Sécurité - ASA - Configuration d'un serveur AAA LDAP ccnp_cch
Sommaire ● Introduction ● Présentation générale des transactions LDAP ● Création d'une Map d'attribut LDAP ● Configuration des serveurs et groupes de serveurs AAA ● Configuration de la politique de groupe pour l'autorisation LDAP ● Configuration d'un groupe tunnel pour l'authentification LDAP ccnp_cch
Introduction Ce document présente un exemple de procédure de configuration pour la configuration de l'autorisation et de l'authentification de l'utilisateur appliance de sécurité en utili- sant Microsoft Active Directory Server (LDAP) qui est situé sur le même réseau interne que l'appliance de sécurité. Ce document comprend les sections suivantes: Présentation générale des transactions LDAP Configuration des serveurs et groupes de serveurs AAA Configuration de la politique de groupe pour l'autorisation LDAP Configuration d'un groupe tunnel pour l'authentification LDAP Présentation générale des transactions LDAP La figure suivante montre les transactions principales en utilisant un serveur d'annu- aire LDAP de l'autorisation et de l'authentification dans l'appliance de sécurité. PC Utilisateur Appliance de Sécurité Serveur d'annuaire LDAP Login Request User ___________ Password_______ Group__________ LDAP Authentication Request PC Utilisateur Recherche utilisateur et identification Attributs utilisateur ___________________ ___________________ OK + attributs utilisateur Détermination appartenance au groupe LDAP Authorization Request Recherche du groupe Attributs de groupe _____________ _____________ OK + attributs de groupe L'application (ex:WebVPN) reçoit les valeurs utilisateur et de groupe Login réussi ccnp_cch
Création d'une Map d'attribut LDAP Pour configurer l'appliance de sécurité pour l'authentification et l'autorisation LDAP, vous devez créer une map d'attribut LDAP qui fait correspondre les noms d'attributs utilisateur aux noms d'attributs Cisco LDAP. Ceci vous évite de renommer vos attri- buts existants en utilisant les noms Cisco que l'appliance de sécurité comprend. Note: pour utiliser correctement la fonctionnalité de correspondance d'attribut, vous devez comprendre les noms et les valeurs d'attributs LDAP Cisco mais également les noms et les valeurs d'attributs utilisateur. Voir le document "Cisco Security Appliance Command Line Configuration Guide appendice "Configuring an external server for Au- thorization and Authentication" pour la liste des attributs LDAP Cisco. Pour créer une nouvelle map d'attribut LDAP, exécutez les étapes suivantes: Etape 1: Dans le fenêtre de l'ASDM cisco, choisissez Configuration> Properties> AAA Setup> LDAP Attribute Map. La zone LDAP Attribute MAP apparaît dans la partie droite de la fenêtre comme le montre la figure suivante. Etape 2: Dans la zone LDAP Attribute Map cliquez sur Add. La boîte de dialogue Add LDAP Attribute Map apparaît comme le montre la figure suivante. ccnp_cch
Etape 3: Dans le champ Name au-dessus des onglets, entrez un nom pour la map d'attribut LDAP. Etape 4: Si l'onglet Map Name n'est pas sélectionné, sélectionnez-le. Etape 5: Dans Custom Name (nom d'attribut utilisateur) de l'onglet Map Name, entrez le nom d'un attribut que vous voulez faire correspondre avec un nom d'attri- but Cisco. Dans cet exemple le nom personnalisé est department. Etape 6: Choisissez un nom Cisco depuis le Menu Cisco Name. Le nom personnalisé va correspondre au nom Cisco. Dans cet exemple, le nom Cisco est cVPN3000-IETF-Radius-Class. Comme le montre la première figure, l'appliance de sécurité reçoit les attributs utilisa- teur du serveur d'authentification après validation des identités de l'utilisa- teur. Si une classe d'attributs est présente parmi les attributs de l'utilisateur, l'appliance de sécurité l'interprète comme une politique de groupe pour cet utilisateur et il transmet une requête au serveur du groupe AAA configuré pour cette politique de groupe afin d'obtenir les attributs de groupe. Etape 7: Cliquez sur Add pour inclure la correspondance de nom dans la map d'attri- but. Etape 8: Cliquez sur l'onglet MAP Value et ensuite cliquez sur Add dans l'onglet Map Value. La boîte de dialogue Add LDAP Attribute Map Value apparaît comme le mon- tre la figure suivante. ccnp_cch
