Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.x: CAC - Autenticação das carta inteligente para o Cisco VPN Client

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (12 Novembro 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo na ferramenta de segurança adaptável de Cisco (ASA) para o Acesso remoto de rede com o cartão comum do acesso (CAC) para a autenticação.

O espaço do este capas de documento a configuração de Cisco ASA com o Security Device Manager adaptável (ASDM), o Cisco VPN Client, e o Directory Access Protocol do microsoft ative directory (AD) /Lightweight (LDAP).

A configuração neste guia usa o server de Microsoft AD/LDAP. Este documento igualmente cobre recursos avançados, tais como mapas do atributo OCSP e LDAP.

Pré-requisitos

Requisitos

Um conhecimento básico de Cisco ASA, Cisco VPN Client, Microsoft AD/LDAP, e Public Key Infrastructure (PKI) é benéfico compreender a instalação completa. A familiaridade com a membrasia do clube e as propriedades de usuário AD, assim como o LDAP objetam ajudas para correlacionar o processo da autorização entre os atributos do certificado e objetos AD/LDAP.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • A ferramenta de segurança adaptável do Cisco 5500 Series (o ASA) essa executa a versão de software 7.2(2)

  • Versão 5.2(1) do Cisco Adaptive Security Device Manager (ASDM)

  • Cisco VPN Client 4.x

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração ASA Cisco

Esta seção cobre a configuração de Cisco ASA com o ASDM. Cobre as etapas necessárias para distribuir um túnel de acesso remoto VPN através de uma conexão IPSec. O certificado CAC é usado para a autenticação, e o atributo do nome principal do usuário (UPN) no certificado é povoado no diretório ativo para a autorização.

Considerações de desenvolvimento

  • Este guia não cobre configurações básicas tais como relações, DNS, NTP, roteamento, acesso de dispositivo, ou acesso ASDM, etc. Supõe-se que o operador de rede é familiar com estas configurações.

    Para mais informação, refira ferramentas de segurança Multifunction.

  • Algumas seções são configurações imperativas necessárias para o acesso básico VPN. Por exemplo, um túnel VPN pode ser setup com o cartão CAC sem verificações OCSP, mapeamentos LDAP verifica. O DoD encarrega de OCSP que verifica, mas dos trabalhos do túnel sem o OCSP configurado.

  • A imagem básica ASA/PIX exigida é 7.2(2) e ASDM 5.2(1), mas este guia usa uma configuração temporária de 7.2.2.10 e de ASDM 5.2.2.54.

  • Nenhuma mudança do esquema LDAP é necessária.

  • Veja o apêndice A para o LDAP & os exemplos do mapeamento da política do acesso dinâmico para o reforço de política adicional.

  • Veja o apêndice D em como verificar objetos LDAP no MS.

  • Veja a seção da “informação relacionada” para uma lista de RFC.

Autenticação, autorização, configuração (AAA) explicando

Os usuários são autenticados com o certificado em seu cartão comum do acesso (CAC) através do server do Certificate Authority (CA) DISA ou do server de CA de suas próprias organizações. O certificado deve ser válido para o Acesso remoto à rede. Além do que a autenticação, os usuários devem igualmente ser autorizados com um objeto do microsoft ative directory ou do Lightweight Directory Access Protocol (LDAP). O departamento de defesa (DoD) exige o uso do atributo do nome principal de usuário (UPN) para a autorização, que é parte da seção alternativa sujeita do nome (SAN) do certificado. O UPN ou o EDI/PI devem estar neste formato – 1234567890@mil. As configurações abaixo da mostra como configurar o servidor AAA no ASA com um servidor ldap para a autorização. Veja o apêndice A para configurações adicionais com LDAP objetar o mapeamento.

Configurar o servidor ldap

Siga estas instruções:

  1. Vai ao acesso remoto VPN > ao AAA Setup > o Grupo de servidores AAA.

  2. Nos Grupos de servidores AAA apresente, clique adicionam.

  3. Dê entrada com o nome do grupo de servidor, e escolha o LDAP no botão Protocol Radio Button. Veja figura 1.

  4. Nos server na tabela selecionada do grupo, o clique adiciona. Certifique-se de que o server que você cria está destacado nesta tabela.

  5. No indicador do servidor AAA da edição, veja figura 2.

    Nota: Escolha a possibilidade LDAP sobre a opção de SSL se seu LDAP/AD é configurado para este tipo de conexão.

    1. Escolha a relação em que o LDAP é ficado situado. Este guia mostra a interface interna.

    2. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do server.

    3. Entre na porta de servidor. A porta do padrão LDAP é 389.

    4. Escolha o tipo de servidor.

    5. Incorpore a base DN. Peça seu administrador AD/LDAP estes valores.

      Figura 1: Adicionar um grupo de servidor

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-1.gif

    6. Sob a opção de escopo, escolha qualquer é apropriado. Isto é dependente da base DN. Peça seu administrador AD/LDAP o auxílio.

    7. No campo do atributo de nomeação, incorpore o userPrincipalName. Este atributo é usado para a autorização de usuário no server AD/LDAP.

    8. No campo do início de uma sessão DN, incorpore o DN do Administrador.

      Nota: O usuário precisa direitos administrativos ou opinião dos direitos/busca a estrutura LDAP que inclui objetos do usuário e membrasia do clube.

    9. No campo de senha de login, incorpore a senha do administrador.

    10. Deixe o atributo LDAP a nenhuns.

      Figura 2

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-2.gif

      Nós usamos esta opção mais tarde a configuração para adicionar o outro objeto AD/LDAP para a autorização.

    11. Clique em OK.

  6. Clique em OK.

Controle pontos confiáveis

Há duas etapas para instalar Certificados no ASA. Primeiramente, instale os certificados de CA (Certificate Authority da raiz e do subordinado) precisou. Em segundo, registre o ASA a um específico CA e obtenha o certificado de identidade. O DoD PKI utiliza estes Certificados: Enraíze o CA2, a raiz da classe 3, o intermediário CA## com que o ASA é registrado, o certificado ASA ID, e o certificado OCSP. Se você escolhe não usar OCSP, o certificado OCSP não precisa de ser instalado.

Nota: Contacte seu POC da Segurança para obter certificados de raiz, assim como instruções em como registrar-se para um certificado de identidade para um dispositivo. Um certificado SSL deve ser suficiente para o ASA para o Acesso remoto. Um certificado duplo SAN não é exigido.

