Jump to content

LDAP AAA Server mit ASA 5505


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi,

 

ich versuche derzeit nach der Anleitung "Configuring an LDAP AAA Server" von Cisco eine Verbindung zwischen ASA und LDAP auf Server2003 DC zu bewerkstelligen. Ziel soll es sein, dass sich Remote-User (IPSec VPN Client) über Ihre Windows-Credentials an der ASA authentifizieren, so dass keine separate (lokale) User-Datenbank auf der ASA gepflegt werden muss.

Mir ist allerdings schon nicht klar, welche Attribute ich genau in der LDAP Attribute Map einpflegen muss... :confused:

Hat hier jemand so eine Lösung am Laufen und kann mal ein paar Hinweise zur Konfiguration geben? Momentan ist das ganze noch eine Testumgebung mit einem frischen ADS, so dass es noch recht übersichtlich bei der Fehlersuche ist :D

Wenn andere Lösungen z.B. über Radius o.ä. besser/sicherer/einfacher einzurichten sind, nehme ich auch da gerne Vorschläge an, hab bisher nur kein Radius hier am laufen...

 

UPDATE:

Einen ersten Fehler habe ich bereits gefunden:

LDAP über SSL kann ich derzeit nicht verwenden, da der DC keine Zertifizierungsstelle findet (Event-ID 36872).

Also auf der ASA LDAP über SSL deaktiviert. Dennoch bekomme ich beim Testen der LDAP server group für Authorization und auch Authentication den Fehler:

ERROR: Authorization Server not responding: AAA server has been removed

Wie kann ich den Fehler näher eingrenzen? Erreichbar (ICMP) ist der DC von der ASA. In den Events des DC sehe ich leider keine Zugriffsversuche...

Edited by bnice
Link to comment

Hallo,

 

ich verstehe nicht ganz - welches Problem du genau hast - da das PDF ja sehr genau die Parameter vorgiebt - du musst sie nur von deinem Server aus der AD übernehmen. Wenn du diese nicht genau kennst (Gruppenname oder so) - empfehle ich dir den Softerra LDAP Browser - da kannst du schön die LDAP Einträge der ADS ansehen und ggf. mit Cut/Paste rausnehmen (geht fixer wie tippen)

Link to comment

Bin schon mal einen Schritt weiter - habe jetzt die richtigen Custom Names gefunden und eingetragen - der Test für Authorization und Authentication lief jetzt erfolgreich :)

Erster Test mit VPN Client klappte noch nicht - hier hatte ich auch noch Änderungen an den Tunnel Groups vergessen. Danach hatte der Client sich erstmal aufgehängt und zog einen Rechner-Reboot nach sich :rolleyes:

Danke erstmal für die Debug-Tipps, werd Euch auf dem Laufenden halten!

Link to comment
und ja, RADIUS/TACACS ist erheblich einfacher zu konfigurieren :)

 

Das hab ich auch schon zahlreich gelesen - wobei wohl häuptsichlich die Fehlersuche bei LDAP schwieriger ist.

Nur bisher wird kein Radius genutzt, und das gute ist: LDAP funzt jetzt !! :D

Ich hatte erst versucht, eine bestehende Gruppe mit lokaler Auth. auf LDAP umzustellen, und da wahrscheinlich den Fehler im Detail nicht gefunden. Habe die jetzt gelöscht und anschließend neu für LDAP erstellt, getestet und alles läuft! :)

 

Für alle, die auch auf die schnelle LDAP mit der ASA nutzen wollen, hier die fehlenden Puzzle-Teile, damit man den VPN-Zugriff für die einzelnen Benutzer regeln kann.

 

Im größeren Umfeld ist sicher der Einsatz von Radius empfehlenswert, aber im kleinen Bereich (hier sind das ca. nur 20 Nutzer), reicht auch die Einrichtung über LDAP.

Edited by bnice
Link to comment

Ein kleines Problem besteht noch, und zwar erfolgt kein Fallback auf die Auth. via LOCAL users, wenn der LDAP-Server nicht erreichbar ist.

In der Tunnel-Group ist "use LOCAL if server group fails" eingerichtet, dennoch versucht er immer eine Abfrage über LDAP, und greift nicht auf die LOCAL users zurück.

Timeout und retry habe ich schon runtergesetzt (1 Minute, 1 Retry)... :confused:

Link to comment
Hi,

 

wie hast du den den "LDAP" abgeschaltet ? Ausgemacht ?

 

(Virtuelles) Netzwerkkabel gezogen...

Wie würde sich das Fallback eigentlich bei Usern verhalten, die in LDAP nicht existieren? Strikt verweigern, oder auch in LOCAL nachsehen?

 

Hintergrund: Es gibt ein paar User, die nur in einer anderen Domäne existieren (Vertrauensstellung vorhanden), wo ich aber noch nicht weiß, ob die über LDAP mit erfasst werden (in der Testumgebung habe ich nur eine Domäne). Diese User ziehen kurzfristig in die neue Domäne um, somit muss für einen Übergangszeitraum eine Lösung gefunden werden. Notfalls muss ich sonst eine sep. Policy für diese User anlegen.

Link to comment

Nur der Vollständigkeit halber und für andere LDAP Probleme/Troubleshooting:

 

Es gibt ein kleines, kostenloses Windows Tool, welches sich "Softerra LDAP Browser" nennt. Mit diesem Tool kann man sich an einen LDAP Server ankoppeln und per GUI einfach durch den LDAP Wald browsen. Außerdem sieht man auf anhieb schön die einzelnen Attribute der User bzw. Gruppen. Natürlich sieht man auch die ganzen schönen CNs, DNs und was es sonst noch alles gibt und kann das via Copy und Paste dann für die ASA (oder "wasauchimmer") Konfig verwenden.

Link to comment

sh run aaa:

aaa authentication enable console LOCAL 
aaa authentication http console LOCAL 
aaa authentication serial console LOCAL 
aaa authentication ssh console LOCAL 
aaa authentication match inside_authentication inside ldap-authenticat

 

sh run aaa-server:

aaa-server ldap-authenticat protocol ldap
reactivation-mode depletion deadtime 1
max-failed-attempts 1
aaa-server ldap-authenticat (inside) host x.x.x.x
server-port 389
ldap-base-dn dc=domain,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *
ldap-login-dn cn=administrator,cn=users,dc=domain,dc=local
server-type microsoft
ldap-attribute-map ActiveDirectoryMapTable
aaa-server ldap-authorize protocol ldap
reactivation-mode depletion deadtime 1
max-failed-attempts 1
aaa-server ldap-authorize (inside) host x.x.x.x
server-port 389
ldap-base-dn dc=domain,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAcountName
ldap-login-password *
ldap-login-dn cn=administrator,cn=users,dc=domain,dc=local
server-type microsoft
ldap-attribute-map ActiveDirectoryMapTable

 

sh run ldap:

ldap attribute-map ActiveDirectoryMapTable
 map-name  msNPAllowDialin cVPN3000-IETF-Radius-Class
 map-value msNPAllowDialin FALSE NOaccess
 map-value msNPAllowDialin TRUE VPNaccess

 

sh run access-list inside_authentication:

access-list inside_authentication remark LDAP-Policy
access-list inside_authentication extended permit tcp Mobile_Clients 255.255.255.0 any 

 

Wobei ich nicht genau weiss, ob ich "aaa-server ldap-authorize" überhaupt noch brauche, ist noch ein Überbleibsel der ersten LDAP-Konfiguration...

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...