2017-04-18 12:40 AM
こんにちは、ASA5515X+AnyConnectでエンドユーザーにVPNサービスを提供している者です。
ユーザー認証にWindows2008サーバによるLDAP認証を使用しています。
今までは、クライアントPCへのIPアドレス払い出しは、ASA内で設定したIPアドレスプールを使用していました。
今回、LDAPサーバーから、ユーザーIDごとの固定IPをアサインしたいと考えておりますが、うまくいきません。
どなたか、原因と対処の方法をお知らせいただけますでしょうか。
■設定内容・確認内容
例えば
「Chapter: Configuring an External Server for Security Appliance User Authorization 」
http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ref_extserver.html#wp1763972
→Configuring an External LDAP Server
→Active Directory/LDAP VPN Remote Access Authorization Use Cases.
→Enforcing Static IP Address Assignment for AnyConnect Tunnels
の項を参考にして、
Active Directoryに登録したユーザーのプロパティ→「ダイアル イン」タブで固定IPアドレスをセットしてみました。
しかし、認証時にLDAPサーバー(Windows2008で構成)が、、IPアドレス情報をASAに送信していないようです。
そのため、認証は成功するのですが、No IP address assignedとなり接続が失敗します。
debug ldap 255コマンドを投入して、ユーザー認証時の動作を確認しましたが、
クライアントのIPアドレス(アトリビュート名:msRADIUSFramedIPAddress)情報が見当たりません。
msRADIUSFramedIPAddressは、AuthenticationではなくAuthorizationのアトリビュートですが、
例えば、AuthorizationのアトリビュートをLDAPサーバーに要求するように、ASAに明示的に設定することは可能なのでしょうか。
------追記箇所-----------------------------------------------------
通常、Authorizationまで考える場合は、ADサーバによるユーザーグループ分けと、ASAのGroup-Policy割り当てを連携させて、確実に想定通りのGroup-PolicyでVPN接続させる、というシナリオが多いようです。
しかし、今回は固定IPの割り当てが目的です。そのため、
コマンドaaa-server protocol ldapコマンド→ldap-login-dnコマンドでCNやDCの指定はしますが、OUの設定はしていません。
ユーザーが正しいTunnel-group (group-policy)を選択するという前提です。
(ここまで書いていて気になってきたので、後でOUの指定をしたテストをしてみます。)
----------------------------------------------------------------------
■認証サーバについて
--NPSについて--
Radius認証の場合は、NPS(Network Policy Server)を有効化しますが、今回の環境では、使用していません。
試しに有効化してみたいのですが、エンドユーザーの本番サーバのため、試しに設定してみる、ということができません。
Radius認証を使う別案件(エンドユーザーが別で、ASAも認証サーバも全て別)では、ADサーバーからユーザーごとに固定IPアドレスを払い出す設定が問題なく動作しています。
--リモートアクセスの許可設定について--
ADユーザー→プロパティ→「ダイアルイン」タブには
Remote Access Permission (Dial-in or VPN) という項目があり ← 英語表記の場合
Allow access
Deny access
Control access through Remote Access Policy
から選択するようになっています。
デフォルト値は「Control access through Remote Access Policy」のようです。
これを「Allow access」や「Deny access」に変えてみたのですが、動作に差は出ませんでした。
■代替案
ASA内でローカルユーザーを作成し、ユーザーに対して所属Group Policy+固定のIPアドレスを設定する方法もありますが、これは避けたいと考えております。ユーザー数が50以上になる見通しで、管理が大変になりそうだからです。
セキュリティの観点から、「IPアドレスとユーザーIDを、1対1で対応させる」という要件は、何とか満たしたいと考えております。
■環境
ハードウェア: ASA5515X
OS: 9.1.(6.11)
ソフトウェア: AnyConnect 3.1.13015
ユーザー認証:LDAP認証(WIndows2008 R2サーバ)
■添付ファイル
・ADサーバ→各ユーザーIDの設定内容(シスコ社のコンフィギュレーションガイドからの抜粋)
・debug ldap 255 投入後の、ユーザー接続時の出力(エクセルファイルの1シート目)
・コンフィグのtunnel-group, group-policyの抜粋、LDAP周りの設定(エクセルファイルの2シート目)
よろしくお願いします。
2019-12-01 03:12 PM 2019-12-01 03:37 PM 更新
こんにちは。
海外シスココミュニティでは、参考にして頂いているドキュメントを利用し割当成功例もあるようです。 例えば、以下のディスカッションでは、ASAの設定ミス(msRADIUSFrameIPAddress と msRADIUSFramedIPAddressの入力間違い)や、AD側のタイプミスだったようです。もう少し ASAとADの設定を見直してみると如何でしょうか。
https://community.cisco.com/t5/vpn-and-anyconnect/asa-ldap-static-address-for-vpn-user/td-p/1705068
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド