La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

- Configuration de l'authentification LDAP

Publié parEmmanuelle Plamondon Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "- Configuration de l'authentification LDAP"— Transcription de la présentation:

1 - Configuration de l'authentification LDAP
Sécurité - ASA8.0 - Configuration de l'authentification LDAP pour les utilisateurs WebVPN ccnp_cch

2 Sommaire ● Introduction - Prérequis ● Rappel - Avec l'ASDM
● Configuration de l'authentification LDAP - Avec l'ASDM - Avec la CLI - Exécution de recherches multi-domaine ● Vérification - Test avec l'ASDM - Test avec la CLI ● Résolution de problèmes ccnp_cch

3 Introduction Ce document montre comment configurer l'appliance de sécurité adaptive Cisco ASA
pour utiliser un serveur LDAP pour l'authentification des utilisateurs WebVPN. Le ser- veur LDAP dans cet exemple est Microsoft Active Directory. Cette configuration est ré- alisée avec l'ASDM (Adaptive Security Manager) 6.0(2) sur un ASA qui opère avec un logiciel version 8.0(2). Note: Dans cet exemple l'authentification LDAP (LightWeight Directory Access Protocol) est configurée pour des utilisateurs WebVPN mais cette configuration peut être utilisée pour tous les autres types d'accès clients distants. Affectez simplement le groupe de serveurs AAA au profil de connexion voulu (groupe tunnel) comme cela est montré. Prérequis ● Une configuration VPN de base est requise. Dans cet exemple une configuration WebVPN est utilisée. Rappel Dans cet exemple, l'ASA utilise un serveur LDAP pour vérifier l'identité des utilisateurs qui s'authentifient. Ce processus ne fonctionne pas comme un échange RADIUS (Remo- te Authentication Dial-In User Service) ou TACACS+ (Terminal Access Controller Access-Control System Plus). Ces étapes expliquent comment l'ASA utilise un serveur LDAP pour vérifier les caractéristiques utilisateur L'utilisateur initie une connexion vers l'ASA 2. L'ASA est configuré pour authentifier cet utilisateur avec un serveur LDAP Micro soft Active directory (AD) L'ASA fait le lien avec le serveur LDAP avec les critères configurés sur l'ASA (admin dans ce cas) et recherche le nom d'utilisateur fourni. L'utilisateur admin obtient également les droits pour lister le contenu de l'Active Directory. Référez-vous à pour plus d'informations sur comment servir les requêtes de privilèges. 4. Si le nom d'utilisateur est trouvé, l'ASA tente de se lier au serveur LDAP avec les critères que l'utilisateur a fourni au login. 5. Si le second lien réussit, l'authentification est réussie et l'ASA traite les attributs de l'utilisateur Note: Dans cet exemple les attributs ne sont pas utilisés. Référez-vous à ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example pour voir un exemple sur comment l'ASA traite les attributs LDAP. ccnp_cch

4 Configuration de l'authentification LDAP
Dans cet section sont présentées les informations nécessaires pour configurer l'ASA pour qu'il utilise un serveur LDAP pour l'authentification des clients WebVPN. ASDM Exécutez ces étapes dans l'ASDM pour configurer l'ASA pour qu'il communique avec le serveur LDAP et authentifie les clients WebVPN Dans l'ASDM cliquez sur Configuration > Remote Access VPN > AAA Setup > AAA Server Groups. 2. Cliquez sur Add à côté de AAA Server Groups 3. Spécifiez un nom pour le nouveau AAA Server group et choisissez LDAP comme protocole. 4. Assurez-vous que le nouveau groupe est sélectionné en haut du panneau et cliquez sur Add près du panneau Servers in the Selected Group . 5. Entrez les informations de configuration pour votre serveur LDAP. Les copies d'écran suivantes illustrent un exemple de configuration. Voici une explication de plusieurs options de configuration:  Interface Name - Interface que l'ASA utilise pour atteindre le serveur LDAP  Server Name or IP address - Nom du serveur ou Adresse IP que l'ASA utilise pour atteindre le serveur LDAP.  Server Type - Le type de serveur LDAP, Microsoft par exemple.  Base DN - Emplacement dans la hiérarchie LDAP à partir duquel le serveur doit commencer sa recherche.  Scope - Extension de la recherche que le serveur doit faire dans la hiérarchie LDAP.  Naming Attribute - Attribut Relative Distinguished Name (ou attributs) qui identifie de manière unique une entrée sur le serveur LDAP. sAMAccountName est l'attribut par défaut dans Microsoft Active Directory. Les autres attributs ccnp_cch

5 ccnp_cch communément utilisés sont CN, UID et userPrincipalName.
 Login DN - C'est le DN avec assez de privilèges pour être capable de chercher des utilisateurs dans le serveur LDAP  Login Password - Mot de passe du compte DN.  LDAP atribute Map - Correspondance d'attribut LDAP utilisée avec les réponses venant de ce serveur. 6. Une fois que vous avez configuré le groupe de serveurs AAA et ajouté un serveur à celui-ci, il est nécessaire de configurer votre profil de connexion (tunnel group) pour utiliser la nouvelle configuration AAA. Naviguez vers Configuration> Remote Access> Clientless VPN Access> Connection Profiles Choisissez le profil de connexion (tunnel group) pour lequel vous voulez configurer AAA et cliquez sur Edit. 8. Sous Authentication choisissez le LDAP serveur group que vous venez de créer. ccnp_cch

6 ccnp_cch Interface ligne de commande
Exécutez ces étapes avec la CLI (Command Line interface) pour configurer l'ASA pour qu'il communique avec un serveur LDAP et authentifie les clients WebVPN. ciscoasa#configure terminal !−−− Configure le groupe de serveurs AAA. ciscoasa(config)#aaa−server LDAP_SRV_GRP protocol ldap !−−− Configure le serveur AAA. ciscoasa(config−aaa−server−group)#aaa−server LDAP_SRV_GRP (inside) host ciscoasa(config−aaa−server−host)#ldap−base−dn dc=ftwsecurity, dc=cisco, dc=com ciscoasa(config−aaa−server−host)#ldap−login−dn cn=admin, cn=users, dc=ftwsecurity, dc=cisco ciscoasa(config−aaa−server−host)#ldap−login−password ********** ciscoasa(config−aaa−server−host)#ldap−naming−attribute sAMAccountName ciscoasa(config−aaa−server−host)#ldap−scope subtree ciscoasa(config−aaa−server−host)#server−type microsoft ciscoasa(config−aaa−server−host)#exit !−−− Configure le groupe tunnel à utiliser avec la nouvelle configuration AAA. ciscoasa(config)#tunnel−group ExampleGroup2 general−att ciscoasa(config−tunnel−general)#authentication−server−group LDAP_SRV_GRP ccnp_cch

7 Vérification ccnp_cch
Exécuter des recherches Multi-domaine (Optionnel) (Optionnel). L'ASA ne supporte pas de manière courant le mécanisme LDAP referal pour des recherches multi-domaine (Cisco bug ID CSCsj32153). Les recherches multi- domaine sont supportées avec l'AD en mode Global Catalog Server. Pour exécuter des recherches multi-domaine, paramétrez le serveur AD en mode global Catalog Server usuellement avec les paramètres clé pour l'entrée serveur LDAP dans l'ASA. La clé est d'utiliser un ldap-name-attribute qui est unique à travers l'arborescence server−port 3268 ldap−scope subtree ldap−naming−attribute userPrincipalName Vérification Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Test avec l'ASDM Vérifiez votre configuration LDAP avec le bouton Test sur l'écran de configuration AAA Server Groups. Une fois que vous avez donné le nom d'utilisateur et le mot de passe, ce bouton vous permet de transmettre une requête test d'authentification vers le serveur LDAP. 1. Naviguez vers Configuration > Remote Access VPN > AAA Setup > AAA Server Groups. 2. Sélectionnez votre AAA Server group dans le panneau du haut. 3. Sélectionnez le serveur AAA que vous voulez test dans le panneau du bas. 4. Cliquez sur le bouton Test à droite du panneau inférieur. 5. Dans la fenêtre qui apparaît, cliquez sur le bouton radio Authentication et four nissez les données d'authentification. Cliquez sur OK quand vous avez fini. ccnp_cch

8 6. Après que l'ASA ait contacté le serveur LDAP, un message de succès ou d'échec est affiché.
ccnp_cch