Nota: A máquina local do cliente igualmente tem que ter a corrente de CA do DoD instalada. Os Certificados podem ser vistos na loja do certificado de Microsoft através do internet explorer. O DoD produziu um arquivo de lote que adicionasse automaticamente todos os CA à máquina. Peça seu POC PKI mais informação.

Nota: O DoD CA2 e a classe 3 enraízam (assim como o intermediário ASA ID e de CA que emitiu o certificado ASA) são geralmente os únicos CA necessários para a autenticação de usuário. Todos os intermediários atuais de CA caem sob a corrente da raiz CA2 e de classe 3 e são confiados enquanto as raizes CA2 e de classe 3 são adicionadas.

Gerencia chaves

Siga estas instruções:

  1. Vá ao > gerenciamento de certificado do acesso remoto VPN > ao > Add do certificado de identidade.

  2. Escolha adicionam um certificado novo identificação, e escolhem então novo pela opção do par de chaves.

  3. No indicador do par de chaves adicionar, dê entrada com um nome chave (DoD-1024); clique o rádio para adicionar uma chave nova. Consulte a figura 3.

    Figura 3

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-3.gif

  4. Escolha o tamanho da chave.

  5. Mantenha o uso ao uso geral.

  6. Clique a geração abotoam-se agora.

    Nota: A CA raiz 2 do DoD usa uma chave de 2048 bit. Uma segunda chave que use um par de chaves de 2048 bit deve ser gerada para poder usar este CA. Siga as etapas acima para adicionar uma segunda chave.

Instale pontos confiáveis de CA

Siga estas instruções:

  1. Vá à configuração > às propriedades > ao certificado > ao ponto confiável > à configuração. Veja a figura 4.

  2. Dê entrada com o nome no campo de nome do ponto confiável.

  3. Nos ajustes do registro catalogue, escolha a chave gerada na etapa precedente quando você clica a seta. Escolha a chave 2048 para o ponto confiável da CA raiz 2.

  4. Na seção de modo do registro, escolha a Inscrição manual do uso, APROVAÇÃO, e aplique-a.

    Figura 4: Instale o certificado de raiz

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-57.gif

    Nota: Repita etapas 1-4 para cada ponto confiável que você quer adicionar. Não há nenhum número duro para o número de pontos confiáveis que você pode instalar desde que este é baseado toda na memória no dispositivo. O DoD PKI exige um ponto confiável para cada um destes: CA raiz 2, raiz da classe 3, intermediário CA## e server OCSP. O ponto confiável OCSP não é precisado se você não usa OCSP.

Instale certificados de raiz

Siga estas instruções:

  1. Vá à configuração > às propriedades > ao certificado > à autenticação.

  2. No campo de nome do ponto confiável, escolha o ponto confiável configurado na etapa precedente.

  3. No certificado Text a seção, importe o certificado com um arquivo ou cortare-col o texto codificado base64 (Controlo-C e V).

    Nota: A importação aceita somente arquivos de .txt nesta versão de código, mas o arquivo que você recebe de seu administrador de CA está no formato de .cer. Você pode igualmente mudar a extensão a .txt e para abrir o arquivo a seguir cortare-col o texto na caixa de texto.

    Figura 5: Autenticação de CA

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-58.gif

  4. O clique autentica.

Registre o ASA e instale o certificado de identidade

Siga estas instruções:

  1. Vá à configuração > às propriedades > ao certificado > ao registro.

  2. Escolha um ponto confiável. Clique a seta para baixo no botão de rádio para escolher o ponto confiável intermediário onde você gostaria de registrar o dispositivo ASA.

  3. Clique o botão Edit.

  4. Na janela de configuração do ponto confiável da edição, clique parâmetros do certificado.

  5. Na janela Parâmetros do certificado, escolha o uso nenhuns opção para o FQDN, e o clique edita no assunto DN. Veja a figura 6.

    Figura 6: Parâmetros do certificado de identidade

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-7.gif

  6. No indicador do assunto DN do certificado, incorpore a informação do dispositivo. Veja a figura 7 para um exemplo.

  7. Clique em OK.

    Figura 7: Edite o DN

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-8.gif

    Nota: Certifique-se de que você usa o hostname do dispositivo que está configurado em seu sistema quando você adicionar o assunto DN. O POC PKI pode dizer-lhe os campos imperativos que são exigidos.

  8. Clique a APROVAÇÃO na janela Parâmetros do certificado, e clique a APROVAÇÃO na janela de configuração do ponto confiável da edição.

  9. No indicador do registro, o clique registra-se.

  10. Cortare-col a informação do indicador do pedido do registro; salvar o a um bloco de notas, e clique a APROVAÇÃO. Esta é a informação que precisa de ser enviada ao administrador de CA para pedir um certificado de identidade para o ASA. Veja figura 8.

    Figura 8: Pedido do certificado

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-10.gif

  11. Uma vez que você recebe o certificado do administrador de CA, vá à configuração > às propriedades > ao certificado > ao certificado de importação.

  12. No indicador do certificado de importação, escolha o ponto confiável onde você registrou o dispositivo ASA.

  13. No texto do certificado, importe o arquivo ou cortare-col o base64 ou o arquivo codificado DER que você recebeu de seu administrador de CA. Veja a figura 9.

    Figura 9: Importe o certificado

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-59.gif

    Nota: A importação aceita somente arquivos de .txt nesta versão de código, mas o arquivo que você recebe de seu administrador de CA está no formato de .cer. Você pode igualmente mudar a extensão a .txt, abre o arquivo, e cortara-col então o texto na caixa de texto.

  14. Escolha a importação.

    Nota: Clique o botão Save Button para salvar a configuração na memória Flash.

Configuração de VPN

Isto é opcional se você usa um outro método, tal como o DHCP.

  1. Vá à configuração > ao VPN > ao gerenciamento de endereços IP > às associações IP.

  2. Clique em Add.

  3. No indicador do IP pool adicionar, dê entrada com o nome do IP pool, começando e terminando endereços IP de Um ou Mais Servidores Cisco ICM NT, e escolha uma máscara de sub-rede. Veja a figura 10.

