小乔 发表于 2011-12-20 11:37:58

Cisco IOS 15.1T(ISR G2)新feature:利用LDAP实现SSLVPN认证

本帖最后由 小乔 于 2011-12-20 11:42 编辑

由于CCSP的RACK又添置了两台强大的Cisco1921路由器,最近抓紧研究了15.1T的一些新feature,其中AAA认证能够支持了LDAP可以说是一个很大亮点,因为基于域环境的多种VPN认证及授权将更容易部署和实现,特此做了一个IOS 15.1T下SSLVPN+LDAP认证及授权教程供大家一起学习研究。
实验拓扑:


实验需求:分别使用两个AD域中用户user1和user2访问Cisco 1921 SSLVPN,认证后获得不同的授权,这里授权只是给予不同的banner信息来达到演示效果。
实验环境:一台2003域控制器 + 一台Cisco1921(IOS 版本 15.1T)

Cisco1921上配置:
LDAP#show run
hostname LDAP

aaa new-model
aaa group server ldap ldap-group
server yeslab-server
aaa authentication login for-ssl group ldap-group

clock timezone GMT 8 0

ip domain name yeslab.net
ip name-server 202.100.1.101

crypto pki trustpoint TP-self-signed-3749551394
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3749551394
revocation-check none
crypto pki certificate chain TP-self-signed-3749551394
certificate self-signed 01
----------省略自签名证书------------
quit

interface GigabitEthernet0/0
ip address 202.100.1.1 255.255.255.0
no shutdown
!
ldap attribute-map yeslab-test
map type memberOf user-vpn-group format dn-to-string
!
ldap server yeslab-server
ipv4 202.100.1.101
attribute map yeslab-test
bind authenticate root-dn cn=administrator,cn=users,dc=yeslab,dc=net password 1a.yeslab
base-dn dc=yeslab,dc=net
mode secure
secure cipher 3des-ede-cbc-sha
!
webvpn gateway GW
ip address 202.100.1.1 port 443
ssl trustpoint TP-self-signed-3749551394
inservice
!
webvpn context yeslab-context
ssl authenticate verify all
policy group group1
    banner "This is User1's vpn"
policy group group2
    banner "This is User2's vpn"
aaa authentication list for-ssl
gateway GW
inservice


AD域帐户和计算机管理下的账号配置,如下图:

在配置完LDAP后一定要测试一下两个账号是否认证通过,如下图:



最后配置完毕后进行测试的结果,如下图:











提示:本实验看似简单,但是有很多细节是需要注意的,如:要同步设备与域控之间的时间,要设置属性映射的格式,要使用debug ldap all 查看错误配置等, 还有就是IOS有些LDAP的命令需要深入理解。
最后补充:IOS 15.1T的LDAP是不支持交互式认证的,也就是说不支持Telnet或SSH认证。


http://bbs.hh010.com/xwb/images/bgimg/icon_logo.png 该贴已经同步到 小乔的微博

zyc2004 发表于 2012-1-18 16:23:42

{:soso_e176:}

zyc2004 发表于 2012-1-18 16:23:56

{:soso_e100:}

ldsh 发表于 2012-6-5 12:03:41

{:6_290:}{:6_290:}{:6_290:}{:6_290:}

ljl603 发表于 2012-7-24 10:21:02

{:6_290:}{:6_290:}{:6_290:}{:6_290:}{:6_290:}

maqizhao 发表于 2013-4-27 20:01:18

走过路过,不能错过.

hugo_26 发表于 2020-3-16 22:41:23

ddddddddddddd

hugo_26 发表于 2020-3-18 12:39:45

ddddddddddddddd

Derekhint 发表于 2020-6-6 20:48:00

qxq9318 发表于 2020-6-11 23:00:25

好东西要收藏的.....
页: [1]
查看完整版本: Cisco IOS 15.1T(ISR G2)新feature:利用LDAP实现SSLVPN认证