9 Test avec la CLI Vous pouvez utilisez la commande test en ligne de commande pour tester votre confi- guration AAA. Une requête test est transmise au serveur AAA et le résultat apparaît sur la ligne de commande. ciscoasa#test aaa−server authentication LDAP_SRV_GRP host username kate password cisco123 INFO: Attempting Authentication test to IP address < > (timeout: 12 seconds) INFO: Authentication Successful Résolution de problèmes Si vous n'êtes pas sur de la chaîne DN courante à utiliser, vous pouvez entrer la com- mande dsquery sur un serveur Windows Active Directory à partir de l'invite de com- mande pour vérifier la chaîne DN d'un objet utilisateur. C:\Documents and Settings\Administrator>dsquery user −samid kate !−−− Queries Active Directory for samid id "kate" "CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com" La commande debug ldap 255 peut vous aider à résoudre des problèmes d'authentifi- cation dans ce scénario. Cette commande valide le debugging LDAP et vous permet de voir le processus que l'ASA utilise pour se connecter au serveur LDAP. Ces sorties montrent l'ASA qui se connecte au serveur LDAP comme cela a été souligné dans la section Rappel. Cette sortie de debug montre une authentification réussie: ciscoasa#debug ldap 255 [7] Session Start [7] New request Session, context 0xd4b11730, reqType = 1 [7] Fiber started [7] Creating LDAP context with uri=ldap:// :389 [7] Connect to LDAP server: ldap:// :389, status = Successful [7] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com [7] supportedLDAPVersion: value = 3 [7] supportedLDAPVersion: value = 2 [7] supportedSASLMechanisms: value = GSSAPI [7] supportedSASLMechanisms: value = GSS−SPNEGO [7] supportedSASLMechanisms: value = EXTERNAL [7] supportedSASLMechanisms: value = DIGEST−MD5 !−−− L'ASA se connecte au serveur LDAP comme admin to pour rechercher kate. [7] Binding as administrator [7] Performing Simple authentication for admin to ccnp_cch

10 ccnp_cch [7] LDAP Search: Base DN = [dc=ftwsecurity, dc=cisco, dc=com]
Filter = [sAMAccountName=kate] Scope = [SUBTREE] [7] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com] [7] Talking to Active Directory server [7] Reading password policy for kate, dn:CN=Kate Austen,CN=Users, DC=ftwsecurity,DC=cisco,DC=com [7] Read bad password count 1 !−−− L'ASA lie le serveur LDAP avec kate pour tester le mot de passe. [7] Binding as user [7] Performing Simple authentication for kate to [7] Checking password policy for user kate [7] Binding as administrator [7] Performing Simple authentication for admin to [7] Authentication successful for kate to [7] Retrieving user attributes from server [7] Retrieved Attributes: [7] objectClass: value = top [7] objectClass: value = person [7] objectClass: value = organizationalPerson [7] objectClass: value = user [7] cn: value = Kate Austen [7] sn: value = Austen [7] givenName: value = Kate [7] distinguishedName: value = CN=Kate Austen,CN=Users,DC=ftwsecurity, DC=cisco,DC=com [7] instanceType: value = 4 [7] whenCreated: value = Z [7] whenChanged: value = Z [7] displayName: value = Kate Austen [7] uSNCreated: value = 16430 [7] memberOf: value = CN=Castaways,CN=Users,DC=ftwsecurity,DC=cisco,DC=com [7] memberOf: value = CN=Employees,CN=Users,DC=ftwsecurity,DC=cisco,DC=com [7] uSNChanged: value = 20500 [7] name: value = Kate Austen [7] objectGUID: value = ..z...yC.q0..... [7] userAccountControl: value = 66048 [7] badPwdCount: value = 1 [7] codePage: value = 0 [7] countryCode: value = 0 [7] badPasswordTime: value = [7] lastLogoff: value = 0 [7] lastLogon: value = [7] pwdLastSet: value = [7] primaryGroupID: value = 513 [7] objectSid: value = Q..p..*.p?E.Z... [7] accountExpires: value = [7] logonCount: value = 0 [7] sAMAccountName: value = kate [7] sAMAccountType: value = [7] userPrincipalName: value = [7] objectCategory: value = CN=Person,CN=Schema,CN=Configuration, ccnp_cch

