Segurança : Cisco Secure Access Control Server para Windows

Using Cisco Secure ACS for Windows with the VPN 3000 Concentrator – IPSec (Usando o Cisco Secure ACS para Windows com o VPN 3000 Concentrator – IPSec)

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento recomenda a configuração a mais fácil para o Serviço de controle de acesso Cisco Secure (ACS) para que Windows autentique os usuários que conectam a um VPN 3000 concentrator. Um grupo em um VPN 3000 concentrator é uma coleção de usuários tratada como uma entidade única. A configuração dos grupos, ao contrário dos usuários individuais, pode simplificar tarefas de configuração do gerenciamento de sistema e da aerodinâmica. Em liberações precedentes, somente a identidade, a Segurança, o acesso, o desempenho, o DNS, as VITÓRIAS, e os protocolos de tunelamento foram configurados para grupos.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • O RAIO do Cisco Secure ACS for Windows é instalado e opera-se corretamente com outros dispositivos.

  • O Cisco VPN 3000 Concentrator é configurado e pode ser controlado com a interface HTML.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão de RADIUS 4.0 do Cisco Secure ACS for Windows ou mais atrasado.

  • Versão 4.7 ou mais recente do Cisco VPN 3000 Concentrator.

Com o 3.0 da liberação de Microsoft Windows e mais tarde, você pode configurar e executar estas funções em uma base por grupo.

  • Autenticação (domínio do RAIO, do NT, SDI, ou servidor interno.) *

  • Explicar (a contabilidade do usuário RADIUS recolhe dados no tempo de conexão do usuário e pacotes transmitidos.)

  • Conjuntos de endereços (permite que você atribua endereços IP de Um ou Mais Servidores Cisco ICM NT internamente de um conjunto configurado.)

Nota: * a autenticação Grupo-baseada não apoia vários servidores SDI até à data da identificação de bug Cisco CSCdu57258 (o clientes registrados somente)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Use grupos no VPN 3000 concentrator

Os grupos podem ser definidos para ambo o Cisco Secure ACS for Windows e o VPN 3000 concentrator, mas usam grupos um tanto diferentemente. Execute estas tarefas a fim simplificar coisas:

  • Configurar um único grupo no VPN 3000 concentrator para estabelecer o túnel inicial. Isto é chamado frequentemente o grupo de túneis e é usado para estabelecer uma sessão cifrada do Internet Key Exchange (IKE) ao VPN 3000 concentrator usando uma chave pré-compartilhada (o group password). Esta é o mesmos nome do grupo e senha que devem ser configurados em todo o VPN 3000 Clients que quer conectar ao concentrador VPN.

  • Configurar os grupos no server do Cisco Secure ACS for Windows que usam atributos de RADIUS padrão e específico do vendedor atribui (VSA) para o Gerenciamento de políticas. Os VSA que devem ser usados com o VPN 3000 concentrator são os atributos do RAIO (VPN3000).

  • Configurar usuários no servidor Radius do Cisco Secure ACS for Windows e atribua-os a um dos grupos configurados no mesmo server. Os usuários herdam os atributos definidos para seu grupo e o Cisco Secure ACS for Windows envia aqueles atributos ao concentrador VPN quando o usuário é autenticado.

Como o VPN 3000 Concentrator usa os atributos de grupo e de usuário

Depois que o VPN 3000 concentrator autentica o grupo de túneis com o concentrador VPN e o usuário com RAIO, deve organizar os atributos que recebeu. O concentrador usa os atributos neste ordem de preferência, se a autenticação está feita no concentrador VPN ou com RAIO:

  1. Atributos de usuário — Estes atributos tomam sempre a precedência sobre toda a outro.

  2. Atributos do grupo de túneis — Todos os atributos não retornados quando o usuário foi autenticado são preenchidos pelos atributos do grupo de túneis.

  3. Atributos de grupo base — Algum atribui desaparecidos do usuário ou os atributos do grupo de túneis são preenchidos pelos atributos de grupo base do concentrador VPN.

Configurar o servidor Radius e o VPN 3000 concentrator

Termine estas etapas para configurar o servidor Radius e o VPN 3000 concentrator.

