cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión

VPN con autenticacion Active Directory

Buenas tardes.

 

amigos con comun estaba solicitando de su ayuda ya que implemente una VPN de acceso remoto por medio de unos ASA 5510, logre que se autenticaran pero el cliente solicita que solo un grupo de personas se queda registrar porque se realizaron las pruebas y todos los usuarios del AD se pueden registrar. Alguien ha realizado este tipo de configuracion.

 

Gracias

1 RESPUESTA
Bronze

Buenas, Hay varias opciones

Buenas,

 

Hay varias opciones para hacer que un grupo determinado de usuarios puedan conectar, pero eso depende del tipo de protocolo de autenticación que estés usando. Si estas usando LDAP podrías crear un grupo en el AD server específico para los clientes de VPN, y a cada cliente lo haces miembro de ese grupo. En el ASA tenemos la opción de configurar LDAP attribute mapping, lo que significa que usuarios van a ser mapeados a un group-policy especifico basado en el atributo memberOf. Por ejemplo si un usuario pertenece a “X” grupo déjelo conectar sino la conexión va a ser denegada. 

Con RADIUS también puede utilizar el atributo 25 para asignar group policies específicos para ciertos usuarios o grupos. Aquí va a encontrar ejemplos de la configuración:

 

Para LDAP:

Como comentamos anteriormente el attribute-map nos va a permitir el acceso al grupo específico de usuarios que queremos permitir que conecten. Por ejemplo quiero que cada usuario que es parte del grupo "vpngroup"  tenga acceso remoto:
 
1- Primero necesitamos encontrar el camino de ese grupo.  En el servidor lo podemos encontrar haciendo un dsquery para ese grupo:
 
C:\Documents and Settings\admin>dsquery group -samid vpngroup
"CN=vpngroup,CN=Users,DC=vpn,DC=com"
 

2- Una vez que tengamos el dsquery, vamos a utilizar esa información para el LDAP attribute map, el group policy que vamos a asignar a los usuarios en este ejemplo va a ser CISCO:


ldap attribute-map mymap
  map-name  memberOf IETF-Radius-Class
  map-value memberOf CN= vpngroup,CN=Users,DC=vpn,DC=com CISCO  <<group policy
 

3- En este group policy tenemos que especificar todos los parámetros para los usuarios que van a conectar, en este caso yo solo voy a especificar el más importante para efectos del ejemplo:


group-policy CISCO internal
group-policy CISCO attributes
  vpn-simultaneous-logins 3

 

4- Después tenemos que crear el group-policy que va a denegar la conexión en el caso que el usuario no sea miembro del grupo VPN del LDAP server:

group-policy NO_ACCESO internal
group-policy NO_ACCESO attributes
  vpn-simultaneous-logins 0

 

“Una nota importante es que tenemos que asegurarnos de mantener los vpn-simultaneous logins 3 en el group policy que vamos a asignar a los usuarios miembros del grupo VPN (CISCO). De lo contrario ese valor va ser tomado del default group policy asignado al tunnel group al que vamos a conectar, el cual va ser el group-policy que va a denegar el acceso basado en vpn-simulteneos logins 0 (NO_ACCESO)”


 6- Despues tenemos que aplicar el attribute mapping configurado anteriormente dentro de la configuracion de LDAP:


aaa-server LDAPSERVER protocol ldap
aaa-server LDAPSERVER (outside) host 2.2.2.2
 ldap-base-dn DC=vpn,DC=com
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password letmein
 ldap-login-dn CN=ASALDAP,CN=Users,DC=VPN,DC=com
 server-type microsoft
 ldap-attribute-map mymap
 


5- Una vez que tenemos todo configurado debemos aplicar el group policy NO_ACCESO en el tunnel-group que estamos conectando:


tunnel-group VPN type remote-access
tunnel-group VPN general-attributes
 authentication-server-group LDAPSERVER
 default-group-policy NO_ACCESO

 

En resumen con la configuración aplicada los usuarios que sean miembros del grupo VPN del LDAP server van a usar el group policy CISCO, si el usuario no es miembro de ese grupo va a obtener el default group policy aplicado en el tunnel-group (NO_ACCESO), el cual tiene configurado simultaneos logins 0, lo que va a causar que la conexión sea denegada. 

 

Link de referencia:

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98634-asa-ldap-group-pol.html

 

Para RADIUS la mayoría de la configuración va ser en el servidor, en el ASA solo tenemos que especificar el servidor de autenticación y configurar los group-policies que vamos a asignar a los usuarios. Aquí me encontré un link que le puede ayudar en el Windows server, también hay un ejemplo para Cisco ACS que le puede servir de referencia:

Windows:

https://supportforums.cisco.com/document/144061/steps-configure-group-lock-vpn-users-microsoft-radius-server#

 

ACS:

http://www.cisco.com/c/en/us/support/docs/security/secure-access-control-server-windows/98608-radius-assign-group-policy.html

 

Espero que esto le ayude,

 

Luis. 

1237
Visitas
0
ÚTIL
1
Respuestas