    Figura 10: Adicionar o IP pool

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-13.gif

  4. Clique em OK.

  5. Vá à configuração > ao VPN > ao gerenciamento de endereços IP > à atribuição.

  6. Escolha o método de atribuição apropriado do endereço IP de Um ou Mais Servidores Cisco ICM NT. Este guia usa as associações do endereço interno. Veja figura 11.

    Figura 11: Método de atribuição do endereço IP de Um ou Mais Servidores Cisco ICM NT

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-12.gif

  7. Clique em Apply.

Crie a política do grupo de túneis e do grupo

Nota: Antes que você crie uma política do grupo de túneis e do grupo, vá à configuração > ao VPN > às opções do general > do sistema de VPN e certifique-se de que a caixa está verificada para ver se há a opção do IPSec de entrada da possibilidade….

Agrupe a política

Nota: Se você não quer criar uma política nova, você pode usar o padrão construído na política do grupo.

  1. Vá à configuração > ao VPN > à política do general > do grupo.

  2. O clique adiciona, e escolhe a Política interna de grupo.

  3. No indicador da Política interna de grupo adicionar, dê entrada com o nome para a política do grupo na caixa de texto do nome. Veja figura 12.

    Figura 12: Adicionar a Política interna de grupo

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-60.gif

    1. No tab geral, escolha o IPsec na opção dos protocolos de tunelamento.

    2. Nos server secione, desmarcar a caixa de verificação herdar e incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do DNS e GANHE server. Incorpore o escopo de DHCP, se aplicável.

    3. Na aba do IPsec, deixe-os todos nas configurações padrão: Herde. Faça todas as mudanças apropriadas, caso necessário.

    4. Na aba da configuração de cliente, no general Cliente Parâmetro, desmarcar a caixa de verificação herdar no domínio padrão, e incorpore o Domain Name apropriado.

    5. Na aba da configuração de cliente, no general Cliente Parâmetro, desmarcar a caixa de verificação herdar na seção do conjunto de endereços e adicionar o conjunto de endereços criado na etapa precedente. Clique o nome do conjunto de endereços, e clique-o então adicionam. Se você usa um outro método da atribuição do endereço IP de Um ou Mais Servidores Cisco ICM NT, deixe isto como herdam, e faça a mudança apropriada.

    6. Todo guia de configuração restante é deixado nas configurações padrão.

  4. Clique em OK.

Relação e ajustes da imagem do grupo de túneis

Nota: Se você não quer criar um grupo novo, você pode usar o grupo do acessório do padrão.

  1. Vá à configuração > ao VPN > ao general > ao grupo de túneis. Consulte a Figura 13.

    Figura 13: Adicionar o grupo de túneis

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-61.gif

    Nota: O ASDM configura automaticamente o local como a opção de autenticação se nenhum é escolhido. Você vir uma mensagem quando você bater ESTÁ BEM no fim desta configuração.

    ERROR: The authentication-server-group none command has been
    			 deprecated. 

    Nota: O comando none do isakmp ikev1-user-authentication nos IPsec-atributos deve ser usado pelo contrário. Ajuste o modo de autenticação a nenhuns. Veja figura 14.

  2. O clique adiciona e escolhe o IPsec para o Acesso remoto.

  3. No indicador do perfil adicionar, dê entrada com um nome para o grupo de túneis na caixa de texto do nome.

  4. No indicador de grupo de túneis adicionar, escolha o tab geral > aba básica, e escolha a política do grupo criada na etapa precedente.

  5. Clique a aba da autenticação, e deixe tudo nas opções padrão.

  6. No indicador de grupo de túneis adicionar, clique a aba do IPsec.

    Figura 14: Modo da autenticação IPSec

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-62.gif

  7. Na opção do nome do ponto confiável, escolha o ponto confiável criado na seção anterior.

  8. Ajuste o modo de autenticação a nenhuns como mencionado na nota acima. Veja figura 14.

  9. Clique em OK.

  10. Clique a aba da autorização. No grupo de servidor de autorização, escolha o grupo de servidor ldap criado nas etapas mais adiantadas, e verifique a caixa para ver se há usuários deve existir no base de dados da autorização para conectar.

    Figura 15: Configuração UPN

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-63.gif

  11. Escolha o UPN no campo e em nenhuns do DN principal no campo do DN secundário. Veja figura 15.

  12. Clique em OK.

Nota: Clique o botão Save Button para salvar a configuração na memória Flash.

Configurar parâmetros IKE/ISAKMP

Siga estas instruções:

  1. Vá à configuração > ao VPN > ao IKE > aos parâmetros globais.

  2. Na seção da possibilidade IKE, certifique-se de que a interface externa mostra YE na coluna permitida. Se não, destaque a interface externa, o clique permite, e deixa tudo outro como o padrão.

  3. Vá à configuração > ao IKE > às políticas.

  4. Clique em Add. Incorpore o 10 para o número de prioridade, escolha o 3DES para a criptografia, o sha para a mistura, o RSA-SIG para a autenticação, e os 2 para o DH-grupo; deixe a vida no padrão. Veja figura 16 para um exemplo.

  5. Clique em OK.

    Figura 16: Adicionar a política IKE/ISAKMP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-19.gif

    Nota: Você pode adicionar políticas múltiplas IKE/ISAKMP, se necessário.

  6. Vai à configuração > ao VPN > ao IKE > ao grupo do certificado que combina > a política. Veja figura 17.

  7. Na seção de política, desmarcar todas as caixas de seleção à exceção do uso as regras configuradas combinar um certificado a um grupo.

  8. Vão à configuração > ao VPN > ao IKE > ao grupo do certificado que combina > as regras.

  9. O clique adiciona na tabela superior.

    Figura 17: Política de harmonização do grupo do certificado

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-64.gif

  10. No indicador de harmonização da regra do certificado adicionar, siga estas instruções:

    1. Mantenha o mapa existente DefaultCertificateMap na seção do mapa.

    2. Mantenha o 10 como a prioridade da regra.

    3. Sob o grupo traçado, escolha o grupo de túneis criado na seção mais adiantada quando você clica para baixo o botão de rádio. Veja figura 18.

