CCIE.pl

site 4 CCIE wannabies
https://ccie.pl/

Cisco AC with LDAP auth error issue

https://ccie.pl/viewtopic.php?f=44&t=23230

Strona 1 z 1

Cisco AC with LDAP auth error issue

: 17 lut 2017, 15:30
autor: PatrykW
Czesc,

Mam maly problem z konfiguracja VPN na ASA 5555-X.

Maly over view jak wyglada topologia:
http://pl.tinypic.com/view.php?pic=fcuq ... KcIf_mLTRY

1. Routing ok
2. ICMP - pinguje
3. TCP ping - ok
4. ACL ok (any any RFC1918)


Na interfejsie outside, po https widze ze web VPN nasluchuje.
Mam stwrzone konto lokalnie, wyglada na to ze dziala, problem jest z LDAP

Konfiguracja

Atrybut ldap attribute-map tez zosta zaimplementowany.
ldap attribute-map GLO-GB-POOL-SELECTION
map-value memberOf "CN=TEST-VPN,OU=Network VLANs,OU=Groups,OU=Managed,DC=GLO,DC=GB" TEST-ANYCONNECT

group-policy TEST-ANYCONNECT internal
group-policy TEST-ANYCONNECT attributes
wins-server none
dns-server value 10.44.240.16 10.44.240.18
vpn-filter value TESTTEMPACNET
vpn-tunnel-protocol ssl-client
split-tunnel-policy excludespecified

split-tunnel-network-list value DEV-SPLIT-TUNNEL
default-domain value glo.gb
split-tunnel-all-dns disable
address-pools value TEST

ip local pool TEST 10.44.169.50-10.44.169.55 mask 255.255.255.0
access-list TESTTEMPACNET extended permit ip any4 any4 log

Debug
ENTER SESS_Mgmt_CreateSession < 01483EF9 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 < 01650EA9 < 00433022 < 01B44540 ENTER SESS_Mgmt_CheckLicenseLimitReached < 01483481 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 ENTER SESS_Mgmt_CalculateLicenseLimit < 0147D371 < 01483446 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D ENTER SESS_Mgmt_CalculateLicenseLimit < 0147D371 < 01483456 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D ENTER SESS_Util_CreateSession < 01477FF9 < 01483F99 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 < 01650EA9 < 00433022 ENTER SESS_Mgmt_FreeSessionFileLineFunc < 0147FEA9 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A < 0179AEB1 < 01789410
SESS_Mgmt_FreeSessionFileLineFunc: Index=0x001A6000 ACTIVE @ aaa_shim_utils.c:252@aaa_shim_cleanup_auth_ctx
ENTER SESS_Mgmt_RemoveSessionFromTunnelGroup < 01493229 < 0147FA46 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A ENTER SESS_Util_DeleteUser < 01495AE9 < 0147FA55 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A < 0179AEB1 < 01789410 ENTER SESS_Mgmt_CreateSession < 01483EF9 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 < 01650EA9 < 00433022 < 01B44540 ENTER SESS_Mgmt_CheckLicenseLimitReached < 01483481 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 ENTER SESS_Mgmt_CalculateLicenseLimit < 0147D371 < 01483446 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D ENTER SESS_Mgmt_CalculateLicenseLimit < 0147D371 < 01483456 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D ENTER SESS_Util_CreateSession < 01477FF9 < 01483F99 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 < 01650EA9 < 00433022 ENTER SESS_Mgmt_FreeSessionFileLineFunc < 0147FEA9 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A < 0179AEB1 < 01789410
SESS_Mgmt_FreeSessionFileLineFunc: Index=0x001A7000 ACTIVE @ aaa_shim_utils.c:252@aaa_shim_cleanup_auth_ctx
ENTER SESS_Mgmt_RemoveSessionFromTunnelGroup < 01493229 < 0147FA46 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A ENTER SESS_Util_DeleteUser < 01495AE9 < 0147FA55 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A < 0179AEB1 < 01789410
Co sie kurcze dzieje ze nie jestem w stanie sie uwierzytelnić z AD ? (Micrsofot Windows)

Mam nadzieje ze dostane dobrego hinta.

Pzdr

Re: Cisco AC with LDAP auth error issue

: 17 lut 2017, 16:56
autor: mihu
hejka,
Wojtachinho pisze: Mam stwrzone konto lokalnie, wyglada na to ze dziala, problem jest z LDAP
czyli

Kod: Zaznacz cały

test aaa-server authentication(...)


