Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA 8.0: Configuração da Autenticação RADIUS para Usuários de WebVPN

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (18 Setembro 2007) | Feedback

Índice

Introdução
Pré-requisitos
Configuração do Servidor ACS
Configuração do Security Appliance
      ASDM
      Interface de Linha de Comando
Verificação
      Teste com o ASDM
      Teste com a CLI
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento demonstra como configurar o Cisco Adaptive Security Appliance (ASA) para usar um servidor RADIUS (Remote Authentication Dial-In User Service) para autenticação de usuários de WebVPN. O servidor RADIUS neste exemplo é um servidor Cisco Access Control Server (ACS), versão 4.1. Esta configuração é executada com o Adaptive Security Device Manager (ASDM) 6.0(2) em um ASA executando a versão 8.0(2) do software.

Nota: Neste exemplo, a autenticação RADIUS é configurada para usuários de WebVPN, mas esta configuração também pode ser usada para outros tipos de VPN de acesso remoto. Basta atribuir o grupo de servidor AAA ao perfil de conexão desejado (grupo de túnel) conforme mostrado.

Pré-requisitos

Configuração do Servidor ACS

Nesta seção, você encontrará informações para configurar a autenticação RADIUS no ACS e no ASA.

Execute estes passos para configurar o servidor ACS para comunicação com o ASA.

  1. Escolha Network Configuration no menu à esquerda da tela do ACS.

  2. Escolha Add Entry em AAA Clients.

  3. Forneça as informações do cliente:

    • AAA Client Hostname — um nome de sua escolha

    • AAA Client IP Address — o endereço do qual o security appliance entrará em contato com o ACS

    • Shared Secret — uma chave secreta configurada no ACS e no security appliance

  4. Na lista suspensa Authenticate Using, escolha RADIUS (Cisco VPN 3000/ASA/PIX 7.x+).

  5. Clique em Submit+Apply.

Exemplo de Configuração de Cliente AAA

configure_radius_authentication-1.gif

Configuração do Security Appliance

ASDM

Execute estes passos no ASDM para configurar o ASA para comunicação com o servidor ACS e autenticar clientes WebVPN.

  1. Escolha Configuration > Remote Access VPN > AAA Setup > AAA Server Groups.

  2. Clique em Add próximo a AAA Server Groups.

  3. Na janela exibida, especifique um nome para o novo grupo de servidor AAA e escolha RADIUS como o protocolo. Clique em OK ao concluir.

    configure_radius_authentication-2.gif

  4. Verifique se o novo grupo está selecionado no painel superior e clique em Add à direita no painel inferior.

  5. Forneça as informações do servidor:

    • Interface Name — a interface que o ASA deve usar para alcançar o servidor ACS

    • Server Name ou IP address — o endereço que o ASA deve usar para alcançar o servidor ACS

    • Server Secret Key — a chave secreta compartilhada configurada para o ASA no servidor ACS

    Exemplo de Configuração de Servidor AAA no ASA

    configure_radius_authentication-3.gif

  6. Uma vez que você tenha configurado o servidor e o grupo do servidor AAA, navegue para Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles para configurar o WebVPN para usar a nova configuração de AAA.

    Nota: Apesar deste exemplo usar WebVPN, você pode definir qualquer perfil de conexão de acesso remoto (grupo de túnel) para usar esta configuração de AAA.

  7. Escolha o perfil para o qual deseja configurar AAA e clique em Edit.

  8. Em Authentication, escolha o grupo do servidor RADIUS criado anteriormente. Clique em OK ao concluir.

    configure_radius_authentication-4.gif

Interface de Linha de Comando

Execute estes passos na interface de linha de comando (CLI) para configurar o ASA para comunicação com o servidor ACS e autenticar clientes WebVPN.

ciscoasa#configure terminal


!--- Configura o grupo do servidor AAA.

ciscoasa(config)# aaa-server RAD_SRV_GRP protocol RADIUS
ciscoasa(config-aaa-server-group)# exit


!--- Configura o servidor AAA.

ciscoasa(config)# aaa-server RAD_SRV_GRP (inside) host 192.168.1.2
ciscoasa(config-aaa-server-host)# key secretkey
ciscoasa(config-aaa-server-host)# exit


!--- Configura o grupo do túnel para usar a nova configuração de AAA.

ciscoasa(config)# tunnel-group ExampleGroup1 general-attributes
ciscoasa(config-tunnel-general)# authentication-server-group RAD_SRV_GRP

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

Teste com o ASDM

Verifique a sua configuração do RADIUS com o botão Test na tela de configuração AAA Server Groups. Uma vez que você forneça o seu nome de usuário e a sua senha, este botão permitirá que você envie uma solicitação de autenticação de teste ao servidor ACS.

