Sécurité : Cisco Secure Access Control Server pour Windows

Utilisation de Cisco Secure ACS pour Windows avec le concentrateur VPN 3000 - IPSec

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document recommande la configuration la plus facile pour le Cisco Secure Access Control Server (ACS) pour que Windows authentifie les utilisateurs qui se connectent à un concentrateur VPN 3000. Un groupe sur un concentrateur VPN 3000 est une collection d'utilisateurs traités comme entité simple. La configuration des groupes, par opposition aux utilisateurs individuels, peut simplifier des tâches de configuration de gestion du système et de ligne profilée. Dans des releases précédentes, seulement l'identité, la Sécurité, l'accès, la représentation, les DN, les WINS, et les protocoles de Tunnellisation ont été configurés pour des groupes.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Le Cisco Secure ACS pour le RAYON de Windows est installé et fonctionne correctement avec d'autres périphériques.

  • Le concentrateur de Cisco VPN 3000 est configuré et peut être géré avec l'interface HTML.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco Secure ACS pour la version 4.0 ou ultérieures de RAYON de Windows.

  • Version 4.7 ou ultérieures de concentrateur de Cisco VPN 3000.

Avec la version 3.0 et ultérieures de Microsoft Windows, vous pouvez configurer et remplir ces fonctions sur une base de par-groupe.

  • Authentification (RAYON, Domaine NT, SDI, ou serveur interne.) *

  • Comptabilité (la comptabilité d'utilisateur RADIUS collecte des données sur le temps de connexion d'utilisateur et des paquets transmis.)

  • Pools d'adresses (te permet pour assigner des adresses IP d'un groupe intérieurement configuré.)

Remarque: * l'authentification basée sur groupe ne prend en charge pas de plusieurs serveurs de SDI en date de l'ID de bogue Cisco CSCdu57258 (les clients enregistrés seulement)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Groupes d'utilisation sur le concentrateur VPN 3000

Des groupes peuvent être définis pour le Cisco Secure ACS pour Windows et le concentrateur VPN 3000, mais ils utilisent des groupes en quelque sorte différemment. Effectuez ces tâches afin de simplifier des choses :

  • Configurez un seul groupe sur le concentrateur VPN 3000 pour établir le tunnel initial. Ceci s'appelle souvent le groupe de tunnel et il est utilisé pour établir une session chiffrée d'Échange de clés Internet (IKE) au concentrateur VPN 3000 utilisant une clé pré-partagée (le mot de passe de groupe). C'est le mêmes nom et mot de passe de groupe qui devraient être configurés sur tous les clients VPN 3000 qui veulent se connecter au concentrateur VPN.

  • Configurez les groupes sur le Cisco Secure ACS pour des Windows Server qui utilisent des attributs RADIUS standard et particularité de constructeur attribue (les VSAs) pour la Gestion des stratégies. Les VSAs qui devraient être utilisés avec le concentrateur VPN 3000 sont les attributs du RAYON (VPN 3000).

  • Configurez les utilisateurs sur le Cisco Secure ACS pour le serveur de RAYON de Windows et affectez-les à un des groupes configurés sur le même serveur. Les utilisateurs héritent des attributs définis pour leur groupe et le Cisco Secure ACS pour Windows envoie ces attributs au concentrateur VPN quand l'utilisateur est authentifié.

Comment le concentrateur VPN 3000 utilise des attributs de groupe et d'utilisateur

Après que le concentrateur VPN 3000 authentifie le groupe de tunnel avec le concentrateur VPN et l'utilisateur avec le RAYON, il doit organiser les attributs qu'il a reçus. Le concentrateur utilise les attributs dans cet ordre de préférence, si l'authentification est faite dans le concentrateur VPN ou avec le RAYON :

  1. Attributs d'utilisateur — Ces attributs ont toujours la priorité au-dessus de tous les autres.

  2. Attributs de groupe de tunnel — Tous les attributs non retournés quand l'utilisateur a été authentifié sont complétés par les attributs de groupe de tunnel.

  3. Attributs de groupe de base — En attribue des disparus de l'utilisateur ou des attributs de groupe de tunnel sont complétés par les attributs de groupe de base de concentrateur VPN.

Configurez le serveur de RAYON et le concentrateur VPN 3000

Terminez-vous ces étapes pour configurer le serveur de RAYON et le concentrateur VPN 3000.

  1. Ajoutez le Cisco Secure ACS pour le serveur de RAYON de Windows à la configuration de concentrateur VPN 3000.

    1. Utilisez un navigateur Web pour se connecter au concentrateur VPN 3000 en tapant l'adresse IP de l'interface privée dans l'emplacement ou la barre d'adresses de votre navigateur.