  1. Adicionar o servidor Radius do Cisco Secure ACS for Windows à configuração do VPN 3000 concentrator.

    1. Use um navegador da Web para conectar ao VPN 3000 concentrator datilografando o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface confidencial na barra de localização ou de endereço de seu navegador.

    2. Entre ao concentrador VPN (padrão: Início de uma sessão = admin, password=admin).

    3. Selecione o configuração > sistema > servidores > autenticação, e o clique adiciona (do menu esquerdo).

      /image/gif/paws/13874/CiscoSecure-11.gif

    4. Selecione o tipo de servidor radius e adicionar estes parâmetros para seu servidor Radius do Cisco Secure ACS for Windows. Deixe todos parâmetros restantes em seu estado padrão.

      • Authentication Server — Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de seu servidor Radius do Cisco Secure ACS for Windows.

      • Segredo de servidor — Incorpore o servidor secreto radius. Este deve ser o mesmo segredo que você se usa quando você configura o VPN 3000 concentrator na configuração do Cisco Secure ACS for Windows.

      • Verifique — Reenter a senha para verificação.

        Isto adiciona o Authentication Server na configuração global do VPN 3000 concentrator. Este server está usado por todos os grupos à exceção de quando um Authentication Server foi definido especificamente. Se um Authentication Server não é configurado para um grupo, reverte ao server da autenticação global.

      /image/gif/paws/13874/CiscoSecure-1.gif

  2. Configurar o grupo de túneis no VPN 3000 concentrator.

    1. Selecione o configuration > user management > os grupos (do menu esquerdo) e o clique adiciona.

    2. Mude ou adicionar estes parâmetros nos guias de configuração. Não clique aplicam-se até que você mude todos estes parâmetros:

      Nota: Estes parâmetros são o mínimo necessário para conexões VPN de acesso remoto. Estes parâmetros igualmente supõem que as configurações padrão no grupo base no VPN 3000 concentrator não estiveram mudadas.

      Identidade

      • Nome do grupo — Datilografe um nome do grupo. Por exemplo, IPsecUsers.

      • Senha — Incorpore uma senha para o grupo. Esta é a chave pré-compartilhada para a sessão de IKE.

      • Verifique — Reenter a senha para verificação.

      • Tipo — Deixe isto como o padrão: Interno.

        /image/gif/paws/13874/CiscoSecure-2.gif

      IPsec

      • Tipo de túnel — Selecione o acesso remoto.

      • Autenticação — RAIO. Isto diz ao concentrador VPN que método a se usar para autenticar usuários.

      • Config de modo — Selecione a caixa de verificação de configuração de modo.

      /image/gif/paws/13874/CiscoSecure-3.gif

    3. Clique em Apply.

  3. Configurar server da autenticação múltipla no VPN 3000 concentrator.

    1. Uma vez que o grupo é definido, destaque esse grupo, e o clique altera o AUTH. Server. Os Authentication Server individuais podem ser definidos para cada grupo mesmo se estes server não existem nos server globais.

    2. Selecione o tipo de servidor radius, e adicionar estes parâmetros para seu servidor Radius do Cisco Secure ACS for Windows. Deixe todos parâmetros restantes em seu estado padrão.

      • Authentication Server — Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de seu servidor Radius do Cisco Secure ACS for Windows.

      • Segredo de servidor — Incorpore o servidor secreto radius. Este deve ser o mesmo segredo que você se usa quando você configura o VPN 3000 concentrator na configuração do Cisco Secure ACS for Windows.

      • Verifique — Reenter a senha para verificação.

      /image/gif/paws/13874/CiscoSecure-4.gif

  4. Adicionar o VPN 3000 concentrator à configuração do servidor do Cisco Secure ACS for Windows.

    1. Fazer duplo clique o ícone de Admin do ACS para começar a sessão de administrador no PC que executa o servidor Radius do Cisco Secure ACS for Windows. Entre com o nome de usuário apropriado e a senha, se for necessário.

    2. Selecione a configuração de rede, e o clique adiciona a entrada sob o grupo de dispositivo de rede.

      1. Crie o nome do grupo novo.

      2. Clique em Submit. O nome do grupo novo aparece nos grupos de dispositivo de rede alista.

        Em vez de criar um grupo novo, você pode clicar o grupo não atribuído e adicionar o concentrador VPN como o cliente de AAA. Mas Cisco não recomenda que você cria um grupo novo.