Etape 9: A partir du menu Custom Name, choisissez l'attribut personnalisé pour lequel vous voulez mapper la valeur. Etape 10: Entrez la valeur personnalisée (définie par utilisateur) dans le champ Custom Value. Etape 11: Entrez la valeur Cisco dans le champ Cisco Value. Etape 12: Cliquez sur Add pour inclure la valeur correspondante dans la map d'attri- but. Etape 13: Répétez les étapes 4 à 12 pour chaque nom et valeur d'attribut devant être mappé. Etape 14: Après avoir terminé le mapping de tous les noms et valeurs, cliquez sur OK en bas de la fenêtre Add LDAP Attribute Map. Etape 15: Cliquez sur Apply pour terminer la nouvelle map d'attribut LDAP et l'ajou- ter à la configuration courante de l'appliance de sécurité. Configuration des serveurs et des groupes de serveurs AAA Vous allez configurer les groupes de serveurs AAA et les serveurs AAA qui vont dedans. Vous devez configurez deux groupes de serveurs AAA. Vous configurez un groupe ser- veur comme groupe serveur d'authentification contenant un serveur d'authentification qui demande une recherche LDAP des enregistrements utilisateur. Vous configurez l'autre groupe serveur comme groupe serveur d'autorisation contenant un serveur d'autorisation qui demande une recherche LDAP pour les enregistrements de groupe. ccnp_cch
Une différence notable entre les deux groupes est que les serveurs AAA ont des champs "Base DN" différents pour spécifier des données Active Directory différentes pour la re- cherche. Création de groupes serveur AAA LDAP Pour configurer les deux groupes de serveurs, exécutez ces étapes: Etape 1: Dans la fenêtre Cisco ASDM, choisissez Configuration> Properties> AAA Setup> AAA servers. Les zones AAA apparaissent dans la partie droite de la fenêtre comme le montre la figure suivante. Les champs dans la zone AAA servers sont répartis de deux sous-zones: la sous- zone Server Group et la sous-zone Servers in Selected Group. La sous-zone Server Groups vous permet de configurer les groupes de serveurs AAA et les protocoles de sécurité que l'appliance de sécurité utilise pour communiquer avec les serveurs listés dans chaque groupe. Etape 2: Dans la zone Server Groups, cliquez sur Add. La boîte de dialogue Add AAA Server Group apparaît comme le montre la figure suivante. ccnp_cch
Etape 3: Entrez le nom du groupe de serveurs dans le champ Server Group. Utilisez des noms différents pour le groupe de serveurs d'authentification e le groupe de serveurs d'autorisation. Dans cet exemple, nous avons nommé le groupe de serveurs d'authentification ldap-authenticat ( authenticate est tronqué à cause du nombre maximum de 16 caractères) et le groupe de ser- veurs d'autorisation ldap-authorize. Etape 4: Choisissez LDAP à partir du menu Protocol. Etape 5: Pour Reactivation Mode, choisissez une options suivantes: Depletion - Configurez l'appliance de sécurité pour réactiver les serveurs en échec uniquement après que tous les serveurs du groupe soient deve- nus inactifs. Timed - Configure l'appliance de sécurité pour réactiver les serveurs en échec après 30 secondes d'arrêt. Etape 6: Dans le champ Dead Time, entrez le nombre de minutes qui s'écoulent entre la dévalidation du dernier serveur dans le groupe et la réactivation suivante de tous les serveurs. Ce champ n'est pas accessible si vous avez choisi l'option Timed Mode à l'étape 5. Etape 7: Dans le champ Max Failed Attempts entrez le nombre de tentatives de con- nexions (1 à 5) autorisées avant de déclarer inactif un serveur qui ne répond pas. ccnp_cch
Etape 8: Cliquez sur OK pour entrer le nouveau groupe de serveurs configuré dans la table Server Groups. Etape 9: Répétez les étapes 2 à 8 pour le second groupe de serveurs AAA. Quand cela est fait, vous devez avoir un groupe de serveurs pour l'authentification et un pour l'autorisation. Configurer les serveurs AAA LDAP Pour chacun des groupes de serveurs, vous allez configurer un serveur AAA. De nou- veau, un des serveurs est utilisé pour l'authentification et l'autre pour l'autorisation. Pour ajouter un nouveau serveur AAA LDAP à chacun des groupes de serveurs AAA, exécutez les étapes suivants: Etape 1: Dans la fenêtre Cisco ASDM, choisissez Configuration> Properties> AAA Setup> AAA Servers. La zone AAA Servers apparaît dans la partie droite de la fenêtre. Etape 2: Dans Server Group Table, cliquez le groupe de serveurs LDAP auquel vous voulez ajouter le serveur LDAP. Dans cet exemple, nous avons configuré le serveur d'authentification LDAP dans le groupe ldap-authenticat et le serveur d'autorisation dans le groupe ldap-authorize. Etape 3: Dans la zone Servers in Selected Group, cliquez sur Add. La boîte de dialogue Add AAA Servers apparaît comme le montre la figure suivante. ccnp_cch