    4. Clique em OK.

      Figura 18: Adicionar a regra de harmonização do certificado

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-21.gif

  11. O clique adiciona na tabela inferior.

  12. No critério de regra de harmonização do indicador do certificado adicionar, siga estas instruções:

    Figura 19: Critério de regra de harmonização do certificado

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-22.gif

    1. Mantenha a coluna do campo ajustada para sujeitar.

    2. Mantenha o grupo componente da coluna ao campo inteiro.

    3. Mude o operador que a coluna não iguala.

    4. Na coluna de valor, incorpore duas aspas duplas (“").

    5. Clique a APROVAÇÃO e aplique-a. Veja figura 19 para um exemplo.

Configurar parâmetros IPSec

Siga estas instruções:

  1. Vá à configuração > ao VPN > ao IPsec > às regras do IPsec.

  2. Clique em Add.

  3. No indicador da regra do IPsec da criação, na aba básica, siga estas instruções:

    1. Escolha fora para a relação.

    2. Escolha dinâmico para o tipo da política.

    3. Entre em um número de prioridade.

    4. Escolha um conjunto de transformação e o clique adiciona. Este guia usa ESP-AES-256-SHA. Você pode adicionar o conjunto de transformação múltiplo, se necessário.

  4. Clique a aba da seleção do tráfego.

  5. Na seção da relação e da ação, escolha fora para a relação e proteja para a ação.

  6. Na seção da fonte, escolha alguns.

  7. Na seção do destino, escolha o endereço IP de Um ou Mais Servidores Cisco ICM NT do orany mais adiantado criado pool.

  8. Clique em OK.

  9. Clique em Apply.

    Figura 20: Adicionar a regra do IPsec

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-65.gif

Configurar OCSP

Configurar o certificado do que responde OCSP

A configuração OCSP pode variar o dependente em cima do vendedor do que responde OCSP. Leia o manual do vendedor para mais informação.

  1. Obtenha um certificado auto-gerado do que responde OCSP.

  2. Siga os procedimentos mencionados previamente e instale um certificado para o server OCSP.

    Nota: Certifique-se de que a revogação-verificação está ajustada a nenhuns. As verificações OCSP não precisam de acontecer no server real OCSP.

Configurar CA para usar OCSP

Siga estas instruções:

  1. Vá à configuração > às propriedades > ao certificado > ao ponto confiável > à configuração.

  2. Escolha CA configurar a fim usar OCSP quando você o destaca na tabela.

  3. O clique edita.

  4. Clique a aba da verificação da revogação, destaque o OCSP no método da revogação, e clique-o então adicionam. Nos métodos da revogação secione, adicionar OCSP. Consulte a Figura 21.

  5. Assegure-se de que o certificado da consideração válido… não possa ser recuperado esteja desmarcado se você quer seguir a verificação restrita OCSP.

    Figura 21: Verificação da revogação OCSP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-66.gif

    Nota: Configurar/edite todos os server de CA que usam OCSP para a revogação.

  6. Deixe todas as opções padrão nestas abas: Política de recuperação de CRL, de recuperação CRL método, e regras OCSP.

  7. Clique na guia Advanced.

    1. Desmarcar a atualização seguinte do reforço CRL nas opções CRL.

    2. Deixe a extensão do nonce do desabilitação desmarcada.

    3. Deixe todas as outras opções verificadas.

  8. Clique em OK.

Configurar regras OCSP

Nota: Verifique que uma política de harmonização do grupo do certificado está criada e o que responde OCSP está configurado antes que você siga estes procedimentos.

Nota: Certifique-se de que todos os CA estão configurados com as regras à exceção do server OCSP próprias OCSP.

Nota:  Em aplicações algum OCSP, um registro DNS e PTR é precisado para o ASA. Esta verificação é feita para verificar que o ASA é de um local .mil.

  1. Vá à configuração > às propriedades > ao certificado > ao ponto confiável > à configuração.

  2. Escolha um ponto confiável configurar a fim usar OCSP quando você o destaca na tabela.

  3. O clique edita.

  4. Clique a aba da regra OCSP.

  5. Clique em Add.

  6. No indicador da regra adicionar OCSP, siga estas instruções: Veja figura 22.

    Figura 22: Adicionar regras OCSP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-25.gif

    1. Na opção do mapa do certificado, escolha o mapa criado na seção dos parâmetros IKE/ISAKMP: DefaultCertificateMap.

    2. Na opção do certificado, escolha o que responde OCSP.

    3. Na opção de deslocamento predeterminado, incorpore o 10.

    4. Na opção URL, entre no endereço IP de Um ou Mais Servidores Cisco ICM NT ou no hostname do que responde OCSP. Se você usa o hostname, certifique-se de que o servidor DNS está configurado no ASA.)

    5. Clique em OK.

    6. Clique em Apply.

Configuração de Cisco VPN Client

Esta seção cobre a configuração do Cisco VPN Client.

Suposições: O aplicativo do Cisco VPN Client e do middleware é instalado já no host PC. O Cisco VPN Client apoia estes aplicativos do middleware: Gemplus (estação de trabalho 2.0 GemSAFE ou mais atrasadoleavingcisco.com ), Activcard (versão 2.0.1 ou mais recente do ouro de Activcardleavingcisco.com ), e Aladdin (eToken a versão 2.6 ou mais recente do ambiente de tempo de corrida (RTE)leavingcisco.com ).

Comece o Cisco VPN Client

Do host PC, clique o Iniciar > Programas > Cliente de VPN de Sistemas Cisco > o cliente VPN.

Nova conexão

Siga estas instruções:

  1. Clique entradas de conexão.

  2. Clique novo e incorpore então a descrição da conexão e do endereço IP ou nome do host do servidor de VPN. Veja figura 23.

  3. Sob a aba da autenticação, escolha o certificado de autenticação.

  4. Na opção do nome, escolha seu certificado da assinatura e a verificação envia a corrente de certificado de CA. (Geralmente o certificado do padrão que é trabalhos escolhidos, mas você pode tentar os outros Certificados se falha.)

  5. Clique em Salvar.

    Figura 23: Crie a conexão de VPN nova

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-26.gif

Comece o Acesso remoto

Siga estas instruções:

  1. Fazer duplo clique a entrada criada na etapa precedente.

  2. Entre em seu número Pin.

  3. Clique em OK.

Apêndice A – Mapeamento LDAP

Com ASA/PIX libere 7.1(x), uma característica chamada mapeamento LDAP foi introduzido. Esta é uma característica poderosa que forneça um mapeamento entre um atributo de Cisco e objetos LDAP/atributo, que negue a necessidade para a mudança do esquema LDAP. Para a aplicação da autenticação CAC, isto pode apoiar o reforço de política adicional na conexão de acesso remoto. Estão abaixo os exemplos do mapeamento LDAP. Esteja ciente que você precisa direitos do administrador de fazer mudanças no server AD/LDAP.

