Configurez le mappage de LDAP d'AnyConnect sur la défense contre des menaces de FirePOWER (FTD) Contenu Introduction Conditions préalables Conditions requises Composants utilisés Configurer Configuration sur le FTD Vérifier Dépanner Introduction Ce document fournit un exemple de configuration de Protocole LDAP (Lightweight Directory Access Protocol) traçant pour des utilisateurs d'AnyConnect sur la défense contre des menaces de FirePOWER (FTD) utilisant une stratégie de FlexConfig du centre de Gestion de FirePOWER (FMC). Cette configuration est utilisée pour permettre les utilisateurs spécifiques qui appartiennent à un groupe de Répertoire actif (AD) pour établir une connexion du réseau privé virtuel (VPN). Les utilisateurs de différents groupes d'AD non définis sur la carte ne pourront pas se connecter au même profil. Conditions préalables Exigences Cisco recommande que vous ayez la connaissance sur ces thèmes : Configuration de domaine d'AD sur FMC ● Répertoire actif de Windows ● Configuration d'AnyConnect (SSLVPN) sur FMC ● Connaissance de base des objets de FlexConfig sur FMC ● Composants utilisés Versions 6.2.3 et 6.5.0 du centre de gestionnaire de FirePOWER (FMC) ● Versions 6.2.3 et 6.5.0 de la défense contre des menaces de FirePOWER (FTD) ● Windows Server avec le Répertoire actif ● Configurer
13
Embed
Configurez le mappage de LDAP d'AnyConnect sur la défense ...€¦ · Configuration de domaine d'AD sur FMC Répertoire actif de Windows Configuration d'AnyConnect (SSLVPN) sur FMC
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Configurez le mappage de LDAP d'AnyConnectsur la défense contre des menaces deFirePOWER (FTD) Contenu
IntroductionConditions préalablesConditions requisesComposants utilisésConfigurerConfiguration sur le FTDVérifierDépanner
Introduction
Ce document fournit un exemple de configuration de Protocole LDAP (Lightweight DirectoryAccess Protocol) traçant pour des utilisateurs d'AnyConnect sur la défense contre des menacesde FirePOWER (FTD) utilisant une stratégie de FlexConfig du centre de Gestion de FirePOWER(FMC). Cette configuration est utilisée pour permettre les utilisateurs spécifiques qui appartiennentà un groupe de Répertoire actif (AD) pour établir une connexion du réseau privé virtuel (VPN). Lesutilisateurs de différents groupes d'AD non définis sur la carte ne pourront pas se connecter aumême profil.
Conditions préalables
Exigences
Cisco recommande que vous ayez la connaissance sur ces thèmes :
Configuration de domaine d'AD sur FMC●
Répertoire actif de Windows ●
Configuration d'AnyConnect (SSLVPN) sur FMC●
Connaissance de base des objets de FlexConfig sur FMC●
Composants utilisés
Versions 6.2.3 et 6.5.0 du centre de gestionnaire de FirePOWER (FMC)●
Versions 6.2.3 et 6.5.0 de la défense contre des menaces de FirePOWER (FTD)●
Windows Server avec le Répertoire actif●
Configurer
Configuration sur le FTD
Dans cet exemple, les utilisateurs qui appartiennent à l'utilisation de l'AD Group1 tunnel-touteconfiguration et les utilisateurs qui appartiennent à l'AD Group2 ont limité l'accès aux hôtesspécifiques. Tous autres utilisateurs qui n'appartiennent pas à ces groupes ne peuvent pas êtreauthentifiés.
Étape 1. Configurez AnyConnect utilisant l'authentification LDAP et déployez les modifications. Unexemple peut être trouvé de ce guide.
Étape 2. Naviguez vers des périphériques > l'Accès à distance > éditent la stratégie d'AnyConnect> a avancé > des stratégies de groupe.
Étape 3. Créez 3 stratégies de groupe différentes :
Group1 avec la définition de configuration de Segmentation de tunnel pour laisser toustrafiquent au-dessus du tunnel.
●
Group2 avec la définition de configuration de Segmentation de tunnel à séparer.●
Groupe NOACCESS pour les utilisateurs qui n'appartiennent pas aux groupes précédentsl'uns des. La procédure de connexion simultanée de champ par utilisateur doit être placée à0.
●
Étape 4. Assignez la stratégie de groupe NOACCESS au profil de connexion.
Étape 5. Naviguez pour objecter > t> FlexConfig de Managemen d'objet > objet de FlexConfig >ajoutent l'objet de FlexConfig.
Étape 6. Ajoutez les valeurs nécessaires de memberOf requises pour la configuration d'attribut-MAP de LDAP. Pour obtenir le DN de groupe du serveur vous pouvez utiliser la commande« samid de dsquery - groupez le <group-name> ».
Le déploiement doit être placé aussi une fois et type qu'ajoutent au début.
Conseil : Les noms et les valeurs d'attribut distinguent les majuscules et minuscules. Si lemappage ne se produit pas correctement, soyez certain que l'orthographe et la capitalisationcorrectes a été utilisée dans la carte d'attribut de LDAP des valeurs pour boththe Cisco etd'attribut de LDAP des noms et.
Étape 7. Créez un autre objet de FlexConfig nommé AAAserverLDAPmapping. Cet objet reliel'attribut-MAP à la configuration d'AAA-serveur.
Les valeurs de déploiement doivent être placées aussi chaque fois et tapent que s'ajoutent.
Étape 8. Naviguez vers des périphériques > FlexConfig > éditent FlexConfig en cours. Assurez-vous que la commande des objets de FlexConfig dans la stratégie de FlexConfig est premièrel'objet de FlexConfig de carte d'attribut de LDAP suivi de l'objet d'AAA-serveur.
Étape 9. Déployez la configuration vers le périphérique pour envoyer cette configuration aupériphérique géré.
Afin d'ajouter une entrée supplémentaire sur la carte de LDAP, modifiez l'objet existant deFlexConfig LDAPAtributeMAP pour inclure SEULEMENT la nouvelle MAP-valeur.
Vérifiez
Connectez au FTD CLISH et émettez ces commandes de s'assurer que les utilisateurs sur lesgroupes définis peuvent se connecter.
> show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco1 Index : 25
Assigned IP : 10.10.10.1 Public IP : 192.168.109.80