Sem fio/Mobilidade : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA : Exemplo de Configuração de Grupos de Servidores de Autenticação Kerberos e Autorização LDAP para Usuários de VPN via ASDM/CLI

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (30 Julho 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
Configuração da Autenticação e da Autorização de Usuários de VPN Usando o ASDM
      Configuração de Servidores de Autenticação e Autorização
      Configuração de um Grupo de Túnel VPN para Autenticação e Autorização
Configuração da Autenticação e Autorização de Usuários de VPN Usando a CLI
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como utilizar o Cisco Adaptive Security Device Manager (ASDM) para a configuração de grupos de servidores de autenticação Kerberos e autorização LDAP no Cisco PIX 500 Series Security Appliance. Neste exemplo, os grupos de servidores criados serão utilizados pela política de um grupo de túnel VPN para autenticar e autorizar os usuários que se conectam.

Pré-requisitos

Requisitos

Este documento pressupõe que o PIX esteja completamente operacional e configurado de forma a permitir que o ASDM efetue alterações de configuração.

Nota: Consulte Permitindo o Acesso HTTPS para o ASDM para permitir que o PIX seja configurado pelo ASDM.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco PIX Security Appliance Software versão 7.x ou posterior

  • Cisco ASDM versão 5.x ou posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser utilizada com o Cisco Adaptive Security Appliance (ASA) versão 7.x.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Nem todos os métodos de autenticação e autorização disponíveis no software do PIX/ASA 7.x são aceitos quando você lida com usuários de VPN. Esta tabela detalha os métodos que estão disponíveis para os usuários de VPN:

 

Local

RADIUS

TACACS+

SDI

NT

Kerberos

LDAP

Autenticação

Sim

Sim

Sim

Sim

Sim

Sim

Não

Autorização

Sim

Sim

Não

Não

Não

Não

Sim

Nota: O Kerberos é utilizado para a autenticação e o LDAP é utilizado para a autorização dos usuários de VPN neste exemplo.

Configuração da Autenticação e da Autorização de Usuários de VPN Usando o ASDM

Configuração de Servidores de Autenticação e Autorização

Execute estes passos para configurar grupos de servidores de autenticação e autorização de usuários de VPN por meio do ASDM.

  1. Selecione Configuration > Properties > AAA Setup > AAA Server Groups e clique em Add.

    aa-svrgrps-asdm-1.gif

  2. Defina um nome para o novo grupo de servidores de autenticação e selecione um protocolo.

    A opção Accounting Mode destina-se somente ao RADIUS e TACACS+. Clique em OK após concluir.

    aa-svrgrps-asdm-2.gif

  3. Repita os passos 1 e 2 para criar um novo grupo de servidores de autorização.

    aa-svrgrps-asdm-3.gif

  4. Clique em Apply para enviar as alterações para o dispositivo.

    aa-svrgrps-asdm-4.gif

    Se ele estiver configurado para isso, o dispositivo agora visualizará os comandos que forem adicionados à configuração em execução.

  5. Clique em Send para enviar os comandos ao dispositivo.

    aa-svrgrps-asdm-5.gif

    Os grupos de servidores recém-criados devem ser preenchidos com servidores de autenticação e de autorização.

  6. Selecione Configuration > Properties > AAA Setup > AAA Servers e clique em Add.

    aa-svrgrps-asdm-6.gif

  7. Configure um servidor de autenticação. Clique em OK após concluir.

    aa-svrgrps-asdm-7.gif

    • Server Group — Selecione o grupo de servidores de autenticação configurado no passo 2.

    • Interface Name — Selecione a interface onde o servidor se encontra.

    • Server IP Address — Especifique o endereço IP do servidor de autenticação.

    • Timeout — Especifique o tempo máximo, em segundos, para aguardar uma resposta do servidor.

    • Parâmetros do Kerberos:

      • Server Port — A porta padrão do Kerberos é a 88.

      • Retry Interval — Selecione o intervalo desejado entre as tentativas.

      • Kerberos Realm — Insira o nome do seu realm de Kerberos. Frequentemente ele é o nome do domínio Windows em letras maiúsculas.

  8. Configure um servidor de autorização. Clique em OK quando terminar.

    aa-svrgrps-asdm-8.gif

    • Server Group — Selecione o grupo de servidores de autorização configurado no passo 3.

    • Interface Name — Selecione a interface onde o servidor se encontra.

    • Server IP Address — Especifique o endereço IP do servidor de autorização.

    • Timeout — Especifique o tempo máximo, em segundos, para aguardar uma resposta do servidor.