Cenário 1: Aplicação do diretório ativo com discado da permissão de acesso remoto – Permita/negue o acesso

Este exemplo traça o msNPAllowDailin do atributo AD ao atributo cVPN3000-Tunneling-Protocol de Cisco.

  • O valor de atributo AD: VERDADEIRO = reserve; FALSO = negue

  • O valor de atributo de Cisco: 1 = FALSO, 4 (IPsec) ou 20 (IPsec 4 + 16 WebVPN) = RETIFICA

Para a condição ALLOW, nós traçamos

  • RETIFIQUE = 20

Para a condição do discado DENY, nós traçamos

  • = 1 FALSO

Nota: Certifique-se de que VERDADEIRO e FALSO esteja em todos os tampões. Para obter mais informações sobre dos atributos de Cisco, refira configurar um servidor interno para a autorização de usuário da ferramenta de segurança.

Instalação do diretório ativo

Siga estas instruções:

  1. No servidor ative directory, clique o Iniciar > Executar.

  2. Na caixa de texto aberta, datilografe dsa.msc e clique então a APROVAÇÃO. Isto liga o console de gerenciamento do diretório ativo.

  3. No console de gerenciamento do diretório ativo, clique o sinal positivo expandir os usuários e os computadores de diretório ativo.

  4. Clique o sinal positivo expandir o Domain Name.

  5. Se você tem um OU criado para seus usuários, expanda o OU para ver todos os usuários; se você tem todos os usuários atribuídos na pasta de usuários, expanda esse dobrador para vê-los. Veja a figura A1.

    Figura A1: Console de gerenciamento do diretório ativo

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-40.gif

  6. Fazer duplo clique o usuário que você quer editar.

    Clique o guia de discagem de entrada na página das propriedades de usuário e o clique reserva ou nega. Veja a figura A2.

    Figura A2: Propriedades de usuário

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-41.gif

  7. Clique em OK.

Configuração ASA

Siga estas instruções:

  1. No ASDM, vai à configuração > às propriedades > ao atributo AAA > LDAP o mapa.

  2. Clique em Add.

  3. No indicador do mapa do atributo adicionar LDAP, siga estas instruções: Veja a figura A3.

    Figura A3: Adicionar o mapa do atributo LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-42.gif

    1. Dê entrada com um nome na caixa de texto do nome.

    2. Na aba do nome de mapa, datilografe o msNPAllowDialin na caixa de texto do nome do cliente.

    3. Na aba do nome de mapa, escolha protocolos de tunelamento na opção da gota-para baixo no nome de Cisco.

    4. Clique em Add.

    5. Clique a aba do valor do mapa.

    6. Clique em Add.

    7. No indicador do valor do mapa do atributo LDAP adicionar, datilografe VERDADEIRO na caixa de texto do nome do cliente, e o tipo 20 na caixa de texto do valor de Cisco.

    8. Clique em Add.

    9. Datilografe FALSO na caixa de texto do nome do cliente, e o tipo-1 na caixa de texto do valor de Cisco. Veja a figura A4.

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-43.gif

    10. Clique em OK.

    11. Clique em OK.

    12. Clique em Apply.

    13. A configuração olha como a figura A5.

      Figura A5: Configuração de mapa do atributo LDAP

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-67.gif

  4. Vão à configuração > às propriedades > ao AAA Setup > os Grupos de servidores AAA. Veja a figura A6.

    Figura A6: Grupos de servidores AAA

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-68.gif

  5. Clique o grupo de servidor que você quer editar. Nos server da seção de grupo selecionada, escolha o endereço IP do servidor ou o hostname e clique-os então editam.

  6. Em edite o indicador do servidor AAA, na caixa de texto do mapa do atributo LDAP, escolhem o mapa do atributo LDAP criado no botão da gota-para baixo. Veja a figura A7.

    Figura A7: Adicionar o mapa do atributo LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-46.gif

  7. Clique em OK.

Nota: Gire sobre a eliminação de erros LDAP quando você testar para verificar se o emperramento LDAP e o mapeamento do atributo trabalham corretamente. Veja o C do apêndice para comandos de Troubleshooting.

Cenário 2: A aplicação do diretório ativo com a membrasia do clube a reservar/nega o acesso

Este exemplo usa o memberOf do atributo LDAP para traçar ao atributo do protocolo de tunelamento de Cisco para estabelecer uma membrasia do clube como uma circunstância. Para que esta política trabalhe, você deve ter estas circunstâncias:

  • Use um grupo existente ou crie um grupo novo para usuários ASA VPN para condições ALLOW.

  • Use um grupo existente ou crie um grupo novo para os usuários NON-ASA para condições DENY.

  • Certifique-se verificar dentro o visor LDAP que você tenha o DN correto para o grupo. Consulte o Apêndice D. Se o DN é errado, o mapeamento não trabalha corretamente.

Nota: Esteja ciente que o ASA pode somente ler a primeira corda do atributo do memberOf nesta liberação. Certifique-se de que o grupo novo criado está na parte superior da lista. A outra opção é pôr um caractere especial na frente do nome desde que o AD olha caracteres especiais primeiramente. A fim obter em torno desta advertência, use o DAP no software 8.x para olhar grupos múltiplos.

Nota: Certifique-se de que um usuário é parte do grupo da negação ou pelo menos outro um grupo de modo que o memberOf seja enviado sempre para trás ao ASA. Você não tem que especificar o FALSO nega a circunstância, mas o melhor prática é fazer assim. Se o nome do grupo existente ou o nome do grupo novo contêm um espaço, incorpore o atributo desse modo: De “operadores CN=Backup, CN = acessório, DC=ggsgseclab, DC=org”.