Etape 4: Depuis le menu Interface Name, choisissez soit: Inside - Si votre serveur LDAP est situé sur le réseau interne. ou Outside - Si votre serveur LDAP est situé sur le réseau externe. Dans cet exemple, le serveur LDAP est situé sur le réseau interne. Etape 5: Entrez le nom du serveur ou l'adresse IP dans le champ Server Name ou IP Address. Dans cet exemple, nous avons utilisé une adresse IP. Etape 6: Dans le champ Timeout, entrez l'intervalle de timeout en secondes. C'est le temps après lequel l'appliance de sécurité abandonne sa requête vers le serveur AAA primaire. S'il y a un autre serveur dans le groupe de serveurs, l'appliance de sécurité transmet la requête au serveur de secours. Etape 7: Dans la zone LDAP Parameters, cochez Enable LDAP over SSL si vous vou- lez que toutes les communications entre l'appliance de sécurité et l'annuaire LDAP soient cryptés par SSL. ccnp_cch
Attention: Si vous ne cochez pas Enable LDAP over SSL, l'appliance de sécurité et l'annuaire LDAP échangent des données en clair y compris les données sen- sibles d'authentification et d'autorisation. Etape 8: Entrez le port du serveur à utiliser dans le champ Server Port. C'est le numéro de port TCP avec lequel vous accédez à votre serveur. Etape 9: A partir du menu Server Type, choisissez une des options suivantes: Sun Microsystems JAVA Systems Directory Server (Sun One Directory Server) ou Microsoft Active Directory ou Detect Automatically L'appliance de sécurité supporte les fonctionnalités d'authentification et de gestion de mots de passe uniquement sur Sun Microsystems JAVA Systems Directory (Sun One Directory Server) et Microsoft Active Directory. Avec tout autre type de serveur LDAP tels qu'un serveur Novell ou OpenLDAP, elle supporte uniquement l'autorisation LDAP et la récupération de CRL (Certif- cate Revocation List). En sélectionnant Detect Automatically, vous laissez l'appliance de sécurité déterminer si le serveur est un serveur Microsoft ou Sun. Note: le DN configuré sur l'appliance de sécurité pour accéder au serveur d'annuaire Sun doit être capable d'accéder à la politique de mot de passe par défaut sur ce serveur. Nous recommandons l'utilisation de l'administra- teur de l'annuaire ou un utilisateur avec les privilèges d'administrateur de l'annuaire comme DN. Vous avez également le choix de placer une ACI sur la politique de mot de passe par défaut. Etape 10: Entrez une de ces valeurs dans le champ Base DN: Le DN de base du dossier Active Directory contient les attributs utilisa- teurs (typiquement le dossier utilisateur) quand vous configurez le ser- veur d'authentification ou Le DN de base du dossier Active Directory contient les attributs de grou- pe (typiquement un dossier de groupe) quand vous configurez le serveur d'autorisation. Le DN de base est l'emplacement dans la hiérarchie LDAP où le serveur doit commencer à chercher quand il reçoit une requête d'autorisation. Par exemple, OU=people, dc=cisco, dc=com. ccnp_cch
Etape 11: A partir du menu Scope, sélectionnez un des choix suivants: One level beneath the Base DN ou All levels beneath the Base DN La portée spécifie l'extension de la recherche dans la hiérarchie LDAP que le serveur doit faire quand il reçoit une requête d'autorisation. One Level Beneath the Base DN spécifie une recherche sur uniquement un niveau en dessous du Base DN. Cette option est la plus rapide. All levels Beneath the Base DN spécifie une recherche dans sous-arbre entier de la hiérarchie LDAP. Cette option prend plus de temps. Etape 12: Dans le champ Naming Attributes, entrez l'attribut Relative Distinguished Name qui identifie de manière unique l'entrée sur le serveur LDAP. Les nommages communs des attributs sont Common Name (cn) et User ID (uid). Etape 13: Dans le champ Login DN exécutez une de ces actions: Entrez le nom de l'objet de l'annuaire pour le lien d'authentification de l'appliance de sécurité. cn=Administrator, cn=users, dc=com. ou Laissez ce champ vide pour un accès anonyme. Certains serveurs LDAP, y compris le serveur Microsoft Active Directory, requièrent que l'appliance de sécurité établisse un échange via un lien au- thentifié avant d'accepter les requêtes pour les opérations LDAP. L'applian- ce de sécurité s'identifie pour un lien authentifié en incluant un champ Login DN avec la requête d'authentification de l'utilisateur. Le champ Login DN définit les caractéristiques d'authentification de l'appliance de sécurité qui doit correspondre à celles d'un utilisateur avec les privilèges d'adminis- trateur. Etape 14: Entrez le mot de passe associé au Login DN dans le champ Login Password. Les caractères tapés sont affichés avec des astérisques. Etape 15: A partir du menu LDAP Attribute Map, choisissez la Map d'attribut LDAP à appliquer au serveur LDAP. La map d'attribut LDAP traduit les noms et les valeurs d'attributs LDAP utilisateur en noms et valeurs d'attributs Cisco. Etape 16: Cochez la case SASL MD5 Authentication pour utiliser les mécanismes MD5 de SASL (Simple Authentication and Secure socket layer) pour sécu- riser les communications d'authentification entre l'appliance de sécurité et le serveur LDAP. ccnp_cch
