Authentification VPN avec Active Directory
Sommaire
Présentation
Cette page a pour objet de décrire comment mettre en place une authentification avec un Active Directory sur le VPN d'un routeur Cisco RV340.
Contexte
L'Active Directory utilisé est installé sur un serveur Windows Server 2012 R2.
Le client VPN "Cisco VPN Client" a été abandonné au profit du client "AnyConnect".
Ainsi, pour une connexion avec "Cisco VPN Client", il faudra configurer un VPN "client-to-site", alors que pour une connexion avec "AnyConnect", il faudra configurer un VPN "SSL VPN". C'est ce dernier qui sera présenté dans cette page.
La documentation de référence est accessible ici : https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-small-business-routers/smb5492-configure-and-manage-user-accounts-on-an-rv34x-series-router.html
Contraintes
Important ! Sur le routeur RV340, pour que l'authentification se fasse auprès d'un Active Directory, il faut impérativement que ces deux points soient respectés :
- Dans l'arborescence de l'Active Directory, les utilisateurs doivent se trouver dans le même conteneur que le groupe utilisé pour le VPN.
- L'imbrication de groupes ne fonctionne pas. Il faut que les utilisateurs fasse directement partie du groupe utilisé pour le VPN.
Création du groupe dans l'AD
Sur le serveur Windows, lancer une invite de commandes avec les touches Windows + R puis taper dsa.msc :
La console de gestion des "Utilisateurs et ordinateurs Active Directory" se lance alors :
Se rendre dans l'OU désirée et créer un groupe dédié aux utilisateurs VPN, par exemple "VpnUsers", en faisant "Nouveau -> Groupe" :
Renseigner le nom désiré, sélectionner l'étendue du groupe à "Globale" et le type de groupe à "Sécurité", puis cliquer sur "OK" pour valider la création du groupe d'utilisateurs :
Le groupe une fois créé s'affiche :
Pour lui ajouter des membres, faire un "clic-droit -> Propriétés" puis se rendre dans l'onglet "Membres" :
Cliquer sur "Ajouter..." :
Dans le champ "Entrez les noms des objets à sélectionner", taper le nom d'un utilisateur ou d'un groupe puis cliquer sur "Vérifier les noms" pour rechercher dans l'Active Directory.
Une fois l'utilisateur et/ou groupe trouvé, cliquer sur "OK" pour valider l'ajout au groupe précédemment créé.
Création du groupe dans le routeur
Se connecter à la page web du routeur RV340 puis se rendre dans la section "System Configuration -> User Groups" :
Cliquer sur le symbole + pour ajouter un groupe :
Lui donner le nom du groupe VPN précédemment créé dans l'Active Directory et cliquer sur "Apply" pour créer le groupe :
Le groupe apparaît ensuite dans la liste des groupes du routeur :
Ajout d'une connexion VPN SSL
Se rendre dans la section "VPN -> SSL VPN" :
Dans l'onglet "General Configuration", activer le SSL VPN en cochant le bouton radio "On" du champ "Cisco SSL VPN Server" :
Renseigner les éléments suivants :
- Mandatory Gateway Settings
- Gateway Interface
- Sélectionner l'adresse IP publique du routeur sur laquelle le SSL VPN écoutera
- Gateway Port:
- Choisir le port publique du routeur sur laquelle le SSL VPN écoutera
- Certificate File
- A moins de disposer d'un certificat personnalisé pour le routeur, laisser celui par défaut
- Client Address Pool
- Renseigner l'adresse réseau correspond au pool d'adresses IP qui sera utilisé pour affecter une adresse IP aux clients VPN
- Client Netmask
- Renseigner le masque de sous-réseau correspond au pool d'adresses IP qui sera utilisé pour affecter une adresse IP aux clients VPN
- Client Domain
- Renseigner le domaine qui sera suffixé au nom des machines des clients VPN
- Login Banner
- Renseigner le message d'accueil désiré lors de la connexion VPN
- Gateway Interface
- Optional Gateway Settings
- L'ensemble des paramètres de cette section est optionnel, mais les valeurs par défaut suffisent à utilisation normale.
Dans l'onglet "Group Policies", ajouter une nouvelle Group policy en cliquant sur + ou bien éditer la Group policy par défaut (SSLVPNDefaultPolicy) :
Renseigner les éléments suivants :
- Basic Settings
- Policy Name
- Choisir un nom pour la Group Policy
- Primary DNS
- Renseigner l'adresse IP du DNS primaire à utiliser
- Secondary DNS
- Renseigner l'adresse IP du DNS secondaire à utiliser
- Primary WINS
- Renseigner l'adresse IP du serveur WINS primaire à utiliser
- Secondary WINS
- Renseigner l'adresse IP du serveru WINS secondaire à utiliser
- Description
- Renseigner la description de cette Group Policy
- Policy Name
- IE Proxy Settings
- Choisir le comportement pour la configuration de proxy
- Split Tunneling Settings
- Si tout le trafic réseau (à destination du réseau distant + à destination d'internet) doit passer par le VPN, ne pas cocher la case "Enable Split Tunneling"
- Si le trafic réseau à destination du réseau distant doit passer par le VPN alors que le trafic réseau à destination d'internet ne doit pas passer par le VPN, cocher la case "Enable Split Tunneling" :
- Split Selection
- Choisir d'inclure ou d'exclure les réseaux ou domaines ensuite définis dans le réseau du VPN
- Split Network Table
- Ajouter les réseaux à inclure ou exclure du réseau du VPN
- Split DNS Table
- Ajouter les domaines à inclure ou exclure du réseau du VPN
Cliquer sur "Apply" pour appliquer les paramètres et activer le SSL VPN.
Déploiement du client VPN AnyConnect
Installation
Configuration
Depuis le menu Windows, rechercher et lancer l'application "Cisco AnyConnect Secure Mobility Client" :
Renseigner l'adresse IP ou le nom DNS du VPN suivi du port précédemment configuré dans le SSL VPN puis cliquer sur "Connect" :
Un message d'avertissement relatif au certificat utilisé par le VPN peut s'afficher :
Cliquer sur "Connect Anyway" pour se connecter malgré ce message.
Si une authentification a été mise en place, une fenêtre d'identification s'affiche alors :