TRAÇO

  • O valor de atributo AD

    • memberOf CN=ASAUsers, cn=Users, DC=ggsgseclab, DC=org

    • memberOf CN=TelnetClients, cn=Users, DC=labrat, dc=com

  • Valor de atributo de Cisco: 1 = FALSO, 20 = RETIFICA

Para a condição RESERVAR, mapa

  • memberOf CN=ASAUsers, cn=Users, DC=ggsgseclab, DC=org= 20

Para a condição da NEGAÇÃO, mapa

  • memberOf CN=TelnetClients, cn=Users, DC=ggsgseclab, DC=org = 1

Nota: Em uma liberação futura, há um atributo de Cisco para permitir e negar a conexão. Para obter mais informações sobre do atributo de Cisco, refira configurar um servidor interno para a autorização de usuário da ferramenta de segurança.

Instalação do diretório ativo

Siga estas instruções:

  1. No servidor ative directory, clique o Iniciar > Executar.

  2. Na caixa de texto aberta, datilografe dsa.msc e clique a APROVAÇÃO. Isto liga o console de gerenciamento do diretório ativo.

  3. No console de gerenciamento do diretório ativo, clique o sinal positivo expandir os usuários e os computadores de diretório ativo. Veja a figura A8.

    Figura A8: Grupos do diretório ativo

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-47.gif

  4. Clique o sinal positivo expandir o Domain Name.

  5. Clicar com o botão direito a pasta de usuários e escolha novo > grupo.

  6. Dê entrada com um nome do grupo, por exemplo: ASAUsers.

  7. Clique em OK.

  8. Clique a pasta de usuários, e fazer duplo clique então o grupo que você apenas criou.

  9. Clique a aba dos membros, e clique-a então adicionam.

  10. Datilografe o nome do usuário que você quer adicionar, e clique então a APROVAÇÃO.

Configuração ASA

Siga estas instruções:

  1. No ASDM, vai à configuração > às propriedades > ao atributo AAA > LDAP o mapa.

  2. Clique em Add.

  3. No indicador do mapa do atributo adicionar LDAP, siga estas instruções: Veja a figura A9.

    1. Dê entrada com um nome na caixa de texto do nome.

    2. Na aba do nome de mapa, datilografe o memberOf na caixa de texto C. do nome do cliente.

    3. Na aba do nome de mapa, escolha protocolos de tunelamento na opção da gota-para baixo no nome de Cisco.

    4. Clique em Add.

    5. Clique a aba do valor do mapa.

    6. Clique em Add.

    7. No indicador do valor do mapa do atributo LDAP adicionar, datilografe CN=ASAUsers, cn=Users, DC=ggsgseclab, DC=org na caixa de texto do nome do cliente, e no tipo 20 na caixa de texto do valor de Cisco.

    8. Clique em Add.

    9. Datilografe CN=TelnetClients, cn=Users, DC=ggsgseclab, DC=org na caixa de texto do nome do cliente, e no tipo-1 na caixa de texto do valor de Cisco. Veja a figura A9.

    10. Clique em OK.

    11. Clique em OK.

    12. Clique em Apply.

    13. A configuração olha como a figura A9.

      Figura A9: Mapa do atributo LDAP

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-55.gif

  4. Vão à configuração > às propriedades > ao AAA Setup > os Grupos de servidores AAA.

  5. Clique o grupo de servidor que você quer editar. Nos server da seção de grupo selecionada, escolha o endereço IP do servidor ou o hostname, e clique-os então editam.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-49.gif

  6. Em edite o indicador do servidor AAA, na caixa de texto do mapa do atributo LDAP, escolhem o mapa do atributo LDAP criado no botão da gota-para baixo.

  7. Clique em OK.

Nota: Gire sobre a eliminação de erros LDAP quando você testar para verificar que o emperramento LDAP e os mapeamentos do atributo trabalham corretamente. Veja o C do apêndice para comandos de Troubleshooting.

Apêndice B – Configuração de CLI ASA

ASA 5510
ciscoasa#show running-config
ASA Version 7.2(2)10
!
hostname lab-asa
domain-name lab.army.mil
names
dns-guard
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.18.120.224 255.255.255.128
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
boot system disk0:/asa722-10-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name lab.army.mil
--------------ACL's-------------------------------------------------
access-list out extended permit ip any any
--------------------------------------------------------------------
---------------VPN Pool---------------------------------------------
ip local pool CAC-USERS 192.168.1.1-192.168.1.254 mask 255.255.255.0
--------------------------------------------------------------------
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
asdm image disk0:/asdm522-54.bin
no asdm history enable
arp timeout 14400
access-group out in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.120.129 1
!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
--------------------------LDAP Maps ---------------------------
ldap attribute-map memberOf
map-name memberOf cVPN3000-Tunneling-Protocols
map-value memberOf CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org 20
map-value memberOf CN=TelnetClinets,CN=Users,DC=ggsgseclab,DC=org 1
ldap attribute-map msNPAllowDialin
map-name msNPAllowDialin cVPN3000-Tunneling-Protocols
map-value msNPAllowDialin FALSE 1
map-value msNPAllowDialin TRUE 20
--------------------------------------------------------------------
--------------------LDAP Server-------------------------------------
aaa-server AD-LDAP protocol ldap
aaa-server AD-LDAP (outside) host 172.18.120.160
ldap-base-dn CN=Users,DC=ggsgseclab,DC=org
ldap-scope onelevel
ldap-naming-attribute userPrincipalName
ldap-login-password *
ldap-login-dn CN=Administrator,CN=Users,DC=ggsgseclab,DC=org
-----------------------VPN Policy------------------------------------
group-policy CAC-USERS internal
group-policy CAC-USERS attributes
vpn-tunnel-protocol IPSec
address-pools value CAC-USERS
--------------------------------------------------------------------
!
---------------------IPsec------------------------------------------
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set 
   ESP-DES-SHA ESP-3DES-MD5 ESP-AES-192-SHA ESP-AES-256-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
--------------------------------------------------------------------
----------------CA Trustpoints--------------------------------------
crypto ca trustpoint CA-13-JITC
revocation-check ocsp
enrollment terminal
fqdn none
subject-name CN=lab-asa,OU=PKI,OU=DoD,O=U.S. Government,C=US
keypair DoD-1024
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint Class3Root
revocation-check ocsp
enrollment terminal
keypair DoD-1024
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint DoD-CA2
revocation-check ocsp
enrollment terminal
keypair DoD-2048
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint DISA-OCSP
enrollment terminal
keypair DoD-1024
crl configure
no enforcenextupdate
--------------------------------------------------------------------
-------------------Certificate Map-------------------------------
crypto ca certificate map DefaultCertificateMap 10
subject-name ne ""
--------------------CA Certificates (Partial Cert is Shown)------------
crypto ca certificate chain CA-13-JITC
certificate 311d
308203fd 30820366 a0030201 02020231 1d300d06 092a8648 86f70d01 01050500
305c310b 30090603 55040613 02555331 18301606 0355040a 130f552e 532e2047
6f766572 6e6d656e 74310c30 0a060355 040b1303 446f4431 0c300a06 0355040b
certificate ca 37
3082044c 30820334 a0030201 02020137 300d0609 2a864886 f70d0101 05050030
60310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
crypto ca certificate chain Class3Root
certificate ca 04
30820267 308201d0 a0030201 02020104 300d0609 2a864886 f70d0101 05050030
61310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
crypto ca certificate chain DoD-CA2
certificate ca 05
30820370 30820258 a0030201 02020105 300d0609 2a864886 f70d0101 05050030
5b310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
c3ad60a4
crypto ca certificate chain DISA-OCSP
certificate ca 00
30820219 30820182 a0030201 02020100 300d0609 2a864886 f70d0101 05050030
3a310b30 09060355 04061302 7573310d 300b0603 55040a13 0441726d 79310d30
-------------------------ISAKMP-------------------------------------
crypto isakmp enable outside
crypto isakmp policy 10
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
-----------------------VPN Group/Tunnel Policy--------------------
tunnel-group CAC-USERS type ipsec-ra
tunnel-group CAC-USERS general-attributes
authorization-server-group AD-LDAP
default-group-policy CAC-USERS
authorization-required
authorization-dn-attributes UPN
tunnel-group CAC-USERS ipsec-attributes
trust-point CA-13-JITC
isakmp ikev1-user-authentication none
tunnel-group-map enable rules
no tunnel-group-map enable ou
no tunnel-group-map enable ike-id
no tunnel-group-map enable peer-ip
tunnel-group-map DefaultCertificateMap 10 CAC-USERS
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
!
service-policy global_policy global
prompt hostname context