    • Parâmetros do LDAP:

      • Server Port — A porta padrão do LDAP é a 389.

      • Base DN — Insira o local da hierarquia do LDAP onde o servidor deve começar a pesquisar uma vez que receba uma solicitação de autorização.

      • Scope — Selecione a extensão da pesquisa que o servidor deve executar na hierarquia do LDAP uma vez que receba uma solicitação de autorização.

      • Naming Attribute(s) — Insira o(s) atributo(s) de Nome Diferenciado Relativo pelos quais as entradas no servidor LDAP são definidas de forma exclusiva. Os atributos comuns de nomeação são Nome Comum (CN) e a ID do Usuário (uid).

      • Login DN — Alguns servidores LDAP, inclusive o servidor Microsoft Active Directory, necessitam que o dispositivo estabeleça um handshake por meio de ligação autenticada antes de aceitarem solicitações de quaisquer outras operações de LDAP. O campo Login DN define as características de autenticação do dispositivo, as quais devem corresponder àquelas de um usuário com privilégios administrativos. Por exemplo, cn=administrator. Para acessos anônimos, deixe esse campo em branco.

      • Login Password — Insira a senha do Login DN.

      • Confirm Login Password — Confirme a senha do Login DN.

  9. Clique em Apply para enviar as alterações ao dispositivo depois que todos os servidores de autenticação e de autorização forem adicionados.

    Se ele estiver configurado para isso, o PIX agora visualizará os comandos que forem adicionados à configuração em execução.

  10. Clique em Send para enviar os comandos ao dispositivo.

Configuração de um Grupo de Túnel VPN para Autenticação e Autorização

Execute estes passos para adicionar os grupos de servidores que você acabou de configurar a um grupo de túnel de VPN.

  1. Selecione Configuration > VPN > Tunnel Group e clique em Add para criar um novo grupo de túnel, ou em Edit para modificar um grupo já existente.

    aa-svrgrps-asdm-9.gif

  2. Na guia General da janela que será mostrada, selecione os grupos de servidores configurados anteriormente.

    aa-svrgrps-asdm-10.gif

  3. Opcional: Configure os parâmetros restantes nas outras guias se for adicionar um novo grupo de túnel.

  4. Clique em OK após concluir.

  5. Clique em Apply para enviar as alterações ao dispositivo depois que a configuração do grupo de túnel estiver concluída.

    Se ele estiver configurado para isso, o PIX agora visualizará os comandos que forem adicionados à configuração em execução.

  6. Clique em Send para enviar os comandos ao dispositivo.

Configuração da Autenticação e Autorização de Usuários de VPN Usando a CLI

Essa é a configuração de interface de linha de comando (CLI) equivalente para os grupos de servidores de autenticação e autorização de usuários de VPN.

Configuração via CLI do Security Appliance

pixfirewall#show run
: Saved
:
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.105 255.255.255.0
!

!--- Saída suprimida.

!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-522.bin


!--- Saída suprimida.


aaa-server my_authent_grp protocol kerberos
aaa-server my_authent_grp host 172.22.1.100
 kerberos-realm REALM.CISCO.COM
aaa-server my_author_grp protocol ldap
aaa-server my_author_grp host 172.22.1.101
 ldap-base-dn ou=cisco
 ldap-scope onelevel
 ldap-naming-attribute uid

http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

tunnel-group DefaultRAGroup general-attributes
 authentication-server-group my_authent_grp
 authorization-server-group my_author_grp

!

!--- Saída suprimida.

Verificação

Execute estes passos para verificar a autenticação do usuário entre o PIX/ASA e o servidor AAA:

  1. Selecione Configuration > Properties > AAA Setup > AAA Servers e escolha o grupo de servidores (my_authent_grp). Em seguida, clique em Test para validar as credenciais do usuário.

    aa-svrgrps-asdm-11.gif

  2. Forneça o nome do usuário e a senha (por exemplo, nome do usuário: teste e senha: teste) e clique em OK para validar.

    aa-svrgrps-asdm-12.gif

  3. Ë possível observar que a autenticação foi bem-sucedida.

    aa-svrgrps-asdm-13.gif

Troubleshooting

  1. Uma causa frequente de falhas de autenticação é o desvio de relógios. Certifique-se de que os relógios no PIX ou no ASA e em seu servidor de autenticação estejam sincronizados.

  2. A pré-autenticação no Active Directory (AD) deve ser desabilitada ou pode levar a falhas de autenticação do usuário.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 68881