  1. Escolha Configuration > Remote Access VPN > AAA Setup > AAA Server Groups.

  2. Selecione o seu grupo de servidor AAA desejado no painel superior.

  3. Selecione o servidor AAA que deseja testar no painel inferior.

  4. Clique no botão Test à direita do painel inferior.

  5. Na janela exibida, clique no botão de opção Authentication e forneça as credenciais que deseja testar. Clique em OK ao concluir.

    configure_radius_authentication-5.gif

  6. Após o ASA entrar em contato com o servidor AAA, uma mensagem de êxito ou falha será exibida.

    configure_radius_authentication-6.gif

Teste com a CLI

Você pode usar o comando test na linha de comando para testar a sua configuração de AAA. Uma solicitação de teste será enviada ao servidor AAA e o resultado será exibido na linha de comando.

ciscoasa#test aaa-server authentication RAD_SVR_GRP host 192.168.1.2 username kate password cisco123
INFO: Attempting Authentication test to IP address <192.168.1.2> (timeout: 12 seconds)
INFO: Authentication Successful

Troubleshooting

O comando debug radius pode ajudá-lo a fazer troubleshooting de problemas de autenticação neste cenário. Este comando ativa a depuração de sessão do RADIUS, bem como a sua decodificação de pacotes. Em cada saída de depuração apresentada, o primeiro pacote decodificado é o pacote enviado do ASA para o servidor ACS. O segundo pacote é a resposta do servidor ACS.

Nota:  Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug .

Quando houver êxito na autenticação, o servidor RADIUS enviará uma mensagem access-accept.

ciscoasa#debug radius


!--- Primeiro pacote. Solicitação de autenticação.

ciscoassa#radius mkreq: 0x88
alloc_rip 0xd5627ae4
    new request 0x88 --> 52 (0xd5627ae4)
got user ''
got password
add_req 0xd5627ae4 session 0x88 id 52
RADIUS_REQUEST
radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 62).....
01 34 00 3e 18 71 56 d7 c4 ad e2 73 30 a9 2e cf    |  .4.>.qV....s0...
5c 65 3a eb 01 06 6b 61 74 65 02 12 0e c1 28 b7    |  \e:...kate....(.
87 26 ed be 7b 2c 7a 06 7c a3 73 19 04 06 c0 a8    |  .&..{,z.|.s.....
01 01 05 06 00 00 00 34 3d 06 00 00 00 05          |  .......4=.....

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 52 (0x34)
Radius: Length = 62 (0x003E)
Radius: Vector: 187156D7C4ADE27330A92ECF5C653AEB
Radius: Type = 1 (0x01) User-Name
Radius: Length = 6 (0x06)
Radius: Value (String) =
6b 61 74 65                                        |  kate
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
0e c1 28 b7 87 26 ed be 7b 2c 7a 06 7c a3 73 19    |  ..(..&..{,z.|.s.
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 192.168.1.1 (0xC0A80101)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x34
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 192.168.1.2/1645
rip 0xd5627ae4 state 7 id 52
rad_vrfy() : response message verified
rip 0xd544d2e8
 : chall_state ''
 : state 0x7
 : timer 0x0
 : reqauth:
     18 71 56 d7 c4 ad e2 73 30 a9 2e cf 5c 65 3a eb
 : info 0x88
     session_id 0x88
     request_id 0x34
     user 'kate'
     response '***'
     app 0
     reason 0
     skey 'secretkey'
     sip 192.168.1.2
     type 1


!--- Segundo pacote. Resposta da autenticação.


RADIUS packet decode (response)

--------------------------------------
Raw packet data (length = 50).....
02 34 00 32 35 a1 88 2f 8a bf 2a 14 c5 31 78 59    |  .4.25../..*..1xY
60 31 35 89 08 06 ff ff ff ff 19 18 43 41 43 53    |  `15.........CACS
3a 30 2f 32 61 36 2f 63 30 61 38 30 31 30 31 2f    |  :0/2a6/c0a80101/
35 32                                              |  52

Parsed packet data.....
Radius: Code = 2 (0x02)
Radius: Identifier = 52 (0x34)
Radius: Length = 50 (0x0032)
Radius: Vector: 35A1882F8ABF2A14C531785960313589
Radius: Type = 8 (0x08) Framed-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 255.255.255.255 (0xFFFFFFFF)
Radius: Type = 25 (0x19) Class
Radius: Length = 24 (0x18)
Radius: Value (String) =
43 41 43 53 3a 30 2f 32 61 36 2f 63 30 61 38 30    |  CACS:0/2a6/c0a80
31 30 31 2f 35 32                                  |  101/52
rad_procpkt: ACCEPT
RADIUS_ACCESS_ACCEPT: normal termination
RADIUS_DELETE
remove_req 0xd5627ae4 session 0x88 id 52
free_rip 0xd5627ae4
radius: send queue empty

Quando a autenticação falhar, o servidor ACS enviará uma mensagem access-reject.

ciscoasa#debug radius


!--- Primeiro pacote.  Solicitação de autenticação.

ciscoasa# radius mkreq: 0x85
alloc_rip 0xd5627ae4
    new request 0x85 --> 49 (0xd5627ae4)
got user ''
got password
add_req 0xd5627ae4 session 0x85 id 49
RADIUS_REQUEST
radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 62).....
01 31 00 3e 88 21 46 07 34 5d d2 a3 a0 59 1e ff    |  .1.>.!F.4]...Y..
cc 15 2a 1b 01 06 6b 61 74 65 02 12 60 eb 05 32    |  ..*...kate..`..2
87 69 78 a3 ce d3 80 d8 4b 0d c3 37 04 06 c0 a8    |  .ix.....K..7....
01 01 05 06 00 00 00 31 3d 06 00 00 00 05          |  .......1=.....

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 49 (0x31)
Radius: Length = 62 (0x003E)
Radius: Vector: 88214607345DD2A3A0591EFFCC152A1B
Radius: Type = 1 (0x01) User-Name
Radius: Length = 6 (0x06)
Radius: Value (String) =
6b 61 74 65                                        |  kate
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
60 eb 05 32 87 69 78 a3 ce d3 80 d8 4b 0d c3 37    |  `..2.ix.....K..7
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 192.168.1.1 (0xC0A80101)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x31
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 192.168.1.2/1645
rip 0xd5627ae4 state 7 id 49
rad_vrfy() : response message verified
rip 0xd544d2e8
 : chall_state ''
 : state 0x7
 : timer 0x0
 : reqauth:
     88 21 46 07 34 5d d2 a3 a0 59 1e ff cc 15 2a 1b
 : info 0x85
     session_id 0x85
     request_id 0x31
     user 'kate'
     response '***'
     app 0
     reason 0
     skey 'secretkey'
     sip 192.168.1.2
     type 1


!--- Segundo pacote.  Resposta da autenticação.


RADIUS packet decode (response)

--------------------------------------
Raw packet data (length = 32).....
03 31 00 20 70 98 50 af 39 cc b9 ba df a7 bd ff    |  .1. p.P.9.......
06 af fb 02 12 0c 52 65 6a 65 63 74 65 64 0a 0d    |  ......Rejected..

Parsed packet data.....
Radius: Code = 3 (0x03)
Radius: Identifier = 49 (0x31)
Radius: Length = 32 (0x0020)
Radius: Vector: 709850AF39CCB9BADFA7BDFF06AFFB02
Radius: Type = 18 (0x12) Reply-Message
Radius: Length = 12 (0x0C)
Radius: Value (String) =
52 65 6a 65 63 74 65 64 0a 0d                      |  Rejected..
rad_procpkt: REJECT
RADIUS_DELETE
remove_req 0xd5627ae4 session 0x85 id 49
free_rip 0xd5627ae4
radius: send queue empty

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98594