Troubleshooting do apêndice c

Pesquisando defeitos o AAA e o LDAP

  • debugar o ldap 255 – trocas dos indicadores LDAP

  • debugar aaa 10 comum – trocas dos indicadores AAA

Exemplo 1: Conexão permitida com o mapeamento correto do atributo

O exemplo abaixo mostra que a saída de debuga o ldap e debuga o aaa comum dentro de uma conexão bem sucedida com a encenação 2 mostrada no apêndice A.

Nota: O grupo de escavação de um túnel é configurado para permitir SOMENTE a conexão IPSec. O agrupamento do membro/atribuição no LDAP é traçado ao valor de 4, que é IPsec. Este mapeamento é o que lhe dá uma condição RESERVAR. Para uma condição da negação, esse valor é 1 para o PPTP.

Figura C1: debugar o LDAP e debugar a saída comum aaa – mapeamento correto
AAA API: In aaa_open
AAA session opened: handle = 39
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction

Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:
[78] Session Start
[78] New request Session, context 0x26f1c44, reqType = 0
[78] Fiber started
[78] Creating LDAP context with uri=ldap:// 172.18.120.160:389
[78] Binding as administrator
[78] Performing Simple authentication for Administrator to 172.18.120.160
[78] Connect to LDAP server: ldap:// 172.18.120.160, status = Successful
[78] LDAP Search:
     Base DN = [CN=Users,DC=ggsgseclab,DC=org]
     Filter = [userPrincipalName=1234567890@mil]
     Scope = [SUBTREE]
[78] Retrieved Attributes:
[78] objectClass: value = top
[78] objectClass: value = person
[78] objectClass: value = organizationalPerson
[78] objectClass: value = user
[78] cn: value = Ethan Hunt
[78] sn: value = Hunt
[78] userCertificate: value = 0..50........../........60...*.
H........0@1.0.....&...,d....com1.0.....&...,d...
[78] userCertificate: value = 0..'0........../..t.....50...*.
H........0@1.0.....&...,d....com1.0.....&...,d...
[78] givenName: value = Ethan
[78] distinguishedName: value = CN=Ethan Hunt,OU=MIL,DC=labrat,DC=com
[78] instanceType: value = 4
[78] whenCreated: value = 20060613151033.0Z
[78] whenChanged: value = 20060622185924.0Z
[78] displayName: value = Ethan Hunt
[78] uSNCreated: value = 14050 
[78] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[78] mapped to cVPN3000-Tunneling-Protocols: value = 20
[78] uSNChanged: value = 14855
[78] name: value = Ethan Hunt
[78] objectGUID: value = ..9...NJ..GU..z.
[78] userAccountControl: value = 66048
[78] badPwdCount: value = 0
[78] codePage: value = 0
[78] countryCode: value = 0
[78] badPasswordTime: value = 127954717631875000
[78] lastLogoff: value = 0
[78] lastLogon: value = 127954849209218750
[78] pwdLastSet: value = 127946850340781250
[78] primaryGroupID: value = 513
[78] objectSid: value = ................q......mY...
[78] accountExpires: value = 9223372036854775807
[78] logonCount: value = 25
[78] sAMAccountName: value = 1234567890
[78] sAMAccountType: value = 805306368
[78] userPrincipalName: value = 1234567890@mil
[78] objectCategory: value =
[78] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
[78] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[78] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, 
user pol = , tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(CAC-USERS)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USER
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, 
user pol = , tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes: 1 Tunnelling-Protocol(4107) 20 20
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10 "CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (39)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

CAC-Test#

Exemplo 2: Conexão permitida com o mapeamento desconfigurado do atributo de Cisco

O exemplo abaixo mostra que a saída de debuga o ldap e debuga o aaa comum dentro de uma conexão permitida com a encenação 2 mostrada no apêndice A.

Note que o mapeamento para ambos os atributos combina o mesmo valor, que está incorreto.