11 [7] dSCorePropagationData: value = 20070815195237.0Z
[7] Fiber exit Tx=685 bytes Rx=2690 bytes, status=1 [7] Session End Cette sortie de debug montre une athentification qui échoue à cause d'u mote de passe incorrect: ciscoasa#debug ldap 255 [8] Session Start [8] New request Session, context 0xd4b11730, reqType = 1 [8] Fiber started [8] Creating LDAP context with uri=ldap:// :389 [8] Connect to LDAP server: ldap:// :389, status = Successful [8] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com [8] supportedLDAPVersion: value = 3 [8] supportedLDAPVersion: value = 2 [8] supportedSASLMechanisms: value = GSSAPI [8] supportedSASLMechanisms: value = GSS−SPNEGO [8] supportedSASLMechanisms: value = EXTERNAL [8] supportedSASLMechanisms: value = DIGEST−MD5 !−−− L'ASA se connecte au serveur LDAP comme admin pour rechercher kate. [8] Binding as administrator [8] Performing Simple authentication for admin to [8] LDAP Search: Base DN = [dc=ftwsecurity, dc=cisco, dc=com] Filter = [sAMAccountName=kate] Scope = [SUBTREE] [8] User DN = [CN=Kate Austen,CN=Users,DC=ftwsecurity,DC=cisco,DC=com] [8] Talking to Active Directory server [8] Reading password policy for kate, dn:CN=Kate Austen,CN=Users, DC=ftwsecurity,DC=cisco,DC=com [8] Read bad password count 1 !−−− L'ASA tente de se lier avec kate mais le mot de passe est incorrect. [8] Binding as user [8] Performing Simple authentication for kate to [8] Simple authentication for kate returned code (49) Invalid credentials [8] Reading bad password count for kate, dn: CN=Kate Austen,CN=Users, [8] Received badPwdCount=1 for user kate [8] badPwdCount=1 before, badPwdCount=1 after for kate [8] now: Tue, 28 Aug :33:05 GMT, lastset: Wed, 15 Aug :52: GMT, delta= , maxage= secs [8] Invalid password for kate [8] Fiber exit Tx=788 bytes Rx=2904 bytes, status=−1 [ 8] Session End ccnp_cch

12 Cette sortie de debug montre une authentification qui échoue car l'utilisateur ne peut pas être trouvé sur le serveur LDAP. ciscoasa#debug ldap 255 [9] Session Start [9] New request Session, context 0xd4b11730, reqType = 1 [9] Fiber started [9] Creating LDAP context with uri=ldap:// :389 [9] Connect to LDAP server: ldap:// :389, status = Successful [9] defaultNamingContext: value = DC=ftwsecurity,DC=cisco,DC=com [9] supportedLDAPVersion: value = 3 [9] supportedLDAPVersion: value = 2 [9] supportedSASLMechanisms: value = GSSAPI [9] supportedSASLMechanisms: value = GSS−SPNEGO [9] supportedSASLMechanisms: value = EXTERNAL [9] supportedSASLMechanisms: value = DIGEST−MD5 !−−− L'utilisateur mikhail n'est pas trouvé. [9] Binding as administrator [9] Performing Simple authentication for admin to [9] LDAP Search: Base DN = [dc=ftwsecurity, dc=cisco, dc=com] Filter = [sAMAccountName=mikhail] Scope = [SUBTREE] [9] Requested attributes not found [9] Fiber exit Tx=256 bytes Rx=607 bytes, status=−1 [9] Session End ccnp_cch

Télécharger ppt "- Configuration de l'authentification LDAP"

Présentations similaires

Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
Commandes pour Mots de passe

Commandes pour Mots de passe
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Client VPN SSL avec ASDM

Client VPN SSL avec ASDM
Catalyst 500E - Réinitialisation avec les Paramètres usine

Catalyst 500E - Réinitialisation avec les Paramètres usine
Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.

Sécurité - Configuration de Secure Shell sur les Commutateurs et les Routeurs avec l'IOS Cisco ccnp_cch.
le Split Tunneling pour les clients VPN

le Split Tunneling pour les clients VPN
Client léger VPN SSL avec ASDM

Client léger VPN SSL avec ASDM
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.

Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
TP Sécurité - Configuration de Base d'un Routeur avec SDM

TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Configuration du PIX/ASA Authentification étendue

Configuration du PIX/ASA Authentification étendue
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client

Sécurité - VPN - Configurer la mise à jour du client

Présentations similaires

Annonces Google