      3. Clique o grupo novo e o clique adiciona a entrada sob os clientes de AAA.

        Nota: No contexto do Cisco Secure ACS, um cliente de AAA é todo o dispositivo de rede que fornecer a funcionalidade do cliente de AAA e apoia um protocolo de segurança AAA que seja apoiado igualmente pelo Cisco Secure ACS. Isto inclui Firewall do Cisco access servers, do Cisco PIX, de Roteadores do Concentradores Cisco VPN série 3000, do Concentradores Cisco VPN série 5000, do Cisco IOS� dispositivos, de Access point 340 e 350 do Cisco Aironet, e algum Switches do Cisco catalyst.

      4. Adicionar estes parâmetros para seu VPN 3000 concentrator:

      • Nome de host do cliente AAA — Entre no hostname de seu VPN 3000 concentrator (para a resolução de DNS).

      • Endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente de AAA — Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de seu VPN 3000 concentrator.

      • Chave — Incorpore o servidor secreto radius. Este deve ser o mesmo segredo que você configurou quando você adicionou o Authentication Server no concentrador VPN em etapa 1.

      • Grupo de dispositivo de rede — Da lista, selecione o grupo de dispositivo de rede em que o concentrador VPN pertence.

      • Autentique usando-se — Selecione o RAIO (Cisco VPN 3000/ASA/PIX 7.x e mais tarde). Isto permite que o VPN3000 VSA indique no indicador da configuração de grupo.

      CiscoSecure-6.gif

    3. Clique em Submit.

    4. Configuração da interface, RAIO Cisco VPN 3000/ASA/PIX 7.x do clique e mais tarde, e grupo seletos [26] da verificação específico de fornecedor.

      Nota: 'O atributo RADIUS 26' refere todos os atributos específicos do vendedor. Por exemplo, a configuração da interface > o RAIO seletos (Cisco VPN 3000/ASA/PIX 7.x e mais tarde) e consideram que todos os atributos disponíveis começam com 026. Isto mostra que todos estes atributos específicos do vendedor caem sob o padrão do RADIUS IETF 26. Estes atributos não aparecem no usuário ou na instalação de grupo à revelia. A fim aparecer na instalação de grupo, crie um cliente de AAA (neste caso VPN 3000 concentrator) que autentique com RAIO na configuração de rede. Verifique então os atributos que precisam de aparecer na instalação de usuário, na instalação de grupo, ou em ambos da configuração da interface.

      O documento descreve os atributos disponíveis e seus atributos RADIUS do uso.

    5. Clique em Submit.

  5. Adicionar grupos à configuração do Cisco Secure ACS for Windows.

    1. Selecione a instalação de grupo, a seguir selecione um dos grupos do molde (por exemplo, grupo 0), e o clique rebatiza o grupo.

      /image/gif/paws/13874/CiscoSecure-13.gif

      Mude o nome a algo apropriado para sua organização. Por exemplo, planejamento, vendas, ou mercado. Desde que os usuários são adicionados a estes grupos, faça o nome do grupo refletir a finalidade real desse grupo. Se todos os usuários são postos no mesmo grupo, você pode chamá-lo grupo de usuários VPN.

    2. O clique edita ajustes para editar os parâmetros em seu grupo recentemente rebatizado.

    3. O Cisco VPN 3000 RADIUS/ASA/PIX 7.x do clique e mais tarde e configura estes atributos recomendados. Isto permite os usuários atribuídos a este grupo para herdar os atributos RADIUS do Cisco VPN 3000, que permite que você centralize políticas para todos os usuários no Cisco Secure ACS for Windows.

      Nota: Tecnicamente, Cisco VPN 3000/ASA/PIX 7.x e uns atributos RADIUS mais atrasados não estão exigidos ser configurados enquanto o grupo de túneis é etapa estabelecida 2 recomenda e o grupo base no concentrador VPN não muda das configurações padrão originais.

      Atributos VPN3000 recomendados:

      • DN principais — Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de seu servidor de DNS principal.