Configuration de la politique de groupe pour l'autorisation LDAP Etape 17: Cochez la case SASL Kerberos Authentication pour utiliser les mécanis- mes Kerberos de SASL (Simple Authentication and Secure socket layer) pour sécuriser les communications d'authentification entre l'appliance de sécurité et le serveur LDAP. Note: Si vous configurez plus d'une méthode SASL pour un serveur, l'ap- pliance de sécurité utilise la méthode la plus robuste supportée par le ser- veur et l'appliance de sécurité. Par exemple si MD5 et Kerberos sont sup- portés, l'appliance de sécurité sélectionne Kerberos pour sécuriser la com- munication avec le serveur. Etape 18: Si vous cochez SAL Kerberos Authenticaton à l'étape 17, entrez le groupe de serveurs Kerberos utilisé pour l'authentification dans le champ Kerberos Server Group. Etape 19: Répétez les étapes 3 à 18 pour configurer un serveur AAA dans l'autre groupe de serveurs AAA. Configuration de la politique de groupe pour l'autorisation LDAP Après avoir configuré la map d'attribut LDAP, les groupes de serveurs AAA et les ser- veurs LDAP dans les groupes, vous créez ensuite une politique de groupe externe qui associe le nom de groupe avec le serveur d'autorisation LDAP. Note: des procédures détaillées pour configurer des politiques de groupe sont fournies tout au long de ce document. Les étapes suivantes sont uniquement celles qui s'appli- quent à la configuration de AAA avec LDAP. Pour créer une nouvelle politique de groupe et lui affecter le groupe de serveurs d'au- torisation LDAP, exécutez les étapes suivantes: Etape 1: Dans la fenêtre Cisco ASDM, sélectionnez Configuration> VPN> General > Group Policy. La zone Group Policy apparaît dans la partie droite de la fenêtre. Etape 2: Cliquez sur Add et choisissez soit Internal Group Policy soit External Group Policy. Dans cet exemple, nous avons choisi External Group Policy car le serveur LDAP est externe par rapport à l'appliance de sécurité. La boîte de dialogue Add Group Policy apparaît comme le montre la figure suivante. ccnp_cch
Configuration d'un groupe tunnel pour l'authentification Etape 3: Entrez le nom de la nouvelle politique de groupe dans le champ name. Dans cet exemple la politique de groupe est web1. Etape 4: A partir du menu Server Group, choisissez le groupe de server AAA que vous avez crée précédemment pour l'autorisation. Dans cet exemple, c'est le groupe serveur nommé ldap-authorize. Etape 5: Cliquez sur OK et ensuite sur Apply pour créer une nouvelle politique de groupe. Configuration d'un groupe tunnel pour l'authentification LDAP A la fin de la tâche principale, vous créez un tunnel-group qui spécifie l'authentifica- tion LDAP en exécutant les étapes suivantes. Etape 1: Dans la fenêtre ASDM Cisco, sélectionnez Configuration> VPN> General> Tunnel Group. La zone Groupe Tunnel apparaît dans la partie droite de la fenêtre de l'ASDM comme le montre la figure suivante: ccnp_cch
Etape 2: Cliquez sur Add dans la zone Tunnel Group et choisissez le type de groupe tunnel. Dans cet exemple, nous avons choisi IPSec for Remote Access. La boîte de dialogue Add Tunnel Group apparaît. Etape 3: Choisissez l'onglet General et ensuite choisissez l'onglet AAA comme le montre la figure suivante. ccnp_cch
Etape 4: Entrez le nom du groupe tunnel dans le champ Name Etape 4: Entrez le nom du groupe tunnel dans le champ Name. Dans cet exemple, le nom du groupe tunnel est ipsec-tunnelgroup. Etape 5: A partir du menu Authentication Server Group, choisissez le groupe serveur AAA que vous avez configuré pour l'authentification. Dans cet exemple, le nom du groupe serveur d'authentification est ldap-authenticat. Etape 6: Cliquez sur OK en bas de la boîte de dialogue Add Tunnel Group. Etape 7: Cliquez sur Apply dans le bas de la fenêtre ASDM pour inclure les modifica- tions dans la configuration courante. Vous avez terminé cet exemple de nombre minimal d'étapes requises pour configurer l'appliance de sécurité pour l'authentification et l'autorisation LDAP. ccnp_cch