Ci dziala?

nie przekleiles konfigu odnosnie aaa-server,

ponizej moj template ktory mi dziala

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
ldap-base-dn dc=super, dc=domain, dc=com
ldap-group-base-dn dc=super, dc=domain, dc=com
ldap-scope subtree
ldap-naming-attribute SAMAccountName
ldap-login-password <password>
ldap-login-dn <svcldap>
server-type microsoft
! ldap-over-ssl enable 
ldap-attribute-map memberOf

ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
 
group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
  
group-policy <GROUP-POLICY> internal
group-policy <GROUP-POLICY> attributes
vpn-simultaneous-logins 10
vpn-idle-timeout 450
vpn-session-timeout 600
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-tunnel-networks
default-domain value <domain.com>
split-dns value <domain.com>
msie-proxy method use-server
address-pools value <POOL>
webvpn
  svc keep-installer installed
  svc dpd-interval client 10
  svc dpd-interval gateway 30
  svc compression deflate
  svc ask none default webvpn

tunnel-group Laptops_TunnelGroup type remote-access
tunnel-group Laptops_TunnelGroup general-attributes
address-pool <POOLNAME>
authentication-server-group <AD-LDAP>
authorization-server-group <AD-LDAP>
default-group-policy NoAccess
tunnel-group Laptops_TunnelGroup webvpn-attributes
group-alias RA-TEST enable
group-url https://<FQDN>/ra-test enable
p.s. z tego co widze troche nie odswiezony bo sa wpisy odnosnie svc

Re: Cisco AC with LDAP auth error issue

: 17 lut 2017, 17:10
autor: PatrykW
Rozwialem problem, a zarazem jestem zaskoczony, gdyz myslalem ze to dotyczy tylko systemow w oparciu o Linux.

W mojej konfiguracji mam grupe CN=TEST-VPN, w AD bylo Test-VPN. Czyli wniosek taki, ze wielkosc liter ma ZNACZENIE! :o

Issue has been solved :)

Re: Cisco AC with LDAP auth error issue

: 18 lut 2017, 02:53
autor: konradrz
Wojtachinho pisze:myslalem ze to dotyczy tylko systemow w oparciu o Linux. (...)
Czyli wniosek taki, ze wielkosc liter ma ZNACZENIE!
Częsta zdziwka. AD to "nie Windows". AD to LDAP czyli Unix/Posix, czyli case-sensitive.
(rany, ilu moich kolegów z VMware się na to zawsze nacina)

Re: Cisco AC with LDAP auth error issue

: 18 lut 2017, 18:29
autor: piter1789
a co w przypadku jeśli korzystamy z kilku grup na Windows i każda grupa ma inną politykę dostępu (różne podsieci)?
dla każdej powinno się zrobić osobne aaa-serer.. ?

czy wystarczy dodać kilka mapowań "ldap attribute-map memberOf"

mihu pisze:hejka,
Wojtachinho pisze: Mam stwrzone konto lokalnie, wyglada na to ze dziala, problem jest z LDAP
czyli

Kod: Zaznacz cały

test aaa-server authentication(...)


Ci dziala?

nie przekleiles konfigu odnosnie aaa-server,

ponizej moj template ktory mi dziala

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
ldap-base-dn dc=super, dc=domain, dc=com
ldap-group-base-dn dc=super, dc=domain, dc=com
ldap-scope subtree
ldap-naming-attribute SAMAccountName
ldap-login-password <password>
ldap-login-dn <svcldap>
server-type microsoft
! ldap-over-ssl enable 
ldap-attribute-map memberOf

ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
 
group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
  
group-policy <GROUP-POLICY> internal
group-policy <GROUP-POLICY> attributes
vpn-simultaneous-logins 10
vpn-idle-timeout 450
vpn-session-timeout 600
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-tunnel-networks
default-domain value <domain.com>
split-dns value <domain.com>
msie-proxy method use-server
address-pools value <POOL>
webvpn
  svc keep-installer installed
  svc dpd-interval client 10
  svc dpd-interval gateway 30
  svc compression deflate
  svc ask none default webvpn

tunnel-group Laptops_TunnelGroup type remote-access
tunnel-group Laptops_TunnelGroup general-attributes
address-pool <POOLNAME>
authentication-server-group <AD-LDAP>
authorization-server-group <AD-LDAP>
default-group-policy NoAccess
tunnel-group Laptops_TunnelGroup webvpn-attributes
group-alias RA-TEST enable
group-url https://<FQDN>/ra-test enable
p.s. z tego co widze troche nie odswiezony bo sa wpisy odnosnie svc

Re: Cisco AC with LDAP auth error issue

: 18 lut 2017, 20:08
autor: PatrykW
piter1789 pisze:a co w przypadku jeśli korzystamy z kilku grup na Windows i każda grupa ma inną politykę dostępu (różne podsieci)?
dla każdej powinno się zrobić osobne aaa-serer.. ?

czy wystarczy dodać kilka mapowań "ldap attribute-map memberOf"

mihu pisze:hejka,
Wojtachinho pisze: Mam stwrzone konto lokalnie, wyglada na to ze dziala, problem jest z LDAP
czyli

Kod: Zaznacz cały

test aaa-server authentication(...)