    2. Login au concentrateur VPN (par défaut : Procédure de connexion = admin, mot de passe = admin).

    3. La configuration > le système > les serveurs > l'authentification choisis, et cliquent sur Add (du menu de gauche).

      /image/gif/paws/13874/CiscoSecure-11.gif

    4. Sélectionnez le RAYON de type de serveur et ajoutez ces paramètres pour votre Cisco Secure ACS pour le serveur de RAYON de Windows. Laissez tous autres paramètres dans leur état par défaut.

      • Serveur d'authentification — Écrivez l'adresse IP de votre Cisco Secure ACS pour le serveur de RAYON de Windows.

      • Secret de serveur — Écrivez le secret de serveur de RAYON. Ceci doit être le même secret que vous utilisez quand vous configurez le concentrateur VPN 3000 dans le Cisco Secure ACS pour la configuration de Windows.

      • Vérifiez — Ressaisissez le mot de passe pour la vérification.

        Ceci ajoute le serveur d'authentification en configuration globale du concentrateur VPN 3000. Ce serveur est utilisé par tous les groupes excepté quand un serveur d'authentification a été spécifiquement défini. Si un serveur d'authentification n'est pas configuré pour un groupe, il retourne au serveur global d'authentification.

      /image/gif/paws/13874/CiscoSecure-1.gif

  2. Configurez le groupe de tunnel sur le concentrateur VPN 3000.

    1. Le Configuration > User Management > Groups choisi (du menu de gauche) et cliquent sur Add.

    2. Changez ou ajoutez ces paramètres dans les onglets de configuration. Ne cliquez sur Apply pas jusqu'à ce que vous changiez tous ces paramètres :

      Remarque: Ces paramètres sont le minimum requis pour des connexions VPN d'Accès à distance. Ces paramètres supposent également que les valeurs par défaut dans le groupe de base sur le concentrateur VPN 3000 n'ont pas été changées.

      Identité

      • Nom de groupe — Introduisez un nom de groupe. Par exemple, IPsecUsers.

      • Mot de passe — Entrez un mot de passe pour le groupe. C'est la clé pré-partagée pour la session d'IKE.

      • Vérifiez — Ressaisissez le mot de passe pour la vérification.

      • Type — Laissez ceci comme par défaut : Interne.

        /image/gif/paws/13874/CiscoSecure-2.gif

      IPsec

      • Type de tunnelRemote-access choisie.

      • Authentification — RAYON. Ceci indique au concentrateur VPN quelle méthode à l'utiliser pour authentifier des utilisateurs.

      • Mode Config — Sélectionnez la case à cocher de Mode Config.

      /image/gif/paws/13874/CiscoSecure-3.gif

    3. Cliquez sur Apply.

  3. Configurez les plusieurs serveurs d'authentification sur le concentrateur VPN 3000.

    1. Une fois que le groupe est défini, mettez en valeur ce groupe, et le clic modifient authentique. Serveurs. Différents serveurs d'authentification peuvent être définis pour chaque groupe même si ces serveurs n'existent pas dans les serveurs globaux.

    2. Sélectionnez le RAYON de type de serveur, et ajoutez ces paramètres pour votre Cisco Secure ACS pour le serveur de RAYON de Windows. Laissez tous autres paramètres dans leur état par défaut.

      • Serveur d'authentification — Écrivez l'adresse IP de votre Cisco Secure ACS pour le serveur de RAYON de Windows.

      • Secret de serveur — Écrivez le secret de serveur de RAYON. Ceci doit être le même secret que vous utilisez quand vous configurez le concentrateur VPN 3000 dans le Cisco Secure ACS pour la configuration de Windows.

      • Vérifiez — Ressaisissez le mot de passe pour la vérification.

      /image/gif/paws/13874/CiscoSecure-4.gif

  4. Ajoutez le concentrateur VPN 3000 au Cisco Secure ACS pour la configuration de Windows Server.

    1. Double-cliquer l'icône d'admin ACS pour commencer la session d'admin sur le PC qui exécute le Cisco Secure ACS pour le serveur de RAYON de Windows. Procédure de connexion avec le nom d'utilisateur et mot de passe approprié, s'il y a lieu.

    2. La configuration réseau choisie, et cliquent sur Add l'entrée sous le groupe de périphériques réseau.

      1. Créez le nouveau nom de groupe.

      2. Cliquez sur Submit. Le nouveau nom de groupe apparaît aux groupes de périphériques réseau les répertorient.

        Au lieu de créer un nouveau groupe, vous pouvez cliquer sur le groupe non assigné et ajouter le concentrateur VPN en tant que client d'AAA. Mais Cisco ne recommande pas que vous créiez un nouveau groupe.

