Cisco AC with LDAP auth error issue Temat rozwiązany

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Cisco AC with LDAP auth error issue

#1

#1 Post autor: PatrykW »

Czesc,

Mam maly problem z konfiguracja VPN na ASA 5555-X.

Maly over view jak wyglada topologia:
http://pl.tinypic.com/view.php?pic=fcuq ... KcIf_mLTRY

1. Routing ok
2. ICMP - pinguje
3. TCP ping - ok
4. ACL ok (any any RFC1918)


Na interfejsie outside, po https widze ze web VPN nasluchuje.
Mam stwrzone konto lokalnie, wyglada na to ze dziala, problem jest z LDAP

Konfiguracja

Atrybut ldap attribute-map tez zosta zaimplementowany.
ldap attribute-map GLO-GB-POOL-SELECTION
map-value memberOf "CN=TEST-VPN,OU=Network VLANs,OU=Groups,OU=Managed,DC=GLO,DC=GB" TEST-ANYCONNECT

group-policy TEST-ANYCONNECT internal
group-policy TEST-ANYCONNECT attributes
wins-server none
dns-server value 10.44.240.16 10.44.240.18
vpn-filter value TESTTEMPACNET
vpn-tunnel-protocol ssl-client
split-tunnel-policy excludespecified

split-tunnel-network-list value DEV-SPLIT-TUNNEL
default-domain value glo.gb
split-tunnel-all-dns disable
address-pools value TEST

ip local pool TEST 10.44.169.50-10.44.169.55 mask 255.255.255.0
access-list TESTTEMPACNET extended permit ip any4 any4 log

Debug
ENTER SESS_Mgmt_CreateSession < 01483EF9 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 < 01650EA9 < 00433022 < 01B44540 ENTER SESS_Mgmt_CheckLicenseLimitReached < 01483481 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 ENTER SESS_Mgmt_CalculateLicenseLimit < 0147D371 < 01483446 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D ENTER SESS_Mgmt_CalculateLicenseLimit < 0147D371 < 01483456 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D ENTER SESS_Util_CreateSession < 01477FF9 < 01483F99 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 < 01650EA9 < 00433022 ENTER SESS_Mgmt_FreeSessionFileLineFunc < 0147FEA9 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A < 0179AEB1 < 01789410
SESS_Mgmt_FreeSessionFileLineFunc: Index=0x001A6000 ACTIVE @ aaa_shim_utils.c:252@aaa_shim_cleanup_auth_ctx
ENTER SESS_Mgmt_RemoveSessionFromTunnelGroup < 01493229 < 0147FA46 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A ENTER SESS_Util_DeleteUser < 01495AE9 < 0147FA55 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A < 0179AEB1 < 01789410 ENTER SESS_Mgmt_CreateSession < 01483EF9 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 < 01650EA9 < 00433022 < 01B44540 ENTER SESS_Mgmt_CheckLicenseLimitReached < 01483481 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 ENTER SESS_Mgmt_CalculateLicenseLimit < 0147D371 < 01483446 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D ENTER SESS_Mgmt_CalculateLicenseLimit < 0147D371 < 01483456 < 0148396E < 01483F30 < 0043B727 < 00436FD0 < 0165169C < 0165173D ENTER SESS_Util_CreateSession < 01477FF9 < 01483F99 < 0043B727 < 00436FD0 < 0165169C < 0165173D < 0164CDC3 < 01650EA9 < 00433022 ENTER SESS_Mgmt_FreeSessionFileLineFunc < 0147FEA9 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A < 0179AEB1 < 01789410
SESS_Mgmt_FreeSessionFileLineFunc: Index=0x001A7000 ACTIVE @ aaa_shim_utils.c:252@aaa_shim_cleanup_auth_ctx
ENTER SESS_Mgmt_RemoveSessionFromTunnelGroup < 01493229 < 0147FA46 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A ENTER SESS_Util_DeleteUser < 01495AE9 < 0147FA55 < 0043B2BC < 0043773E < 00432E4A < 01B43A48 < 0178852A < 0179AEB1 < 01789410
Co sie kurcze dzieje ze nie jestem w stanie sie uwierzytelnić z AD ? (Micrsofot Windows)

Mam nadzieje ze dostane dobrego hinta.

Pzdr
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Cisco AC with LDAP auth error issue

#2

#2 Post autor: mihu »

hejka,
Wojtachinho pisze: Mam stwrzone konto lokalnie, wyglada na to ze dziala, problem jest z LDAP
czyli

Kod: Zaznacz cały

test aaa-server authentication(...)


