LDAP AAA Server mit ASA 5505

[bnice]

Hi,

ich versuche derzeit nach der Anleitung "Configuring an LDAP AAA Server" von Cisco eine Verbindung zwischen ASA und LDAP auf Server2003 DC zu bewerkstelligen. Ziel soll es sein, dass sich Remote-User (IPSec VPN Client) über Ihre Windows-Credentials an der ASA authentifizieren, so dass keine separate (lokale) User-Datenbank auf der ASA gepflegt werden muss.
Mir ist allerdings schon nicht klar, welche Attribute ich genau in der LDAP Attribute Map einpflegen muss...
Hat hier jemand so eine Lösung am Laufen und kann mal ein paar Hinweise zur Konfiguration geben? Momentan ist das ganze noch eine Testumgebung mit einem frischen ADS, so dass es noch recht übersichtlich bei der Fehlersuche ist
Wenn andere Lösungen z.B. über Radius o.ä. besser/sicherer/einfacher einzurichten sind, nehme ich auch da gerne Vorschläge an, hab bisher nur kein Radius hier am laufen...

UPDATE:
Einen ersten Fehler habe ich bereits gefunden:
LDAP über SSL kann ich derzeit nicht verwenden, da der DC keine Zertifizierungsstelle findet (Event-ID 36872).
Also auf der ASA LDAP über SSL deaktiviert. Dennoch bekomme ich beim Testen der LDAP server group für Authorization und auch Authentication den Fehler:

Code:

ERROR: Authorization Server not responding: AAA server has been removed

Wie kann ich den Fehler näher eingrenzen? Erreichbar (ICMP) ist der DC von der ASA. In den Events des DC sehe ich leider keine Zugriffsversuche...

[Wordo]

Sniffer auf dem Server installieren und schauen ob ueberhaupt was ankommt, Packet Capture auf der ASA machen, schauen ob Windowsnamen aufgeloest, bzw. nicht aufgeloest werden koennen.

[blackbox]

Hallo,

ich verstehe nicht ganz - welches Problem du genau hast - da das PDF ja sehr genau die Parameter vorgiebt - du musst sie nur von deinem Server aus der AD übernehmen. Wenn du diese nicht genau kennst (Gruppenname oder so) - empfehle ich dir den Softerra LDAP Browser - da kannst du schön die LDAP Einträge der ADS ansehen und ggf. mit Cut/Paste rausnehmen (geht fixer wie tippen)

[bnice]

Bin schon mal einen Schritt weiter - habe jetzt die richtigen Custom Names gefunden und eingetragen - der Test für Authorization und Authentication lief jetzt erfolgreich
Erster Test mit VPN Client klappte noch nicht - hier hatte ich auch noch Änderungen an den Tunnel Groups vergessen. Danach hatte der Client sich erstmal aufgehängt und zog einen Rechner-Reboot nach sich
Danke erstmal für die Debug-Tipps, werd Euch auf dem Laufenden halten!

[Otaku19]

und ja, RADIUS/TACACS ist erheblich einfacher zu konfigurieren

[bnice]

Zitat von Otaku19 und ja, RADIUS/TACACS ist erheblich einfacher zu konfigurieren

Das hab ich auch schon zahlreich gelesen - wobei wohl häuptsichlich die Fehlersuche bei LDAP schwieriger ist.
Nur bisher wird kein Radius genutzt, und das gute ist: LDAP funzt jetzt !!
Ich hatte erst versucht, eine bestehende Gruppe mit lokaler Auth. auf LDAP umzustellen, und da wahrscheinlich den Fehler im Detail nicht gefunden. Habe die jetzt gelöscht und anschließend neu für LDAP erstellt, getestet und alles läuft!

Für alle, die auch auf die schnelle LDAP mit der ASA nutzen wollen, hier die fehlenden Puzzle-Teile, damit man den VPN-Zugriff für die einzelnen Benutzer regeln kann.

Im größeren Umfeld ist sicher der Einsatz von Radius empfehlenswert, aber im kleinen Bereich (hier sind das ca. nur 20 Nutzer), reicht auch die Einrichtung über LDAP.

[bnice]

Ein kleines Problem besteht noch, und zwar erfolgt kein Fallback auf die Auth. via LOCAL users, wenn der LDAP-Server nicht erreichbar ist.
In der Tunnel-Group ist "use LOCAL if server group fails" eingerichtet, dennoch versucht er immer eine Abfrage über LDAP, und greift nicht auf die LOCAL users zurück.
Timeout und retry habe ich schon runtergesetzt (1 Minute, 1 Retry)...

[blackbox]

Hi,

wie hast du den den "LDAP" abgeschaltet ? Ausgemacht ?

[bnice]

Zitat von blackbox Hi, wie hast du den den "LDAP" abgeschaltet ? Ausgemacht ?

(Virtuelles) Netzwerkkabel gezogen...
Wie würde sich das Fallback eigentlich bei Usern verhalten, die in LDAP nicht existieren? Strikt verweigern, oder auch in LOCAL nachsehen?

Hintergrund: Es gibt ein paar User, die nur in einer anderen Domäne existieren (Vertrauensstellung vorhanden), wo ich aber noch nicht weiß, ob die über LDAP mit erfasst werden (in der Testumgebung habe ich nur eine Domäne). Diese User ziehen kurzfristig in die neue Domäne um, somit muss für einen Übergangszeitraum eine Lösung gefunden werden. Notfalls muss ich sonst eine sep. Policy für diese User anlegen.

[Otaku19]

zeig mal deine aaa konfig