Vous avez terminé cet exemple de nombre minimal d'étapes requises pour configurer l'appliance de sécurité pour l'authentification et l'autorisation LDAP. ccnp_cch