Figura C2: debugar o LDAP e debugar a saída comum aaa – mapeamento incorreto
AAA API: In aaa_open
AAA session opened: handle = 41
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction

Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:

[82] Session Start
[82] New request Session, context 0x26f1c44, reqType = 0
[82] Fiber started
[82] Creating LDAP context with uri=ldap://172.18.120.160:389
[82] Binding as administrator
[82] Performing Simple authentication for Administrator to
172.18.120.160

[82] Connect to LDAP server: ldap:// 172.18.120.160:389, status =
Successful
[82] LDAP Search:
   Base DN = [CN=Users,DC=ggsgseclab,DC=org]
   Filter = [userPrincipalName=1234567890@mil]
   Scope = [SUBTREE]

[82] Retrieved Attributes:
[82] objectClass: value = top
[82] objectClass: value = person
[82] objectClass: value = organizationalPerson
[82] objectClass: value = user
[82] cn: value = Ethan Hunt
[82] sn: value = Hunt
[82] userCertificate: value =
0..50........../........60...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] userCertificate: value =
0..'0........../..t.....50...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] givenName: value = Ethan
[82] distinguishedName: value = CN=Ethan
Hunt,OU=MIL,DC=labrat,DC=com
[82] instanceType: value = 4
[82] whenCreated: value = 20060613151033.0Z
[82] whenChanged: value = 20060622185924.0Z
[82] displayName: value = Ethan Hunt
[82] uSNCreated: value = 14050
[82] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] mapped to cVPN3000-Tunneling-Protocols: value =
CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] uSNChanged: value = 14855
[82] name: value = Ethan Hunt
[82] objectGUID: value = ..9...NJ..GU..z.
[82] userAccountControl: value = 66048
[82] badPwdCount: value = 0
[82] codePage: value = 0
[82] countryCode: value = 0
[82] badPasswordTime: value = 127954717631875000
[82] lastLogoff: value = 0
[82] lastLogon: value = 127954849209218750
[82] pwdLastSet: value = 127946850340781250
[82] primaryGroupID: value = 513
[82] objectSid: value = ................q......mY...
[82] accountExpires: value = 9223372036854775807
[82] logonCount: value = 25
[82] sAMAccountName: value = 1234567890
[82] sAMAccountType: value = 805306368
[82] userPrincipalName: value = 1234567890@mil
[82] objectCategory: value =
CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org
[82] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
[82] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[82] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(USAFE)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USERS
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status =
ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes:
1 Tunnelling-Protocol(4107) 20 0
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10
"CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (41)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

Pesquisando defeitos o Certificate Authority/OCSP

  • debug crypto ca 3

  • No modo de configuração, eliminação de erros de registro do console da classe Ca (ou o buffer)

Os exemplos abaixo mostram uma validação certificada bem sucedida com o que responde OCSP e uma política de harmonização falhada do grupo do certificado.

A figura C3 mostra o resultado do debug que tem um certificado validado e uma política de harmonização de trabalho do grupo do certificado.

A figura C4 mostra o resultado do debug de uma política de harmonização do grupo desconfigurado do certificado.

A figura C5 mostra o resultado do debug de um usuário com um certificado revogado.

Figura C3: Eliminação de erros OCSP – Validação certificada bem sucedida
CRYPTO_PKI: Attempting to find tunnel group for cert with serial number:
 2FB5FC74000000000035,
 subject name: cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=com, issuer_name: 
cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, 
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap 
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. Attempting 
to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert: 
serial number: 2FB5FC74000000000035, subject name: 
cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, issuer_name: cn=ggsgseclab,
dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,
dc=org, map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
 sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://ocsp.disa.mil,
 Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match CRYPTO_PKI:Certificate validated.
serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,
dc=ggsgseclab,dc=org.
CRYPTO_PKI: Certificate validated
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=

Figura C4: Saída de uma política de harmonização falhada do grupo do certificado

Figura C4: Saída de uma política de harmonização falhada do grupo do certificado
CRYPTO_PKI: Attempting to find tunnel group for cert with serial number: 
2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,
dc=org, issuer_name: cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map FAILED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, 
map rule: subject-name eq "".
CRYPTO_PKI: Peer cert could not be authorized with map: DefaultCertificateMap.
No Tunnel Group Match for peer certificate.
Unable to locate tunnel group map

Figura C5: Saída de um certificado revogado
n %PI=X-3-7E17t02h7a Certinf icaHtue cnhta,in faioled 
uvalidation=. CMertifiIcLa,ted ccha=inl ais eibtrhaer tin,valdid cor =noct 
oamuthori,zed.
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap 
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. 
Attempting to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert:
 serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,
ou=MIL,dc=ggsgseclab,dc=org, issuer_name: cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, map rule: 
subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
 sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://ocsp.disa.mil, 
Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
ERROR: Certificate validation failed, Certificate is revoked, 
serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,
dc=ggsgseclab,dc=org
CRYPTO_PKI: Certificate not validated

Pesquisando defeitos o IPSEC

  • isakmp do debug crypto – fase de negociação dos indicadores IKE/ISAKMP

  • IPsec do debug crypto – fase da negociação de IPSec dos indicadores

  • motor do debug crypto – mensagens IPSec dos indicadores

  • mensagens do debug crypto ca – mensagens dos indicadores PKI

  • transações do debug crypto ca – transações dos indicadores PKI

Apêndice D – Verifique objetos LDAP no MS

No CD 2003 do servidor Microsoft, há as ferramentas adicionais que podem ser instaladas para ver a estrutura LDAP, assim como os objetos LDAP/atributos. A fim instalar estas ferramentas, vá ao diretório do apoio no CD e então nas ferramentas. Instale SUPTOOLS.MSI.

Visor LDAP

Siga estas instruções:

  1. Após a instalação, vá ao Iniciar > Executar.

  2. Datilografe o ldp e clique então a APROVAÇÃO. Isto começa o visor LDAP.

  3. A conexão do clique > conecta.

  4. Dê entrada com o nome do servidor, e clique então a APROVAÇÃO.

  5. Clique a conexão > o ligamento.

  6. Incorpore um nome de usuário e senha.

    Nota: Você precisa direitos do administrador.

  7. Clique em OK.

  8. Objetos da vista LDAP. Veja a figura D1.

    Figura D1: Visor LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-56.gif

Editor da relação dos serviços de diretório ativo

  • No servidor ative directory, vá ao Iniciar > Executar.

  • Datilografe adsiedit.msc. Isto começa o editor.

  • Clicar com o botão direito um objeto, e clique propriedades.

Esta ferramenta mostra-lhe todos os atributos para objetos específicos. Veja a figura D2.

Figura D2: O ADSI edita

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-54.gif


Informações Relacionadas


Document ID: 107273