Ci dziala?

nie przekleiles konfigu odnosnie aaa-server,

ponizej moj template ktory mi dziala

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
ldap-base-dn dc=super, dc=domain, dc=com
ldap-group-base-dn dc=super, dc=domain, dc=com
ldap-scope subtree
ldap-naming-attribute SAMAccountName
ldap-login-password <password>
ldap-login-dn <svcldap>
server-type microsoft
! ldap-over-ssl enable 
ldap-attribute-map memberOf

ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
 
group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
  
group-policy <GROUP-POLICY> internal
group-policy <GROUP-POLICY> attributes
vpn-simultaneous-logins 10
vpn-idle-timeout 450
vpn-session-timeout 600
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-tunnel-networks
default-domain value <domain.com>
split-dns value <domain.com>
msie-proxy method use-server
address-pools value <POOL>
webvpn
  svc keep-installer installed
  svc dpd-interval client 10
  svc dpd-interval gateway 30
  svc compression deflate
  svc ask none default webvpn

tunnel-group Laptops_TunnelGroup type remote-access
tunnel-group Laptops_TunnelGroup general-attributes
address-pool <POOLNAME>
authentication-server-group <AD-LDAP>
authorization-server-group <AD-LDAP>
default-group-policy NoAccess
tunnel-group Laptops_TunnelGroup webvpn-attributes
group-alias RA-TEST enable
group-url https://<FQDN>/ra-test enable
p.s. z tego co widze troche nie odswiezony bo sa wpisy odnosnie svc
To zalezy np czy te same grupy z AD maja dostawac ten sam adres IP (z puli)
Jezeli nie, to musisz to odzielic.

W atrybutach, musisz zdefiniowac osobno OU, CN itp itd.

Ja wlasnie robie przesiadke z ASA 5550 na 5555-X.

Re: Cisco AC with LDAP auth error issue

: 19 lut 2017, 15:00
autor: piter1789
Ogólnie jest tak że Cisco ASA ma lokalną pulę dla połączeń VPN,
mam 3 grupy:
MGMT (pula A)
WORKERS (pula B)
PROJECT (pula B)

każda z grup ma przypisaną inną group-policy i tunnel-group
i teraz:
wystarczy jedno:

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
..
ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
i dodać kolejne map-name oraz map-value

czy trzeba robić trzy razy:

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
..
ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
i dl każdej grupy zmienić wartości mapowania ?

czytałem np. to http://www.cisco.com/c/en/us/support/do ... tovpn.html

i piszą aby korzystać z DAP i tak zrobiłem i jest niby ok, ale wtedy nie musiałem korzystać z "ldap attribute-map Class..."

Re: Cisco AC with LDAP auth error issue

: 27 lut 2017, 10:51
autor: PatrykW
piter1789 pisze:Ogólnie jest tak że Cisco ASA ma lokalną pulę dla połączeń VPN,
mam 3 grupy:
MGMT (pula A)
WORKERS (pula B)
PROJECT (pula B)

każda z grup ma przypisaną inną group-policy i tunnel-group
i teraz:
wystarczy jedno:

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
..
ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
i dodać kolejne map-name oraz map-value

czy trzeba robić trzy razy:

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
..
ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
i dl każdej grupy zmienić wartości mapowania ?

czytałem np. to http://www.cisco.com/c/en/us/support/do ... tovpn.html

i piszą aby korzystać z DAP i tak zrobiłem i jest niby ok, ale wtedy nie musiałem korzystać z "ldap attribute-map Class..."
Jeseli mozesz, podeslij mi swoj config na priv ew. na @ccie.pl

pzdr

Re: Cisco AC with LDAP auth error issue

: 27 lut 2017, 13:58
autor: piter1789
ok, dzięki;)

Re: Cisco AC with LDAP auth error issue

: 02 mar 2017, 19:19
autor: piter1789
podesłałem ;)
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl