设为首页收藏本站language 语言切换
查看: 3263|回复: 9
收起左侧

Cisco IOS 15.1T(ISR G2)新feature:利用LDAP实现SSLVPN认证

[复制链接]
 成长值: 64330
发表于 2011-12-20 11:37:58 | 显示全部楼层 |阅读模式
本帖最后由 小乔 于 2011-12-20 11:42 编辑

由于CCSP的RACK又添置了两台强大的Cisco1921路由器,最近抓紧研究了15.1T的一些新feature,其中AAA认证能够支持了LDAP可以说是一个很大亮点,因为基于域环境的多种VPN认证及授权将更容易部署和实现,特此做了一个IOS 15.1T下SSLVPN+LDAP认证及授权教程供大家一起学习研究。
实验拓扑:
52ddfea3gb47bf9b9e7b7&690.jpg

实验需求:分别使用两个AD域中用户user1和user2访问Cisco 1921 SSLVPN,认证后获得不同的授权,这里授权只是给予不同的banner信息来达到演示效果。
实验环境:一台2003域控制器 + 一台Cisco1921(IOS 版本 15.1T)

Cisco1921上配置:
LDAP#show run
hostname LDAP

aaa new-model
aaa group server ldap ldap-group
  server yeslab-server
aaa authentication login for-ssl group ldap-group

clock timezone GMT 8 0

ip domain name yeslab.net
ip name-server 202.100.1.101

crypto pki trustpoint TP-self-signed-3749551394
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3749551394
revocation-check none
crypto pki certificate chain TP-self-signed-3749551394
certificate self-signed 01
----------省略自签名证书------------
quit

interface GigabitEthernet0/0
ip address 202.100.1.1 255.255.255.0
no shutdown
!
ldap attribute-map yeslab-test
  map type memberOf user-vpn-group format dn-to-string
!
ldap server yeslab-server
  ipv4 202.100.1.101
  attribute map yeslab-test
  bind authenticate root-dn cn=administrator,cn=users,dc=yeslab,dc=net password 1a.yeslab
  base-dn dc=yeslab,dc=net
  mode secure
  secure cipher 3des-ede-cbc-sha
!
webvpn gateway GW
  ip address 202.100.1.1 port 443
  ssl trustpoint TP-self-signed-3749551394
  inservice
!
webvpn context yeslab-context
  ssl authenticate verify all
  policy group group1
    banner "This is User1's vpn"
  policy group group2
    banner "This is User2's vpn"
  aaa authentication list for-ssl
  gateway GW
  inservice


AD域帐户和计算机管理下的账号配置,如下图:
52ddfea3gb47bfb064ab0&690.jpg
在配置完LDAP后一定要测试一下两个账号是否认证通过,如下图:
52ddfea3gb47bfd7da077&690.jpg


最后配置完毕后进行测试的结果,如下图:
1.jpg

2.jpg
3.jpg
4.jpg







提示:本实验看似简单,但是有很多细节是需要注意的,如:要同步设备与域控之间的时间,要设置属性映射的格式,要使用debug ldap all 查看错误配置等, 还有就是IOS有些LDAP的命令需要深入理解。
最后补充:IOS 15.1T的LDAP是不支持交互式认证的,也就是说不支持Telnet或SSH认证。


该贴已经同步到 小乔的微博
发表于 2012-1-18 16:23:42 | 显示全部楼层
{:soso_e176:}
沙发 2012-1-18 16:23:42 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2012-1-18 16:23:56 | 显示全部楼层
{:soso_e100:}
板凳 2012-1-18 16:23:56 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2012-6-5 12:03:41 | 显示全部楼层
地板 2012-6-5 12:03:41 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2012-7-24 10:21:02 | 显示全部楼层
5# 2012-7-24 10:21:02 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2013-4-27 20:01:18 | 显示全部楼层
走过路过,不能错过.
6# 2013-4-27 20:01:18 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2020-3-16 22:41:23 | 显示全部楼层
ddddddddddddd
7# 2020-3-16 22:41:23 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2020-3-18 12:39:45 | 显示全部楼层
ddddddddddddddd
8# 2020-3-18 12:39:45 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2020-6-11 23:00:25 | 显示全部楼层
好东西要收藏的.....
10# 2020-6-11 23:00:25 回复 收起回复
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-4-5 23:51 , Processed in 0.200138 second(s), 25 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表