      3. Cliquez sur le nouveau groupe et cliquez sur Add l'entrée sous les clients d'AAA.

        Remarque: Dans le cadre du Cisco Secure ACS, un client d'AAA est n'importe quel périphérique de réseau qui fournit la fonctionnalité de client d'AAA et prend en charge un protocole de Sécurité d'AAA qui est également pris en charge par Cisco Secure ACS. Ceci des périphériques inclut des Pare-feu de serveurs d'accès Cisco, de Cisco PIX, de Concentrateurs de la gamme Cisco VPN 3000, de Concentrateur VPN de la gamme Cisco 5000, de Cisco IOSÝ Routeurs, Point d'accès 340 et 350 de Cisco Aironet, et quelques commutateurs Cisco Catalyst.

      4. Ajoutez ces paramètres pour votre concentrateur VPN 3000 :

      • Adresse Internet de client d'AAA — Entrez dans l'adresse Internet de votre concentrateur VPN 3000 (pour la résolution de DN).

      • Adresse IP de client d'AAA — Écrivez l'adresse IP de votre concentrateur VPN 3000.

      • Clé — Écrivez le secret de serveur de RAYON. Ceci doit être le même secret que vous avez configuré quand vous avez ajouté le serveur d'authentification sur le concentrateur VPN dans l'étape 1.

      • Groupe de périphériques réseau — De la liste, sélectionnez le groupe de périphériques réseau auquel le concentrateur VPN appartient.

      • Authentifiez utilisant — Sélectionnez le RAYON (Cisco VPN 3000/ASA/PIX 7.x et plus tard). Ceci permet aux VSAs VPN 3000 pour afficher dans la fenêtre de configuration de groupe.

      CiscoSecure-6.gif

    3. Cliquez sur Submit.

    4. Configuration d'interface, RAYON Cisco VPN 3000/ASA/PIX 7.x de clic et plus tard, et Constructeur-particularité choisis du groupe [26] de contrôle.

      Remarque: Le 'attribut RADIUS 26' se rapporte à tous les attributs spécifiques de constructeur. Par exemple, la configuration d'interface > le RAYON choisis (Cisco VPN 3000/ASA/PIX 7.x et plus tard) et voient que tout les début disponible d'attributs avec 026. Ceci prouve que tous ces attributs spécifiques de constructeur tombent sous la norme du RAYON 26 IETF. Ces attributs n'apparaissent pas dans l'installation d'utilisateur ou de groupe par défaut. Afin de révéler dans l'installation de groupe, créez un client d'AAA (dans ce cas concentrateur VPN 3000) qui authentifie avec le RAYON en configuration réseau. Vérifiez alors les attributs qui doivent apparaître dans l'installation utilisateur, le Group Setup, ou chacun des deux de la configuration d'interface.

      Le document décrit les attributs disponibles et ses attributs RADIUS d'utilisation.

    5. Cliquez sur Submit.

  5. Ajoutez les groupes au Cisco Secure ACS pour la configuration de Windows.

    1. Le Group Setup choisi, sélectionnent alors un des groupes de modèle (par exemple, groupe 0), et le clic renomment le groupe.

      /image/gif/paws/13874/CiscoSecure-13.gif

      Changez le nom à quelque chose appropriée pour votre organisation. Par exemple, construction, ventes, ou vente. Puisque des utilisateurs sont ajoutés à ces groupes, faites le nom de groupe refléter le but réel de ce groupe. Si tous les utilisateurs sont mis dans le même groupe, vous pouvez l'appeler des users group VPN.

    2. Cliquez sur Edit les configurations pour éditer les paramètres dans votre groupe nouvellement renommé.

    3. Le Cisco VPN 3000 RADIUS/ASA/PIX 7.x de clic et plus tard et configurent ces attributs recommandés. Ceci permet des utilisateurs assignés à ce groupe pour hériter des attributs RADIUS de Cisco VPN 3000, qui te permet pour centraliser des stratégies pour tous les utilisateurs dans le Cisco Secure ACS pour Windows.

      Remarque: Techniquement, Cisco VPN 3000/ASA/PIX 7.x et de plus défunts attributs RADIUS ne sont pas exigés pour être configurés tant que le groupe de tunnel est installé pendant qu'étape 2 recommande et le groupe de base dans le concentrateur VPN ne change pas des valeurs par défaut d'origine.

      Attributs VPN 3000 recommandés :

      • DNS principal — Écrivez l'adresse IP de votre serveur de DNS principal.

      • DNS secondaire — Écrivez l'adresse IP de votre serveur de DNS secondaire.

      • PRIMAIRE-WINS — Écrivez l'adresse IP de votre serveur WINS primaire.

      • SECONDAIRE-WINS — Écrivez l'adresse IP de votre serveur WINS secondaire.

      • Tunnellisation-protocolesIPsec choisi. Ceci permet seulement des connexions client d'IPsec. On ne permet pas PPTP ou L2TP.

      • IPsec-Sec-association — Écrivez ESP-3DES-MD5. Ceci s'assure que tous vos clients d'IPsec se connectent au cryptage le plus élevé disponible.

      • IPsec-Autoriser-Mot de passe-mémoire — Choisi rejetez ainsi des utilisateurs ne sont pas permis pour sauvegarder leur mot de passe dans le client vpn.

      • IPsec-bannière — Entrez dans une bannière de message d'accueil à présenter à l'utilisateur sur la connexion. Par exemple, « accueil à l'accès VPN des employés de MyCompany ! »

      • Domaine d'IPSec-par défaut — Écrivez le nom de domaine de votre société. Par exemple, « mycompany.com ».

      /image/gif/paws/13874/CiscoSecure-7.gif

      Cet ensemble d'attributs n'est pas nécessaire. Mais si vous êtes incertain si les attributs de groupe de base du concentrateur VPN 3000 ont changé, alors Cisco recommande que vous configuriez ces attributs :

      • Simultané-procédures de connexion — Écrivez le nombre de fois où vous permettez à un utilisateur pour ouvrir une session simultanément avec le même nom d'utilisateur. La recommandation est 1 ou 2.

      • Sept-Carte-affectationTout-SEPT choisi.

      • IPsec-Mode-config — Sélectionnez EN FONCTION.

      • IPsec-À travers-NAT — Sélectionnez HORS FONCTION, à moins que vous vouliez que les utilisateurs dans ce groupe se connectent utilisant IPsec au-dessus du protocole UDP. Si vous sélectionnez EN FONCTION, le client vpn a toujours la capacité localement de désactiver IPsec par NAT et de se connecter normalement.

      • IPsec-À Travers-NAT-port — Sélectionnez un numéro de port UDP de l'ordre de 4001 à 49151. Ceci est utilisé seulement si IPsec-à travers-NAT est allumé.

      Le prochain ensemble d'attributs exige que vous placez quelque chose sur le concentrateur VPN d'abord avant que vous puissiez les utiliser. Ceci est seulement recommandé pour des utilisateurs avancés.

      • Access-heures — Ceci exige de vous d'installer une chaîne des heures d'Access sur le concentrateur VPN 3000 sous la configuration > la Gestion des stratégies. Au lieu de cela, heures d'Access d'utilisation disponibles dans le Cisco Secure ACS pour que Windows gère cet attribut.

      • IPsec-Fractionnement-Tunnel-liste — Ceci exige de vous d'installer une liste des réseaux sur le concentrateur VPN sous la configuration > la Gestion des stratégies > la gestion de trafic. C'est une liste de réseaux envoyée vers le bas au client qui indiquent le client chiffrer des données seulement à ces réseaux dans la liste.

    4. Choisi soumettez > reprise pour sauvegarder la configuration et pour lancer le nouveau groupe.

    5. Répétez ces étapes pour ajouter plus de groupes.

  6. Configurez les utilisateurs sur le Cisco Secure ACS pour Windows.

    1. Sélectionnez l'installation utilisateur, écrivez un nom d'utilisateur, et cliquez sur Add/l'éditez.

      CiscoSecure-12.gif

    2. Configurez ces paramètres sous la section User Setup :

      • Authentification de mot de passeBase de données Cisco Secure choisie.

      • PAP Cisco Secure - Mot de passe — Entrez un mot de passe pour l'utilisateur.

      • PAP Cisco Secure - Confirmation du mot de passe — Ressaisissez le mot de passe pour le nouvel utilisateur.

      • Le groupe auquel l'utilisateur est assigné — sélectionnez le nom du groupe que vous avez créé dans l'étape précédente.

      /image/gif/paws/13874/CiscoSecure-8.gif

    3. Cliquez sur Submit pour sauvegarder et lancer les paramètres utilisateurs.

    4. Répétez ces étapes pour ajouter des utilisateurs supplémentaires.

  7. Test d'authentification.

    Configuration > système > serveurs > authentification > test choisis sur le concentrateur VPN 3000.

    /image/gif/paws/13874/CiscoSecure-5.gif

    Test d'authentification du concentrateur VPN au Cisco Secure ACS pour des Windows Server en écrivant le nom d'utilisateur et mot de passe que vous avez configuré dans le Cisco Secure ACS pour Windows.

    CiscoSecure-9.gif

    Sur une bonne authentification, le concentrateur VPN affiche à une « authentification » le message réussi.

    /image/gif/paws/13874/CiscoSecure-10.gif

    S'il y a dans le Cisco Secure ACS pour Windows, le Cisco Secure ACS pour Windows signale et le menu d'activité > d'essais ratés affiche les pannes. À une installation par défaut, ces états de panne sont sur le disque dans des tentatives de c:\Program Files\CiscoSecure ACS v2.5\Logs\Failed.

    Remarque: Le concentrateur de Cisco VPN 3000 utilise seulement le Password Authentication Protocol (PAP) quand le test d'authentification est utilisé.

  8. Connectez au concentrateur VPN 3000.

    Maintenant vous pouvez se connecter au concentrateur VPN 3000 utilisant le client. Soyez sûr que le client vpn est configuré pour utiliser le mêmes nom et mot de passe configuré de groupe dans l'étape 2.

Ajoutez la gestion des comptes

Après l'authentification fonctionne, vous pouvez ajouter la comptabilité.

Sur le VPN 3000, configuration > système > serveurs > comptabilité choisis.

CiscoSecure-15.gif

Cliquez sur Add afin d'ajouter le Cisco Secure ACS pour des Windows Server.

/image/gif/paws/13874/CiscoSecure-14.gif

Vous pouvez ajouter des serveurs de comptabilité individuelle à chaque groupe quand vous sélectionnez le Configuration > User Management > Groups. Mettez en valeur un groupe et le clic modifient Acct. Serveurs.

/image/gif/paws/13874/CiscoSecure-16.gif

Écrivez l'adresse IP du serveur de comptabilité avec le secret de serveur.

/image/gif/paws/13874/CiscoSecure-17.gif

Dans le Cisco Secure ACS pour Windows, les enregistrements des comptes apparaissent pendant que cette sortie affiche :

Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,
  Acct-Session-Id, Acct-Session-Time,Service-Type,Framed-Protocol,
  Acct-Input-Octets, Acct-Output-Octets, Acct-Input-Packets,
  Acct-Output-Packets,Framed-IP-Address,NAS-Port, 
  NAS-IP-Address03/23/2000,14:04:10, csntuser,3000,,Start,7ED00001,,Framed, 
  PPP,,,,,10.99.99.1,1009,172.18.124.133 03/23/2000,14:07:01,csntuser,3000,,
  Stop,7ED00001,171,Framed,PPP,5256,0,34,0,10.99.99.1, 1009,172.18.124.133

Spécifiez les différents groupes IP pour chaque groupe

Vous pouvez spécifier différents groupes IP à chaque groupe. L'utilisateur est assigné une adresse IP du groupe configuré pour le groupe. Si un groupe n'est pas défini pour un groupe particulier, l'utilisateur est assigné une adresse IP du pool global. Sélectionnez le Configuration > User Management > Groups pour configurer différents groupes pour chaque groupe.

/image/gif/paws/13874/CiscoSecure-16.gif

Mettez en valeur un groupe et le clic modifient le pool d'adresses. Cliquez sur Add pour ajouter le pool d'IP. Le groupe d'adresses IP définies ici peut être un sous-ensemble du pool global.

/image/gif/paws/13874/CiscoSecure-18.gif

Débogage

Si les connexions ne fonctionnent pas, vous pouvez ajouter AUTHENTIQUE, IKE, et les classes d'événement d'IPsec au concentrateur VPN quand vous sélectionnez la configuration > le système > les événements > les classes > modifient (sévérité à Log=1-9, sévérité à Console=1-3). AUTHDBG, AUTHDECODE, IKEDBG, IKEDECODE, IPSECDBG, et IPSECDECODE sont également disponibles, mais peut fournir trop d'informations. Si les informations détaillées sont nécessaires sur les attributs qui sont passés vers le bas du serveur de RAYON, AUTHDECODE, IKEDECODE, et IPSECDECODE fournissent ceci à la sévérité au niveau Log=1-13.

/image/gif/paws/13874/CiscoSecure-19.gif

Récupérez le journal d'événements de la surveillance > du journal d'événements filtrables.

/image/gif/paws/13874/CiscoSecure-20.gif

Le Cisco Secure ACS pour des pannes de Windows sont trouvés dans les états et l'activité > les essais ratés > l'active.csv.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 13874