Ci dziala?

nie przekleiles konfigu odnosnie aaa-server,

ponizej moj template ktory mi dziala

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
ldap-base-dn dc=super, dc=domain, dc=com
ldap-group-base-dn dc=super, dc=domain, dc=com
ldap-scope subtree
ldap-naming-attribute SAMAccountName
ldap-login-password <password>
ldap-login-dn <svcldap>
server-type microsoft
! ldap-over-ssl enable 
ldap-attribute-map memberOf

ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
 
group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
  
group-policy <GROUP-POLICY> internal
group-policy <GROUP-POLICY> attributes
vpn-simultaneous-logins 10
vpn-idle-timeout 450
vpn-session-timeout 600
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-tunnel-networks
default-domain value <domain.com>
split-dns value <domain.com>
msie-proxy method use-server
address-pools value <POOL>
webvpn
  svc keep-installer installed
  svc dpd-interval client 10
  svc dpd-interval gateway 30
  svc compression deflate
  svc ask none default webvpn

tunnel-group Laptops_TunnelGroup type remote-access
tunnel-group Laptops_TunnelGroup general-attributes
address-pool <POOLNAME>
authentication-server-group <AD-LDAP>
authorization-server-group <AD-LDAP>
default-group-policy NoAccess
tunnel-group Laptops_TunnelGroup webvpn-attributes
group-alias RA-TEST enable
group-url https://<FQDN>/ra-test enable
p.s. z tego co widze troche nie odswiezony bo sa wpisy odnosnie svc
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Cisco AC with LDAP auth error issue

#3

#3 Post autor: PatrykW »

Rozwialem problem, a zarazem jestem zaskoczony, gdyz myslalem ze to dotyczy tylko systemow w oparciu o Linux.

W mojej konfiguracji mam grupe CN=TEST-VPN, w AD bylo Test-VPN. Czyli wniosek taki, ze wielkosc liter ma ZNACZENIE! :o

Issue has been solved :)
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 400
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: Cisco AC with LDAP auth error issue

#4

#4 Post autor: konradrz »

Wojtachinho pisze:myslalem ze to dotyczy tylko systemow w oparciu o Linux. (...)
Czyli wniosek taki, ze wielkosc liter ma ZNACZENIE!
Częsta zdziwka. AD to "nie Windows". AD to LDAP czyli Unix/Posix, czyli case-sensitive.
(rany, ilu moich kolegów z VMware się na to zawsze nacina)

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: Cisco AC with LDAP auth error issue

#5

#5 Post autor: piter1789 »

a co w przypadku jeśli korzystamy z kilku grup na Windows i każda grupa ma inną politykę dostępu (różne podsieci)?
dla każdej powinno się zrobić osobne aaa-serer.. ?

czy wystarczy dodać kilka mapowań "ldap attribute-map memberOf"

mihu pisze:hejka,
Wojtachinho pisze: Mam stwrzone konto lokalnie, wyglada na to ze dziala, problem jest z LDAP
czyli

Kod: Zaznacz cały

test aaa-server authentication(...)


Ci dziala?

nie przekleiles konfigu odnosnie aaa-server,

ponizej moj template ktory mi dziala

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
ldap-base-dn dc=super, dc=domain, dc=com
ldap-group-base-dn dc=super, dc=domain, dc=com
ldap-scope subtree
ldap-naming-attribute SAMAccountName
ldap-login-password <password>
ldap-login-dn <svcldap>
server-type microsoft
! ldap-over-ssl enable 
ldap-attribute-map memberOf

ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
 
group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
  
group-policy <GROUP-POLICY> internal
group-policy <GROUP-POLICY> attributes
vpn-simultaneous-logins 10
vpn-idle-timeout 450
vpn-session-timeout 600
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-tunnel-networks
default-domain value <domain.com>
split-dns value <domain.com>
msie-proxy method use-server
address-pools value <POOL>
webvpn
  svc keep-installer installed
  svc dpd-interval client 10
  svc dpd-interval gateway 30
  svc compression deflate
  svc ask none default webvpn

tunnel-group Laptops_TunnelGroup type remote-access
tunnel-group Laptops_TunnelGroup general-attributes
address-pool <POOLNAME>
authentication-server-group <AD-LDAP>
authorization-server-group <AD-LDAP>
default-group-policy NoAccess
tunnel-group Laptops_TunnelGroup webvpn-attributes
group-alias RA-TEST enable
group-url https://<FQDN>/ra-test enable
p.s. z tego co widze troche nie odswiezony bo sa wpisy odnosnie svc

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Cisco AC with LDAP auth error issue

#6

#6 Post autor: PatrykW »

piter1789 pisze:a co w przypadku jeśli korzystamy z kilku grup na Windows i każda grupa ma inną politykę dostępu (różne podsieci)?
dla każdej powinno się zrobić osobne aaa-serer.. ?

czy wystarczy dodać kilka mapowań "ldap attribute-map memberOf"

mihu pisze:hejka,
Wojtachinho pisze: Mam stwrzone konto lokalnie, wyglada na to ze dziala, problem jest z LDAP
czyli

Kod: Zaznacz cały

test aaa-server authentication(...)


