キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください
New Member

AnyConnectでのLDAP認証の際のIPアドレスアサインについて

こんにちは、ASA5515X+AnyConnectでエンドユーザーにVPNサービスを提供している者です。

ユーザー認証にWindows2008サーバによるLDAP認証を使用しています。
今までは、クライアントPCへのIPアドレス払い出しは、ASA内で設定したIPアドレスプールを使用していました。
今回、LDAPサーバーから、ユーザーIDごとの固定IPをアサインしたいと考えておりますが、うまくいきません。
どなたか、原因と対処の方法をお知らせいただけますでしょうか。

■設定内容・確認内容
例えば
「Chapter: Configuring an External Server for Security Appliance User Authorization 」
http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ref_extserver.html#wp1763972
→Configuring an External LDAP Server
  →Active Directory/LDAP VPN Remote Access Authorization Use Cases.
    →Enforcing Static IP Address Assignment for AnyConnect Tunnels
の項を参考にして、
Active Directoryに登録したユーザーのプロパティ→「ダイアル イン」タブで固定IPアドレスをセットしてみました。

しかし、認証時にLDAPサーバー(Windows2008で構成)が、、IPアドレス情報をASAに送信していないようです。
そのため、認証は成功するのですが、No IP address assignedとなり接続が失敗します。

debug ldap 255コマンドを投入して、ユーザー認証時の動作を確認しましたが、
クライアントのIPアドレス(アトリビュート名:msRADIUSFramedIPAddress)情報が見当たりません。

msRADIUSFramedIPAddressは、AuthenticationではなくAuthorizationのアトリビュートですが、
例えば、AuthorizationのアトリビュートをLDAPサーバーに要求するように、ASAに明示的に設定することは可能なのでしょうか。

------追記箇所-----------------------------------------------------

通常、Authorizationまで考える場合は、ADサーバによるユーザーグループ分けと、ASAのGroup-Policy割り当てを連携させて、確実に想定通りのGroup-PolicyでVPN接続させる、というシナリオが多いようです。

しかし、今回は固定IPの割り当てが目的です。そのため、
コマンドaaa-server protocol ldapコマンド→ldap-login-dnコマンドでCNやDCの指定はしますが、OUの設定はしていません。
ユーザーが正しいTunnel-group (group-policy)を選択するという前提です。
(ここまで書いていて気になってきたので、後でOUの指定をしたテストをしてみます。)

----------------------------------------------------------------------


■認証サーバについて

--NPSについて--
Radius認証の場合は、NPS(Network Policy Server)を有効化しますが、今回の環境では、使用していません。
試しに有効化してみたいのですが、エンドユーザーの本番サーバのため、試しに設定してみる、ということができません。

Radius認証を使う別案件(エンドユーザーが別で、ASAも認証サーバも全て別)では、ADサーバーからユーザーごとに固定IPアドレスを払い出す設定が問題なく動作しています。


--リモートアクセスの許可設定について--
ADユーザー→プロパティ→「ダイアルイン」タブには
Remote Access Permission (Dial-in or VPN) という項目があり          ←  英語表記の場合
  Allow access
  Deny access
  Control access through Remote Access Policy
から選択するようになっています。
 
デフォルト値は「Control access through Remote Access Policy」のようです。
これを「Allow access」や「Deny access」に変えてみたのですが、動作に差は出ませんでした。


■代替案
ASA内でローカルユーザーを作成し、ユーザーに対して所属Group Policy+固定のIPアドレスを設定する方法もありますが、これは避けたいと考えております。ユーザー数が50以上になる見通しで、管理が大変になりそうだからです。

セキュリティの観点から、「IPアドレスとユーザーIDを、1対1で対応させる」という要件は、何とか満たしたいと考えております。


■環境
  ハードウェア:  ASA5515X
  OS:  9.1.(6.11)
  ソフトウェア:  AnyConnect 3.1.13015
  ユーザー認証:LDAP認証(WIndows2008 R2サーバ)
 
■添付ファイル
  ・ADサーバ→各ユーザーIDの設定内容(シスコ社のコンフィギュレーションガイドからの抜粋)
  ・debug ldap 255 投入後の、ユーザー接続時の出力(エクセルファイルの1シート目)
  ・コンフィグのtunnel-group, group-policyの抜粋、LDAP周りの設定(エクセルファイルの2シート目)
 
  よろしくお願いします。

  • 仮想プライベート ネットワーク (VPN)
1
閲覧回数
0
いいね!
0
返信