      • DN secundários — Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de seu servidor de DNS secundário.

      • Preliminar-VITÓRIAS — Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de seu servidor WINS principal.

      • Secundário-VITÓRIAS — Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de seu servidor secundário WINS.

      • Protocolos de tunelamento — Selecione o IPsec. Isto permite somente conexões do cliente de IPSec. O PPTP ou o L2TP não são permitidos.

      • IPsec-SEC-associação — Incorpore o ESP-3DES-MD5. Isto assegura-se de que todos seus clientes de IPSec conectem com a criptografia mais elevada disponível.

      • IPsec-Permitir-Senha-loja — Seleto recuse assim que não são permitidos aos usuários salvar sua senha no cliente VPN.

      • IPsec-bandeira — Entre em um banner de mensagem de boas-vindas a ser apresentado ao usuário em cima da conexão. Por exemplo, “boa vinda ao acesso do empregado VPN de MyCompany!”

      • Domínio do IPsec-padrão — Incorpore o Domain Name de sua empresa. Por exemplo, “mycompany.com”.

      /image/gif/paws/13874/CiscoSecure-7.gif

      Este grupo de atributos não é necessário. Mas se você é incerto se os atributos de grupo base do VPN 3000 concentrator mudaram, a seguir Cisco recomenda que você configura estes atributos:

      • Simultâneo-inícios de uma sessão — Entre no número de vezes que você permite que um usuário entre simultaneamente com o mesmo nome de usuário. A recomendação é 1 ou 2.

      • SEP-Cartão-atribuição — Selecione o Algum-SEP.

      • IPsec-MODE-configuração — Selecione SOBRE.

      • IPsec-Através-NAT — Selecione FORA, a menos que você quiser usuários neste grupo conectar usando o IPsec sobre o protocolo UDP. Se você seleciona SOBRE, o cliente VPN ainda tem a capacidade para desabilitar o IPsec com o NAT e para conectá-lo localmente normalmente.

      • IPsec-Através-NAT-porta — Selecione um número de porta UDP na escala de 4001 a 49151. Isto é usado somente se o IPsec-através-NAT está LIGADA.

      O grupo seguinte de atributos exige que você ajusta algo acima no concentrador VPN primeiramente antes que você possa os usar. Isto é recomendado somente para usuários avançados.

      • Horas do acesso — Isto exige-o estabelecer uma escala das horas do acesso no VPN 3000 concentrator sob o Configuration > Policy Management. Em lugar de, use as horas do acesso disponíveis no Cisco Secure ACS for Windows para controlar este atributo.

      • IPsec-Separação-Túnel-lista — Isto exige-o estabelecer um liste de redes no concentrador VPN sob o configuração > gerenciamento de política > gerenciamento de tráfego. Esta é uma lista de rede enviada para baixo ao cliente que diz o cliente para cifrar dados somente 2 aquelas redes na lista.

    4. Seleto submeta > reinício para salvar a configuração e para ativar o grupo novo.

    5. Repita estas etapas para adicionar mais grupos.

  6. Configurar usuários no Cisco Secure ACS for Windows.

    1. Selecione a instalação de usuário, incorpore um username, e o clique adiciona/edita.

      CiscoSecure-12.gif

    2. Configurar estes parâmetros sob a seção de instalação de usuário:

      • Autenticação de senha — Selecione o banco de dados seguro de Cisco.

      • Senha de PAP segura de Cisco — Incorpore uma senha para o usuário.

      • Cisco PAP seguro - Confirme a senha — Reenter a senha para o novo usuário.

      • O grupo a que o usuário é atribuído — selecione o nome do grupo que você criou na etapa precedente.

      /image/gif/paws/13874/CiscoSecure-8.gif

    3. Clique submetem-se para salvar e ativar as configurações de usuário.

    4. Repita estas etapas para adicionar usuários adicionais.

  7. Autenticação de teste.

    Selecione o configuração > sistema > servidores > autenticação > o teste no VPN 3000 concentrator.

    /image/gif/paws/13874/CiscoSecure-5.gif

    Autenticação de teste do concentrador VPN ao server do Cisco Secure ACS for Windows incorporando o nome de usuário e senha que você configurou no Cisco Secure ACS for Windows.

