03-14-2014 03:08 PM - editado 03-21-2019 06:15 PM
Buenas tardes.
amigos con comun estaba solicitando de su ayuda ya que implemente una VPN de acceso remoto por medio de unos ASA 5510, logre que se autenticaran pero el cliente solicita que solo un grupo de personas se queda registrar porque se realizaron las pruebas y todos los usuarios del AD se pueden registrar. Alguien ha realizado este tipo de configuracion.
Gracias
el 03-18-2014 10:57 AM
Buenas,
Hay varias opciones para hacer que un grupo determinado de usuarios puedan conectar, pero eso depende del tipo de protocolo de autenticación que estés usando. Si estas usando LDAP podrías crear un grupo en el AD server específico para los clientes de VPN, y a cada cliente lo haces miembro de ese grupo. En el ASA tenemos la opción de configurar LDAP attribute mapping, lo que significa que usuarios van a ser mapeados a un group-policy especifico basado en el atributo memberOf. Por ejemplo si un usuario pertenece a “X” grupo déjelo conectar sino la conexión va a ser denegada.
Con RADIUS también puede utilizar el atributo 25 para asignar group policies específicos para ciertos usuarios o grupos. Aquí va a encontrar ejemplos de la configuración:
Para LDAP:
Como comentamos anteriormente el attribute-map nos va a permitir el acceso al grupo específico de usuarios que queremos permitir que conecten. Por ejemplo quiero que cada usuario que es parte del grupo "vpngroup" tenga acceso remoto:
1- Primero necesitamos encontrar el camino de ese grupo. En el servidor lo podemos encontrar haciendo un dsquery para ese grupo:
C:\Documents and Settings\admin>dsquery group -samid vpngroup
"CN=vpngroup,CN=Users,DC=vpn,DC=com"
2- Una vez que tengamos el dsquery, vamos a utilizar esa información para el LDAP attribute map, el group policy que vamos a asignar a los usuarios en este ejemplo va a ser CISCO:
ldap attribute-map mymap
map-name memberOf IETF-Radius-Class
map-value memberOf CN= vpngroup,CN=Users,DC=vpn,DC=com CISCO <<group policy
3- En este group policy tenemos que especificar todos los parámetros para los usuarios que van a conectar, en este caso yo solo voy a especificar el más importante para efectos del ejemplo:
group-policy CISCO internal
group-policy CISCO attributes
vpn-simultaneous-logins 3
4- Después tenemos que crear el group-policy que va a denegar la conexión en el caso que el usuario no sea miembro del grupo VPN del LDAP server:
group-policy NO_ACCESO internal
group-policy NO_ACCESO attributes
vpn-simultaneous-logins 0
“Una nota importante es que tenemos que asegurarnos de mantener los vpn-simultaneous logins 3 en el group policy que vamos a asignar a los usuarios miembros del grupo VPN (CISCO). De lo contrario ese valor va ser tomado del default group policy asignado al tunnel group al que vamos a conectar, el cual va ser el group-policy que va a denegar el acceso basado en vpn-simulteneos logins 0 (NO_ACCESO)”
6- Despues tenemos que aplicar el attribute mapping configurado anteriormente dentro de la configuracion de LDAP:
aaa-server LDAPSERVER protocol ldap
aaa-server LDAPSERVER (outside) host 2.2.2.2
ldap-base-dn DC=vpn,DC=com
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password letmein
ldap-login-dn CN=ASALDAP,CN=Users,DC=VPN,DC=com
server-type microsoft
ldap-attribute-map mymap
5- Una vez que tenemos todo configurado debemos aplicar el group policy NO_ACCESO en el tunnel-group que estamos conectando:
tunnel-group VPN type remote-access
tunnel-group VPN general-attributes
authentication-server-group LDAPSERVER
default-group-policy NO_ACCESO
En resumen con la configuración aplicada los usuarios que sean miembros del grupo VPN del LDAP server van a usar el group policy CISCO, si el usuario no es miembro de ese grupo va a obtener el default group policy aplicado en el tunnel-group (NO_ACCESO), el cual tiene configurado simultaneos logins 0, lo que va a causar que la conexión sea denegada.
Link de referencia:
Para RADIUS la mayoría de la configuración va ser en el servidor, en el ASA solo tenemos que especificar el servidor de autenticación y configurar los group-policies que vamos a asignar a los usuarios. Aquí me encontré un link que le puede ayudar en el Windows server, también hay un ejemplo para Cisco ACS que le puede servir de referencia:
Windows:
ACS:
Espero que esto le ayude,
Luis.
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad