購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
2671
閲覧回数
0
いいね!
1
返信

AnyConnectでのLDAP認証の際のIPアドレスアサインについて

athirano1
Level 1
Level 1

‎2017-04-18 12:40 AM

こんにちは、ASA5515X+AnyConnectでエンドユーザーにVPNサービスを提供している者です。

ユーザー認証にWindows2008サーバによるLDAP認証を使用しています。
今までは、クライアントPCへのIPアドレス払い出しは、ASA内で設定したIPアドレスプールを使用していました。
今回、LDAPサーバーから、ユーザーIDごとの固定IPをアサインしたいと考えておりますが、うまくいきません。
どなたか、原因と対処の方法をお知らせいただけますでしょうか。

■設定内容・確認内容
例えば
「Chapter: Configuring an External Server for Security Appliance User Authorization 」
http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ref_extserver.html#wp1763972
→Configuring an External LDAP Server
  →Active Directory/LDAP VPN Remote Access Authorization Use Cases.
    →Enforcing Static IP Address Assignment for AnyConnect Tunnels
の項を参考にして、
Active Directoryに登録したユーザーのプロパティ→「ダイアル イン」タブで固定IPアドレスをセットしてみました。

しかし、認証時にLDAPサーバー(Windows2008で構成)が、、IPアドレス情報をASAに送信していないようです。
そのため、認証は成功するのですが、No IP address assignedとなり接続が失敗します。

debug ldap 255コマンドを投入して、ユーザー認証時の動作を確認しましたが、
クライアントのIPアドレス(アトリビュート名:msRADIUSFramedIPAddress)情報が見当たりません。

msRADIUSFramedIPAddressは、AuthenticationではなくAuthorizationのアトリビュートですが、
例えば、AuthorizationのアトリビュートをLDAPサーバーに要求するように、ASAに明示的に設定することは可能なのでしょうか。

------追記箇所-----------------------------------------------------

通常、Authorizationまで考える場合は、ADサーバによるユーザーグループ分けと、ASAのGroup-Policy割り当てを連携させて、確実に想定通りのGroup-PolicyでVPN接続させる、というシナリオが多いようです。

しかし、今回は固定IPの割り当てが目的です。そのため、
コマンドaaa-server protocol ldapコマンド→ldap-login-dnコマンドでCNやDCの指定はしますが、OUの設定はしていません。
ユーザーが正しいTunnel-group (group-policy)を選択するという前提です。
(ここまで書いていて気になってきたので、後でOUの指定をしたテストをしてみます。)

----------------------------------------------------------------------


■認証サーバについて

--NPSについて--
Radius認証の場合は、NPS(Network Policy Server)を有効化しますが、今回の環境では、使用していません。
試しに有効化してみたいのですが、エンドユーザーの本番サーバのため、試しに設定してみる、ということができません。

Radius認証を使う別案件(エンドユーザーが別で、ASAも認証サーバも全て別)では、ADサーバーからユーザーごとに固定IPアドレスを払い出す設定が問題なく動作しています。


--リモートアクセスの許可設定について--
ADユーザー→プロパティ→「ダイアルイン」タブには
Remote Access Permission (Dial-in or VPN) という項目があり          ←  英語表記の場合
  Allow access
  Deny access
  Control access through Remote Access Policy
から選択するようになっています。
 
デフォルト値は「Control access through Remote Access Policy」のようです。
これを「Allow access」や「Deny access」に変えてみたのですが、動作に差は出ませんでした。


■代替案
ASA内でローカルユーザーを作成し、ユーザーに対して所属Group Policy+固定のIPアドレスを設定する方法もありますが、これは避けたいと考えております。ユーザー数が50以上になる見通しで、管理が大変になりそうだからです。

セキュリティの観点から、「IPアドレスとユーザーIDを、1対1で対応させる」という要件は、何とか満たしたいと考えております。


■環境
  ハードウェア:  ASA5515X
  OS:  9.1.(6.11)
  ソフトウェア:  AnyConnect 3.1.13015
  ユーザー認証:LDAP認証(WIndows2008 R2サーバ)
 
■添付ファイル
  ・ADサーバ→各ユーザーIDの設定内容(シスコ社のコンフィギュレーションガイドからの抜粋)
  ・debug ldap 255 投入後の、ユーザー接続時の出力(エクセルファイルの1シート目)
  ・コンフィグのtunnel-group, group-policyの抜粋、LDAP周りの設定(エクセルファイルの2シート目)
 
  よろしくお願いします。

ファイルをプレビュー
256 KB
ファイルをプレビュー
155 KB
0 いいね!
1件の返信1

Akira Muranaka
Level 8
Level 8

‎2019-12-01 03:12 PM ‎2019-12-01 03:37 PM 更新

こんにちは。

 

海外シスココミュニティでは、参考にして頂いているドキュメントを利用し割当成功例もあるようです。 例えば、以下のディスカッションでは、ASAの設定ミス(msRADIUSFrameIPAddress と msRADIUSFramedIPAddressの入力間違い)や、AD側のタイプミスだったようです。もう少し ASAとADの設定を見直してみると如何でしょうか。

https://community.cisco.com/t5/vpn-and-anyconnect/asa-ldap-static-address-for-vpn-user/td-p/1705068

https://community.cisco.com/t5/vpn-and-anyconnect/assigning-static-addresses-with-a-dhcp-server-in-anyconnect-vpn/td-p/3574953

https://community.cisco.com/t5/vpn-and-anyconnect/assigning-static-addresses-with-a-dhcp-server-in-anyconnect-vpn/td-p/3574953

 

0 いいね!
Customers Also Viewed These Support Documents