    CiscoSecure-9.gif

    Em uma boa autenticação, o concentrador VPN mostra um mensagem " autenticação bem-sucedida ".

    /image/gif/paws/13874/CiscoSecure-10.gif

    Se há no Cisco Secure ACS for Windows, o menu dos relatórios do Cisco Secure ACS for Windows e da atividade > das falhas de tentativa mostra as falhas. Em uma instalação padrão, estes relatórios da falha estão no disco em tentativas de c:\Program Files\CiscoSecure ACS v2.5\Logs\Failed.

    Nota: O Cisco VPN 3000 Concentrator usa somente o protocolo password authentication (PAP) quando a autenticação de teste é usada.

  8. Conecte ao VPN 3000 concentrator.

    Agora você pode conectar ao VPN 3000 concentrator usando o cliente. Seja certo que o cliente VPN está configurado para usar o mesmos nome do grupo e senha configurados em etapa 2.

Adicionar relatório

Depois que a autenticação trabalha, você pode adicionar a contabilidade.

No VPN3000, selecione o Configuration > System > os server > a contabilidade.

CiscoSecure-15.gif

O clique adiciona a fim adicionar o server do Cisco Secure ACS for Windows.

/image/gif/paws/13874/CiscoSecure-14.gif

Você pode adicionar servidores de contabilidade individuais a cada grupo quando você seleciona o configuration > user management > os grupos. Destaque um grupo e o clique altera Acct. Server.

/image/gif/paws/13874/CiscoSecure-16.gif

Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de contabilidade com o segredo de servidor.

/image/gif/paws/13874/CiscoSecure-17.gif

No Cisco Secure ACS for Windows, os registros de contabilidade aparecem enquanto esta saída mostra:

Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,
  Acct-Session-Id, Acct-Session-Time,Service-Type,Framed-Protocol,
  Acct-Input-Octets, Acct-Output-Octets, Acct-Input-Packets,
  Acct-Output-Packets,Framed-IP-Address,NAS-Port, 
  NAS-IP-Address03/23/2000,14:04:10, csntuser,3000,,Start,7ED00001,,Framed, 
  PPP,,,,,10.99.99.1,1009,172.18.124.133 03/23/2000,14:07:01,csntuser,3000,,
  Stop,7ED00001,171,Framed,PPP,5256,0,34,0,10.99.99.1, 1009,172.18.124.133

Especifique associações do IP individual para cada grupo

Você pode especificar associações do IP individual a cada grupo. O usuário é atribuído um endereço IP de Um ou Mais Servidores Cisco ICM NT do pool configurado para o grupo. Se um pool não é definido para um grupo particular, o usuário está atribuído um endereço IP de Um ou Mais Servidores Cisco ICM NT do conjunto global. Selecione o configuration > user management > os grupos para configurar associações individuais para cada grupo.

/image/gif/paws/13874/CiscoSecure-16.gif

Destaque um grupo e o clique altera o conjunto de endereços. O clique adiciona para adicionar o IP pool. O pool dos endereços IP de Um ou Mais Servidores Cisco ICM NT definidos aqui pode ser um subconjunto do conjunto global.

/image/gif/paws/13874/CiscoSecure-18.gif

Depuração

Se as conexões não trabalham, você pode adicionar o AUTH, o IKE, e as classes de evento de IPSec ao concentrador VPN quando você seleciona o Configuração > Sistema > Eventos > Classes > Modificar (severidade a Log=1-9, severidade a Console=1-3). O AUTHDBG, AUTHDECODE, IKEDBG, IKEDECODE, IPSECDBG, e o IPSECDECODE está igualmente disponível, mas pode fornecer demasiada informação. Se a informação detalhada é precisada nos atributos que estão passados para baixo do servidor Radius, o AUTHDECODE, o IKEDECODE, e o IPSECDECODE fornecem este na severidade ao nível Log=1-13.

/image/gif/paws/13874/CiscoSecure-19.gif

Recupere o log de eventos da monitoração > do log filtrável de eventos.

/image/gif/paws/13874/CiscoSecure-20.gif

As falhas do Cisco Secure ACS for Windows são encontradas nos relatórios e na atividade > nas falhas de tentativa > no active.csv.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13874