sujet Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD. dans Discussions de Sécurité

Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Tue, 07 Apr 2020 17:24:43 GMT

Nos experts

Dinesh Moudgil est un ingénieur du support technique High Touch (HTTS) avec l'équipe de sécurité de Cisco. Il travaille sur les technologies Cisco depuis plus de 6 ans, se concentrant sur les pare-feux Cisco Next Generation, les systèmes de prévention des intrusions, la gestion des identités et le contrôle d'accès (AAA) et les VPN. Il détient les certifications CCNP, CCDP et CCIE # 58881, ainsi que les certifications de plusieurs fournisseurs tels que ACE, PCNSE et VCP.

Pulkit Saxena travaille en tant qu'ingénieur de support technique High Touch (HTTS) dans le domaine de la sécurité avec Cisco avec près de 7 ans d'expérience dans l'industrie pour l'équipe. Il a une expérience pratique avec plusieurs pare-feux, différentes solutions VPN, AAA et IPS de nouvelle génération, ainsi que l'enseignement de plusieurs formations. Pulkit détient les certifications de divers fournisseurs, à savoir Cisco et Juniper (CCIE Security et JNCIA).

Jason Grudier est le leader technique de l'équipe VPN TAC à Raleigh, Caroline du Nord. Il travaille chez Cisco au sein de l'équipe VPN depuis six ans. Avant de rejoindre l'équipe, il était ingénieur réseau chez Labcorp. Il travaille principalement sur le dépannage et la configuration d'AnyConnect sur toutes les plateformes Cisco ainsi que les authentifications DMVPN, GETVPN, Radius, LDAP et certificats.

Gustavo Medina est Ingénieur Commercial Systèmes au sein de l'équipe de ventes des Réseaux d'Entreprise. Il a plus de 10 ans d'expérience dans la sécurité et les réseaux d'entreprise. Au cours de sa carrière, il s'est concentré sur différentes tâches, de l'escalade technique et l'adoption de partenaires à la révision des évaluations de Certification Cisco. Gustavo est titulaire d'un CCNA, CCNP CCSI et d'un CCIE en sécurité (# 51487).

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.

Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : AnyConnect, VPN, Adaptive Security Appliance ASA, Politique d'accès dynamique (Dynamic Access Policy), scan d'hôte (Host Scan), détection de réseau de confiance (Trusted Network Detection TND), sélection de passerelle optimale (Optimal Gateway Selection OGS), WFO, licenses et meilleures pratiques, entre autres.

Posez vos questions du 6 au 17 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de Anyconnect Remote Access VPN sur ASA et FTD.

christianbabin98030 — Mon, 06 Apr 2020 21:22:42 GMT

mon module ne fonctionne pas model cisco sp112

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Wed, 08 Apr 2020 18:02:54 GMT

Salut,

Pourriez-vous s'il vous plaît confirmer la méthode que nous devons utiliser pour générer le csr et le télécharger sur le pare-feu FTD pour l'authentification des utilisateurs AnyConnect.
Objects > PKI > Cert Enrollment ou en utilisant Open SSL?

Merci
Basavaraj

* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Pulkit Saxena — Wed, 08 Apr 2020 18:16:29 GMT

Salut Basavaraj,

Je crois que vous recherchez une authentification de serveur qui est obligatoire selon la négociation SSL, donc quand un utilisateur AnyConnect se connecte, FTD doit présenter son certificat que le client final vérifiera par rapport à sa liste de CA de confiance.

Voici un lien qui peut vous aider avec la configuration :

https://www.cisco.com/c/en/us/support/docs/network-management/remote-access/212424-anyconnect-remote-access-vpn-configurati.html

Pour répondre à votre question, nous pouvons opter pour n'importe quelle méthode, en générant CSR sur FTD, ou en utilisant Open SSL, pour la seconde option, nous pouvons importer le PKCS12 complet une fois prêt.

Maintenant, au cas où vous recherchez une authentification utilisateur à l'aide d'un certificat, FTD n'a besoin que d'un certificat CA dans sa base de données, pas du certificat utilisateur.

J'espère que cela vous a aidé.
Pulkit

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Wed, 08 Apr 2020 18:20:54 GMT

Salut Pulkit,

Dans mon cas, je recherche l'authentification par certificat pour les utilisateurs du domaine, toute personne se connectant à partir d'appareils personnels ne devrait pas avoir accès au VPN. Seules les machines d'entreprise devraient pouvoir se connecter au VPN.

Si je viens d'importer le certificat CA ROOT de mon serveur CA interne dans mon FTD, quel certificat dois-je installer côté client ?

Existe-t-il un modèle de certificat spécifique que nous devons utiliser lors de la création d'un certificat pour les utilisateurs ?

Merci
Basavaraj

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Pulkit Saxena — Wed, 08 Apr 2020 18:24:42 GMT

Salut Basavaraj,

Donc, la question ici est d'avoir également une authentification client à l'aide de certificats, pour lesquels vous avez raison. Vous avez juste besoin d'avoir le certificat racine CA root des clients sur FTD.

Les clients doivent fournir leur certificat d'identification au FTD lors de la négociation SSL, et FTD devrait avoir le certificat CA dans le même cas.

Pulkit

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Wed, 08 Apr 2020 18:54:22 GMT

Salut Dinesh, Pulkit, Jason et Gustavo,

Merci d'avoir organisé cette session de questions / réponses, je vais énumérer quelques questions qui me viennent à l'esprit en ce moment.

1) Pouvez-vous décrire le processus d'intégration du profil de posture ISE dans FTD ? Je connais ASA mais je n'ai pas encore essayé avec FTD (géré via FMC).

2) Quels sont les avantages et les inconvénients de l'activation de "sysopt connection permit-vpn" dans FTD ? Quelle est la meilleure pratique recommandée dans les deux cas ? (Je comprends que sans "sysopt connection permit-vpn" tout accès doit être réglementé via l'ACP).

3) CoA est-il pris en charge avec FTD autant qu'avec ASA ? Question particulièrement pertinente avec la posture ISE ...

4) Existe-t-il un éditeur de profil AnyConnect intégré dans FMC ? Dans le cas contraire, quelle est la préférence ? Éditeurs autonomes AnyConnect ou éditeur de profil ISE ?

5) Pouvez-vous fournir un exemple pour automatiser une configuration push pour les FTD gérés via FMC ? Actuellement, nous avons quelques scripts en ASA avec des paramètres et nous standardisons nos configurations mais en FTD, comme il n'y a pas d'option pour accéder à la CLI en plus des exceptions Flexconfig, je suppose que l'utilisation d'appels d'objets API sera nécessaire, je voudrais juste avoir un exemple de départ pour le démarrage.

6) (Il s'agit plus d'une question FTD / FMC générique) Afin de dépanner rapidement l'accès dans ASA, nous utilisons ASDM qui nous donne un aperçu rapide du trafic en cours de traitement. Dans FMC, je sais que les événements de connexion ne peuvent pas offrir le même niveau d'informations pour certaines raisons: l'une est le retard dans les événements de connexion et la charge sur FMC avec plusieurs ingénieurs de dépannage, également les événements de connexion sortent du backend de traitement snort, et si je ne me trompe pas, donc l'interface ACL refuse de passer par Syslog et donc les événements de connexion peuvent ne pas fournir ce niveau d'informations requis : Quelle est la meilleure pratique pour analyser rapidement les logs d'accès pour les règles ACP entre les suppressions d'interface ACL et les suppressions DPI ?

Merci à tous, vraiment.
PD: Pour ne pas vous confondre, vous pouvez m'envoyer la réponse avec le numéro de la question.

* Voici la traduction d'un message créé à l'origine par giovanni.augusto en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Dinesh Moudgil — Wed, 08 Apr 2020 19:28:18 GMT

Salut Giovanni,

Voici les réponses à vos questions :

1) Voici un document que vous pouvez consulter pour comprendre les étapes de flux et de configuration requises pour la posture ISE sur FTD.

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html

2) L'option de sélection de la politique de contournement du contrôle d'accès pour le trafic déchiffré serait recommandée lorsque nous ne voulons pas inspecter le trafic VPN via la politique de contrôle d'accès. Ainsi, le trafic sera simplement acheminé vers la destination sans aucune inspection approfondie du FTD. Pour que cette fonctionnalité soit activée ou non, cela dépend de vos exigences de sécurité et du niveau de confiance que vous avez sur les utilisateurs VPN d'accès à distance. Si vous ne faites pas confiance au trafic initié par les utilisateurs VPN d'accès à distance, il est conseillé d'appliquer une inspection approfondie sur le trafic généré par eux.

Pour enregistrement, cette commande est désactivée par défaut sur FTD et activée par défaut sur l'ASA.
Veuillez noter que l'ACL du filtre VPN et l'ACL d'autorisation téléchargés à partir du serveur AAA sont toujours appliqués au trafic VPN.

Dans le cas d'avoir "Bypass Access Control policy for decrypted traffic (sysopt permit-vpn)" décoché, c'est pour si vous voulez autoriser le retournement du trafic utilisateur AnyConnect et pouvoir accéder à Internet via FTD ou peut-être accéder aux ressources internes. Cette fonctionnalité étant désactivée, les vérifications ACP seront effectuées et vous pouvez tirer parti de fonctionnalités telles que le filtrage d'URLs pour restreindre le trafic initié par l'utilisateur AnyConnect.

3) Oui, RADIUS CoA est en effet pris en charge sur FTD à partir de la version 6.3.0 et entièrement pris en charge avec les versions plus récentes.

4) Vous pouvez créer un profil client AnyConnect à l'aide de l'éditeur de profil AnyConnect. Cet éditeur est un outil de configuration basé sur une interface graphique qui est disponible dans le cadre du package logiciel AnyConnect. Il s'agit d'un programme indépendant que vous exécutez en dehors du Firepower Management Center.

Pour plus d'informations sur AnyConnect Profile Editor, veuillez consulter :

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect48/administration/guide/b_AnyConnect_Administrator_Guide_4-8/anyconnect-profile-editor.html

5) Vous pouvez tirer parti de l'explorateur d'API car il fournit une interface limitée pour l'API REST et donne une vue des capacités de l'API REST.

https://<management_center_IP_or_name>:<https_port>/api/api-explorer

Réf :

https://www.cisco.com/c/en/us/td/docs/security/firepower/623/api/REST/Firepower_Management_Center_REST_API_Quick_Start_Guide_623/About_the_API_Explorer.html#concept_oq2_fg1_ccb

Voici quelques liens pour vous familiariser avec la programmation firepower à l'aide des API FMC

Voici quelques liens non Cisco qui pourraient être utiles :

6) Le TAC utilise principalement CLI avec GUI FMC pour résoudre les problèmes liés aux règles ACP. Vous pouvez soit utiliser l'option de capture de paquets à LINA CLI, similaire à ce qui est utilisé sur un ASA traditionnel - ou bien - vous pouvez utiliser "system support firewall-engine-debug" sous FTD Clish pour confirmer si le flux de trafic est évalué par rapport à la règle de contrôle d'accès appropriée.

Voici un document comme référence :

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html#anc13

Cordialement,
Dinesh Moudgil

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Wed, 08 Apr 2020 19:32:07 GMT

Comment peut-on s'assurer que la menace de l'ordinateur d'un utilisateur n'affecte pas le serveur, lorsque l'ordinateur de l'utilisateur utilise VPN ?

Merci.

* Voici la traduction d'un message créé à l'origine par Yanli Sun en chinois. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Pulkit Saxena — Wed, 08 Apr 2020 19:41:29 GMT

Salut Yanli,

Nous pouvons effectuer des vérifications avant la connexion pour nous assurer que la machine client est approuvée et peut être autorisée à se connecter.

Les options possibles sont la posture, DAP, CSD hostscan. Consultez les liens utiles ci-dessous :

Une fois que l'utilisateur est connecté sur la base des vérifications ci-dessus et qu'il est conforme, nous pensons idéalement qu'il s'agit d'un utilisateur de confiance. De plus, nous ne pouvons autoriser que le trafic pertinent vers ASA ou tout le trafic tunnellisé en utilisant l'option de tunnel divisé :

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100936-asa8x-split-tunnel-anyconnect-config.html

En dehors de cela, si un utilisateur envoie une quantité excessive de trafic ou a des connexions incomplètes une fois connecté, cela aura un dépannage spécifique en fonction du problème. Cependant, d'après votre préoccupation principale, elle peut être prise en charge par les vérifications de pré-connexion que j'ai mentionnées ci-dessus.

Pulkit

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Gustavo Medina — Wed, 08 Apr 2020 19:54:46 GMT

Salut Yanli,

En plus de ce que Pulkit a déjà mentionné, certaines entreprises utilisent Always-On, ce qui empêche l'accès aux ressources Internet lorsque l'ordinateur n'est pas sur un réseau de confiance, sauf si une session VPN est active. En faisant en sorte que le VPN soit toujours activé dans cette situation, vous protégez l'ordinateur contre les menaces de sécurité.

Pour les entreprises qui n'appliquent pas Always-On, outre les contrôles de posture déjà mentionnés + 2FA comme DUO (pour garantir que seules les personnes autorisées utilisent le VPN), nous devons ajouter une protection supplémentaire aux utilisateurs distants, car les acteurs de la menace profitent de l'augmentation des travailleurs à distance non protégés pour lancer différentes ciblages. Vous pouvez lire notre blog TALOS pour en savoir plus:

https://blog.talosintelligence.com/2020/03/covid-19-pandemic-threats.html

Avec Cisco Umbrella, vous pouvez protéger les utilisateurs contre les destinations Internet malveillantes même lorsqu'ils ne sont pas connectés à VPN au niveau de la couche DNS. parce qu'il est livré à partir du cloud. Umbrella facilite la protection des utilisateurs partout en quelques minutes.

En plus, nous avons la dernière ligne de défense qui est Cisco Advanced Malware Protection (AMP) pour les Endpoints. Cette technologie empêche les violations et bloque les logiciels malveillants au point d'entrée ainsi que détecte, contient et corrige les menaces avancées si elles échappent à la première ligne de défense.

Cordialement,
Gustavo

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Wed, 08 Apr 2020 20:08:07 GMT

Je veux demander comment autoriser les utilisateurs à communiquer vocalement via Skype Entreprise ou Cisco Jabber AnyConnect Remote Access VPN sur ASA, et si les commandes ci-dessous peuvent être exécutées en toute sécurité. Aussi comment faire surveiller ces communications internes depuis notre solution SIEM.

Entrez la commande "same-security-traffic" afin de faire le FW comme HUB. Ensuite, vous devrez configurer une règle Nat pour le NAT (outside, outside) pour que les espaces d'adressage du pool puissent se rejoindre l'un l'autre.

ciscoasa(config)#same-security-traffic permit intra-interface

Veuillez noter que cette commande permet au trafic d'entrer et de sortir de la même interface, qui est désactivée par défaut pour des raisons de sécurité...

nat(outside,outside) source static “address pool obj” “address pool obj” dest static “address pool obj” “address pool obj” no-proxy-arp – route-lookup

et placée en haut de vos règles Nat.

* Voici la traduction d'un message créé à l'origine par ahmedmohsen56 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

jgrudier — Wed, 08 Apr 2020 22:09:42 GMT

Bonjour ahmedmohsen56,

C'est le seul moyen de configurer l'épinglage sur l'ASA pour permettre aux clients AnyConnect de parler à d'autres clients AnyConnect. Je ne considérerais pas cela comme une grande menace pour la sécurité, mais tout dépend des besoins de votre entreprise, et vous seul pourrez prendre la meilleure décision.

Par rapport à la référence du command :

https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html

La commande "same-security-traffic intra-interface" permet au trafic d'entrer et de sortir de la même interface, ce qui n'est pas normalement autorisé. Cette fonctionnalité peut être utile pour le trafic VPN qui entre dans une interface, mais qui est ensuite acheminé en dehors de la même interface. Le trafic VPN peut être non chiffré dans ce cas, ou il peut être rechiffré pour une autre connexion VPN. Par exemple, si vous avez un VPN concentrateur et un réseau à rayons, où l'ASA est le concentrateur, et que les réseaux VPN distants sont des rayons, pour qu'un rayon communique avec un autre rayon, le trafic doit entrer dans l'ASA puis repartir vers l'autre rayon.

Remarque : Tout le trafic autorisé par la commande same-security-traffic intra-interface est toujours soumis aux règles de pare-feu. Faites attention de ne pas créer une situation de routage asymétrique qui puisse empêcher le "trafic de retour" de traverser l'ASA.

Qu'est-ce que vous essayez de surveiller via la solution SIEM ?

Merci.

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Wed, 08 Apr 2020 22:20:30 GMT

Bonjour,

J'ai configuré le VPN distant avec des domaines sur le FTD via FMC. Lorsque j'essaie de me connecter avec AnyConnect, j'obtiens l'erreur "Erreur de connexion" (Login error).

Ci-dessous est la sortie de débogage de ldap 255 et webvpn anyconnect 127 :

ldap_client_server_add: Add server:0.0.0.0, group=4
ldap_client_server_unlock: Free server:0.0.0.0, group=4

[12] Session Start
[12] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[12] Fiber started
[12] Failed to convert ip address 0.0.0.0
[12] Fiber exit Tx=0 bytes Rx=0 bytes, status=-3
[12] Session End

Merci de votre aide !

* Voici la traduction d'un message créé à l'origine par Uzhegov Evgenii en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

jgrudier — Wed, 08 Apr 2020 22:19:35 GMT

Bonjour Uzhegov,

Lorsque vous avez configuré votre domaine, avez-vous utilisé un FQDN ou une adresse IP ?

Voir ci-dessous :

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Wed, 08 Apr 2020 22:24:20 GMT

Bonjour jgrudier,

Merci pour votre réponse.

J'utilise des LDAP. Si je ne me trompe pas, je ne peux configurer que le nom de domaine complet avec LDAP.

Meilleures salutations.

* Voici la traduction d'un message créé à l'origine par Uzhegov Evgenii en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

jgrudier — Wed, 08 Apr 2020 22:27:14 GMT

C'est exact.

Je pense qu'il pourrait y avoir un problème avec le DNS qui n'est pas configuré correctement sur le FTD.

Avez-vous configuré le DNS ?

Voir ci-dessous :

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Wed, 08 Apr 2020 22:29:34 GMT

Merci, c'était mon erreur. Mais maintenant j'ai une nouvelle erreur :

[19] Session Start
[19] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[19] Fiber started
[19] Creating LDAP context with uri=ldaps://172.25.YY.XX:636
[19] Connect to LDAP server: ldaps://172.25.YY.XX:636, status = Failed
[19] Unable to read rootDSE. Can't contact LDAP server.
[19] Fiber exit Tx=0 bytes Rx=0 bytes, status=-2
[19] Session End
ldap_client_server_add: Add server:172.25.YY.XX, group=4
ldap_client_server_unlock: Free server:172.25.YY.XX, group=4

#telnet 172.25.YY.XX 636
Trying172.25.YY.XX...
Connected to172.25.YY.XX.
Escape character is '^]'.

* Voici la traduction d'un message créé à l'origine par Uzhegov Evgenii en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Wed, 08 Apr 2020 22:30:53 GMT

Oui je l'ai fait.

* Voici la traduction d'un message créé à l'origine par Uzhegov Evgenii en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Re: Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Modérateur Cisco — Wed, 08 Apr 2020 22:33:01 GMT

C'est la sortie de la configuration de débogage et ldaps :

[27] Session Start
[27] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[27] Fiber started
[27] Creating LDAP context with uri=ldaps://172.25.XX.YY:636
[27] Connect to LDAP server: ldaps://172.25.XX.YY:636, status = Failed
[27] Unable to read rootDSE. Can't contact LDAP server.
[27] Fiber exit Tx=0 bytes Rx=0 bytes, status=-2
[27] Session End
ldap_client_server_add: Add server:172.25.XX.YY, group=4
ldap_client_server_unlock: Free server:172.25.XX.YY, group=4

telnet 172.25.XX.YY 636
Trying 172.25.XX.YY...
Connected to 172.25.XX.YY.
Escape character is '^]'.
^C

aaa-server srv protocol ldap
max-failed-attempts 4
realm-id 3
aaa-server srv-dc host srv-dc
server-port 636
ldap-base-dn DC=name,DC=local
ldap-group-base-dn DC=name,DC=local
ldap-scope subtree
ldap-naming-attribute samaccountname
ldap-login-password *****
ldap-login-dn user@name.local
ldap-over-ssl enable
server-type microsoft

* Voici la traduction d'un message créé à l'origine par Uzhegov Evgenii en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.