Ci dziala?

nie przekleiles konfigu odnosnie aaa-server,

ponizej moj template ktory mi dziala

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
ldap-base-dn dc=super, dc=domain, dc=com
ldap-group-base-dn dc=super, dc=domain, dc=com
ldap-scope subtree
ldap-naming-attribute SAMAccountName
ldap-login-password <password>
ldap-login-dn <svcldap>
server-type microsoft
! ldap-over-ssl enable 
ldap-attribute-map memberOf

ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
 
group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
  
group-policy <GROUP-POLICY> internal
group-policy <GROUP-POLICY> attributes
vpn-simultaneous-logins 10
vpn-idle-timeout 450
vpn-session-timeout 600
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-tunnel-networks
default-domain value <domain.com>
split-dns value <domain.com>
msie-proxy method use-server
address-pools value <POOL>
webvpn
  svc keep-installer installed
  svc dpd-interval client 10
  svc dpd-interval gateway 30
  svc compression deflate
  svc ask none default webvpn

tunnel-group Laptops_TunnelGroup type remote-access
tunnel-group Laptops_TunnelGroup general-attributes
address-pool <POOLNAME>
authentication-server-group <AD-LDAP>
authorization-server-group <AD-LDAP>
default-group-policy NoAccess
tunnel-group Laptops_TunnelGroup webvpn-attributes
group-alias RA-TEST enable
group-url https://<FQDN>/ra-test enable
p.s. z tego co widze troche nie odswiezony bo sa wpisy odnosnie svc
To zalezy np czy te same grupy z AD maja dostawac ten sam adres IP (z puli)
Jezeli nie, to musisz to odzielic.

W atrybutach, musisz zdefiniowac osobno OU, CN itp itd.

Ja wlasnie robie przesiadke z ASA 5550 na 5555-X.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: Cisco AC with LDAP auth error issue

#7

#7 Post autor: piter1789 »

Ogólnie jest tak że Cisco ASA ma lokalną pulę dla połączeń VPN,
mam 3 grupy:
MGMT (pula A)
WORKERS (pula B)
PROJECT (pula B)

każda z grup ma przypisaną inną group-policy i tunnel-group
i teraz:
wystarczy jedno:

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
..
ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
i dodać kolejne map-name oraz map-value

czy trzeba robić trzy razy:

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
..
ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
i dl każdej grupy zmienić wartości mapowania ?

czytałem np. to http://www.cisco.com/c/en/us/support/do ... tovpn.html

i piszą aby korzystać z DAP i tak zrobiłem i jest niby ok, ale wtedy nie musiałem korzystać z "ldap attribute-map Class..."

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Cisco AC with LDAP auth error issue

#8

#8 Post autor: PatrykW »

piter1789 pisze:Ogólnie jest tak że Cisco ASA ma lokalną pulę dla połączeń VPN,
mam 3 grupy:
MGMT (pula A)
WORKERS (pula B)
PROJECT (pula B)

każda z grup ma przypisaną inną group-policy i tunnel-group
i teraz:
wystarczy jedno:

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
..
ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
i dodać kolejne map-name oraz map-value

czy trzeba robić trzy razy:

Kod: Zaznacz cały

aaa-server <AD-LDAP> protocol ldap
aaa-server <AD-LDAP> (inside) host <IP>
..
ldap attribute-map memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=Remote_Access_AD,OU=Security Groups,OU=<OU>,DC=propertyservices,DC=<DC>,DC=DC" <GROUP-POLICY>
i dl każdej grupy zmienić wartości mapowania ?

czytałem np. to http://www.cisco.com/c/en/us/support/do ... tovpn.html

i piszą aby korzystać z DAP i tak zrobiłem i jest niby ok, ale wtedy nie musiałem korzystać z "ldap attribute-map Class..."
Jeseli mozesz, podeslij mi swoj config na priv ew. na @ccie.pl

pzdr
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: Cisco AC with LDAP auth error issue

#9

#9 Post autor: piter1789 »

ok, dzięki;)

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: Cisco AC with LDAP auth error issue

#10

#10 Post autor: piter1789 »

podesłałem ;)

ODPOWIEDZ