Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

PIX/ASA 7.x : CAC - Authentification de cartes à puce pour le Client VPN Cisco

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (12 novembre 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon sur l'appliance de sécurité adaptable Cisco (ASA) pour l'Accès à distance de réseau en carte d'accès commune (CAC) pour l'authentification.

La portée de ce document couvre la configuration de Cisco ASA d'Adaptive Security Device Manager (ASDM), de Client VPN Cisco, et de Directory Access Protocol de Microsoft Active Directory (AD) /Lightweight (LDAP).

La configuration de ce guide utilise le serveur de Microsoft AD/LDAP. Ce document couvre également la fonctionnalité avancée, des cartes telle qu'OCSP et de LDAP attribut.

Conditions préalables

Conditions requises

Une connaissance de base de Cisco ASA, Client VPN Cisco, Microsoft AD/LDAP, et Infrastructure à clés publiques (PKI) est salutaire pour comprendre l'installation complète. La connaissance des propriétés d'adhésion à des associations et d'utilisateur d'AD, aussi bien que le LDAP objecte des aides pour corréler le processus d'autorisation entre les attributs de certificat et les objets AD/LDAP.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • L'appliance de sécurité adaptable de gamme Cisco 5500 (l'ASA) cette exécute la version de logiciel 7.2(2)

  • Version 5.2(1) du Cisco Adaptive Security Device Manager (ASDM)

  • Client VPN Cisco 4.x

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration de Cisco ASA

Cette section couvre la configuration de Cisco ASA par l'ASDM. Il couvre les étapes nécessaires pour déployer un tunnel d'Accès à distance VPN par une connexion d'IPsec. Le certificat CAC est utilisé pour l'authentification, et l'attribut du nom principal d'utilisateur (UPN) dans le certificat est rempli dans le répertoire actif pour l'autorisation.

Considérations de déploiement

  • Ce guide ne couvre pas des configurations de base telles que des interfaces, des DN, NTP, routage, accès au périphérique, ou accès ASDM, etc. On le suppose que l'opérateur réseau est au courant de ces configurations.

    Le pour en savoir plus, se rapportent aux dispositifs de sécurité multifonctions.

  • Quelques sections sont des configurations obligatoires requises pour l'accès VPN de base. Par exemple, un tunnel VPN peut être installé avec la carte CAC sans contrôles OCSP, des mappages de LDAP vérifie. Le DoD exige OCSP vérifiant, mais les travaux de tunnel sans OCSP configuré.

  • L'image de base ASA/PIX exigée est 7.2(2) et ASDM 5.2(1), mais ce guide utilise une version intermédiaire de 7.2.2.10 et d'ASDM 5.2.2.54.

  • Aucune modification de schéma de LDAP n'est nécessaire.

  • Voir l'annexe A pour des exemples de mappage de stratégie de LDAP et d'accès dynamique pour l'application supplémentaire de stratégie.

  • Voir l'annexe D sur la façon dont vérifier des objets de LDAP dans le MS.

  • Voyez la section « de l'information relative » pour une liste de RFC.

Authentification, autorisation, configuration de comptabilité (d'AAA)

Des utilisateurs sont authentifiés avec le certificat dans leur carte d'accès commune (CAC) par le serveur d'Autorité de certification (CA) DISA ou le serveur CA de leurs propres organismes. Le certificat doit être valide pour l'Accès à distance au réseau. En plus de l'authentification, les utilisateurs doivent également être autorisés avec un objet de Microsoft Active Directory ou de Protocole LDAP (Lightweight Directory Access Protocol). Le Ministère américain de la Défense (DoD) a besoin de l'utilisation de l'attribut du nom principal d'utilisateur (UPN) pour l'autorisation, qui fait partie de la section alternative soumise du nom (SAN) du certificat. L'UPN ou l'EDI/PI doit être dans ce format ? 1234567890@mil. Les configurations au-dessous de l'exposition comment configurer le serveur d'AAA dans l'ASA avec un serveur LDAP pour l'autorisation. Voir l'annexe A pour des configurations supplémentaires avec la cartographie d'objet de LDAP.

Configurez le serveur LDAP

Procédez comme suit :

  1. Allez à l'Accès à distance VPN > AAA installé > Groupe de serveurs AAA.

  2. Dans la table de Groupes de serveurs AAA, cliquez sur Add.

  3. Écrivez le nom de groupe de serveurs, et choisissez le LDAP dans la case d'option de protocole. Voir la figure 1.

  4. Dans les serveurs dans la table de groupe sélectionné, cliquez sur Add. Assurez-vous que le serveur que vous créez est mis en valeur dans cette table.

  5. Dans la fenêtre de serveur d'AAA d'édition, voir la figure 2.

    Remarque: Choisissez le LDAP d'enable au-dessus de l'option SSL si votre LDAP/AD est configuré pour ce type de connexion.

    1. Choisissez l'interface dans laquelle le LDAP se trouve. Ce guide affiche l'interface interne.

    2. Saisissez l'adresse IP du serveur.

    3. Entrez dans le port de serveur. Le port par défaut de LDAP est 389.

    4. Choisissez le type de serveur.

    5. Écrivez le DN de base. Demandez à votre administrateur AD/LDAP ces valeurs.

      Figure 1 : Ajoutez un groupe de serveurs

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-1.gif

    6. Sous l'option de portée, choisissez celui qui est approprié. Ce dépend du DN de base. Demandez à votre administrateur AD/LDAP l'assistance.

    7. Dans le domaine nommant d'attribut, écrivez l'userPrincipalName. Cet attribut est utilisé pour l'autorisation d'utilisateur dans le serveur AD/LDAP.

    8. Dans le domaine de DN de procédure de connexion, écrivez le DN d'administrateur.

      Remarque: Visualiser des droites d'administration ou de droits des besoins de l'utilisateur pour/recherche la structure de LDAP qui inclut des objets utilisateurs et l'adhésion à des associations.

    9. Dans le domaine de mot de passe de connexion, entrez le mot de passe de l'administrateur.

    10. Laissez l'attribut de LDAP à aucun.

      Figure 2

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-2.gif

      Nous utilisons cette option plus tard la configuration d'ajouter l'autre objet AD/LDAP pour l'autorisation.

    11. Cliquez sur OK.

  6. Cliquez sur OK.

Gérez les points de confiance

Il y a deux étapes pour installer des Certificats sur l'ASA. D'abord, installez les Certificats CA (autorité de certification de racine et de subalterne) a eu besoin. En second lieu, inscrivez-vous l'ASA à une particularité CA et obtenez le certificat d'identité. Le PKI DoD utilise ces Certificats : Enracinez CA2, racine de la classe 3, intermédiaire CA## avec laquelle l'ASA est inscrite, certificat d'ID ASA, et certificat OCSP. Si vous choisissez de ne pas utiliser OCSP, le certificat OCSP n'a pas besoin d'être installé.

Remarque: Entrez en contact avec votre POC de Sécurité pour obtenir des certificats racine, aussi bien que des instructions sur la façon dont s'inscrire pour un certificat d'identité pour un périphérique. Un certificat ssl doit être suffisant pour l'ASA pour l'Accès à distance. Un double certificat SAN n'est pas exigé.

Remarque: L'ordinateur local du client doit également avoir la chaîne DoD CA installée. Les Certificats peuvent être visualisés dans la mémoire de certificat de Microsoft par l'Internet Explorer. Le DoD a produit un fichier batch qui ajoute automatiquement tout le CAs à l'ordinateur. Demandez votre pour en savoir plus de POC de PKI.

Remarque: DoD CA2 et classe 3 s'enracinent (aussi bien que l'intermédiaire d'ID et CA ASA qui a délivré le certificat ASA) sont habituellement le seul CAs requis pour l'authentification de l'utilisateur. Toutes les intermédiaires du courant CA tombent sous la chaîne de racine CA2 et de classe 3 et sont de confiance tant que les racines CA2 et de classe 3 sont ajoutées.

Générez les clés

Procédez comme suit :

  1. Allez à l'Accès à distance VPN > Gestion > certificat d'identité de certificat > ajoutent.

  2. Choisissez ajoutent un nouveau certificat d'id, et puis choisissent nouveau par l'option de paire de clés.

  3. Dans la fenêtre de paire de clés d'ajouter, écrivez un nom de clé (DoD-1024) ; cliquez sur la radio pour ajouter une nouvelle clé. Voir la figure 3.

    Figure 3

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-3.gif

  4. Choisissez la taille de la clé.

  5. Gardez l'utilisation à l'usage universel.

  6. Cliquez sur le générer se boutonnent maintenant.

    Remarque: La racine CA 2 DoD utilise une clé de 2048 bits. Une deuxième clé qui utilise une paire de clés de 2048 bits doit être générée pour pouvoir utiliser ce CA. Suivez les étapes ci-dessus pour ajouter une deuxième clé.

Installez les points de confiance CA

Procédez comme suit :

  1. Allez à la configuration > au Properties > au certificat > au point de confiance > à la configuration. Voir la figure 4.

  2. Écrivez le nom dans la zone d'identification de point de confiance.

  3. Dans l'onglet Settings d'inscription, choisissez la clé générée dans l'étape précédente quand vous cliquez sur la flèche. Choisissez la clé 2048 pour le point de confiance de la racine CA 2.

  4. Dans la section Mode d'inscription, choisissez l'Inscription manuelle d'utilisation, OK, et appliquez.

    Figure 4 : Installez le certificat racine

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-57.gif

    Remarque: Répétez les étapes 1-4 pour chaque point de confiance que vous voulez ajouter. Il n'y a aucun nombre dur pour le nombre de points de confiance que vous pouvez installer puisque ceci est tout basé sur la mémoire dans le périphérique. Le PKI DoD exige un point de confiance pour chacune de ces derniers : Racine CA 2, racine de la classe 3, intermédiaire CA## et serveur OCSP. Le point de confiance OCSP n'est pas nécessaire si vous n'utilisez pas OCSP.

Installez les certificats racine

Procédez comme suit :

  1. Allez à la configuration > au Properties > au certificat > à l'authentification.

  2. Dans la zone d'identification de point de confiance, choisissez le point de confiance configuré dans l'étape précédente.

  3. Dans la section des textes de certificat, importez le certificat avec un fichier ou coupez-collez le texte encodé par base64 (Control-C et V).

    Remarque: L'importation reçoit seulement des fichiers de .txt dans cette version de code, mais le fichier que vous recevez de votre administrateur CA est dans le format de .cer. Vous pouvez également changer l'extension à .txt et ouvrir le fichier puis coupez-collez le texte dans la zone de texte.

    Figure 5 : Authentification de CA

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-58.gif

  4. Le clic authentifient.

Inscrivez-vous l'ASA et installez le certificat d'identité

Procédez comme suit :

  1. Allez à la configuration > au Properties > au certificat > à l'inscription.

  2. Choisissez un point de confiance. Cliquez sur vers le bas la flèche sur la case d'option pour choisir le point de confiance intermédiaire où vous voudriez s'inscrire le périphérique ASA.

  3. Cliquez sur le bouton Edit.

  4. Dans la fenêtre de configuration de point de confiance d'éditer, paramètres de certificat de clic.

  5. Dans la fenêtre de paramètres de certificat, choisissez l'utilisation aucun option pour le FQDN, et cliquez sur Edit sur le DN soumis. Voir la figure 6.

    Figure 6 : Paramètres de certificat d'identité

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-7.gif

  6. Dans la fenêtre de DN de sujet de certificat, écrivez les informations du périphérique. Voir la figure 7 pour un exemple.

  7. Cliquez sur OK.

    Figure 7 : Éditez le DN

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-8.gif

    Remarque: Assurez-vous que vous utilisez l'adresse Internet du périphérique qui est configuré dans votre système quand vous ajoutez le DN soumis. Le POC de PKI peut t'indiquer les champs obligatoires qui sont exigés.

  8. Cliquez sur OK sur la fenêtre de paramètres de certificat, et cliquez sur OK sur la fenêtre de configuration de point de confiance d'éditer.

  9. Dans la fenêtre d'inscription, le clic s'inscrivent.

  10. Coupez-collez les informations de la fenêtre de demande d'inscription ; sauvegardez-le à Notepad, et cliquez sur OK. C'est les informations qui doivent être envoyées à l'administrateur CA pour demander un certificat d'identité pour l'ASA. Voir la figure 8.

    Figure 8 : Demande de certificat

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-10.gif

  11. Une fois que vous recevez le certificat de l'administrateur CA, allez à la configuration > au Properties > au certificat > au certificat d'importation.

  12. Dans la fenêtre de certificat d'importation, choisissez le point de confiance où vous vous êtes inscrit le périphérique ASA.

  13. Dans le texte de certificat, importez le fichier ou coupez-collez le base64 ou DER le fichier encodé que vous avez reçu de votre administrateur CA. Voir la figure 9.

    Figure 9 : Importez le certificat

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-59.gif

    Remarque: L'importation reçoit seulement des fichiers de .txt dans cette version de code, mais le fichier que vous recevez de votre administrateur CA est dans le format de .cer. Vous pouvez également changer l'extension à .txt, ouvrez le fichier, et puis coupez-collez le texte dans la zone de texte.

  14. Choisissez l'importation.

    Remarque: Cliquez sur le bouton de sauvegarde pour sauvegarder la configuration dans la mémoire flash.

Configuration du VPN

C'est facultatif si vous utilisez une autre méthode, telle que le DHCP.

  1. Allez à la configuration > au VPN > à la gestion d'adresse IP > aux groupes IP.

  2. Cliquez sur Add.

  3. Dans la fenêtre de pool d'IP d'ajouter, écrivez le nom du pool d'IP, commençant et finissant des adresses IP, et choisissez un masque de sous-réseau. Voir la figure 10.

    Figure 10 : Ajoutez le pool d'IP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-13.gif

  4. Cliquez sur OK.

  5. Allez à la configuration > au VPN > à la gestion d'adresse IP > à l'affectation.

  6. Choisissez la méthode appropriée d'affectation d'adresse IP. Ce guide utilise les groupes d'adresse interne. Voir la figure 11.

    Figure 11 : Méthode d'affectation d'adresse IP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-12.gif

  7. Cliquez sur Apply.

Créez le groupe et la stratégie de groupe de tunnel

Remarque: Avant que vous créiez un groupe et une stratégie de groupe de tunnel, allez des options à la configuration > au VPN > au général > VPN à système et assurez-vous que la case est vérifiée l'option d'arrivée de l'enable IPSEC….

Stratégie de groupe

Remarque: Si vous ne voulez pas créer une nouvelle stratégie, vous pouvez utiliser le par défaut construit dans la stratégie de groupe.

  1. Allez au Configuration > VPN > General > Group Policy.

  2. Cliquez sur Add, puis sélectionnez Internal Group Policy.

  3. Dans la fenêtre d'Add Internal Group Policy, écrivez le nom pour la stratégie de groupe dans la zone de texte de nom. Voir la figure 12.

    Figure 12 : Add Internal Group Policy

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-60.gif

    1. Dans l'onglet Général, choisissez l'IPsec dans l'option de protocoles de Tunnellisation.

    2. Dans les serveurs sectionnez, décochez la case d'héritage et écrivez l'adresse IP des DN et des serveurs WINS. Entrez dans la portée de DHCP, si c'est approprié.

    3. Dans l'onglet d'IPSec, laissez-les tous dans les valeurs par défaut : Héritez. Apportez toutes les modifications appropriées, s'il y a lieu.

    4. Dans l'onglet de configuration de client, en général les paramètres de client, décochent la case d'héritage dans le domaine par défaut, et écrivent le nom de domaine approprié.

    5. Dans l'onglet de configuration de client, en général les paramètres de client, décochent la case d'héritage dans la section de pool d'adresses et ajoutent le pool d'adresses créé dans l'étape précédente. Cliquez sur le nom du pool d'adresses, et puis cliquez sur Add. Si vous utilisez une autre méthode d'affectation d'adresse IP, laissez ceci comme hériter, et apportez la modification appropriée.

    6. Tout autre onglet de configuration sont laissés aux valeurs par défaut.

  4. Cliquez sur OK.

Configurations d'interface de groupe et d'image de tunnel

Remarque: Si vous ne voulez pas créer un nouveau groupe, vous pouvez utiliser le groupe intégré par défaut.

  1. Allez à la configuration > au VPN > au groupe de général > de tunnel. Voir la figure 13.

    Figure 13 : Ajoutez le groupe de tunnel

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-61.gif

    Remarque: L'ASDM configure automatiquement des gens du pays comme option pour l'authentification si aucun n'est choisi. Vous voyez un message quand vous frapper CORRECT à la fin de cette configuration.

    ERROR: The authentication-server-group none command has been
    			 deprecated. 

    Remarque: L'ISAKMP ikev1-user-authentication qu'aucun ne commande dans les ipsec-attributs doit être utilisé à la place. Placez l'authentication mode à aucun. Voir la figure 14.

  2. Cliquez sur Add et choisissez IPSec pour l'Accès à distance.

  3. Dans la fenêtre de profil d'ajouter, écrivez un nom pour le groupe de tunnel dans la zone de texte de nom.

  4. Dans la fenêtre de groupe de tunnel d'ajouter, choisissez l'onglet Général > onglet de base, et choisissez la stratégie de groupe créée dans l'étape précédente.

  5. Cliquez sur l'onglet d'authentification, et laissez tout aux options par défaut.

  6. Dans la fenêtre de groupe de tunnel d'ajouter, cliquez sur l'onglet d'IPSec.

    Figure 14 : Authentication mode d'IPSec

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-62.gif

  7. Dans l'option de nom de point de confiance, choisissez le point de confiance créé dans la section précédente.

  8. Placez l'authentication mode à aucun comme mentionné dans la note ci-dessus. Voir la figure 14.

  9. Cliquez sur OK.

  10. Cliquez sur l'onglet d'autorisation. Au groupe de serveurs d'autorisation, choisissez le groupe de serveur LDAP créé dans les étapes plus tôt, et cochez la case pour des utilisateurs doit exister dans la base de données d'autorisation pour se connecter.

    Figure 15 : Configuration UPN

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-63.gif

  11. Choisissez l'UPN dans le domaine primaire et aucun de DN dans le domaine secondaire de DN. Voir la figure 15.

  12. Cliquez sur OK.

Remarque: Cliquez sur le bouton de sauvegarde pour sauvegarder la configuration dans la mémoire flash.

Configurez les paramètres IKE/ISAKMP

Procédez comme suit :

  1. Allez à la configuration > au VPN > à l'IKE > aux paramètres globaux.

  2. Dans la section d'IKE d'enable, assurez-vous que l'interface extérieure affiche l'OUI dans la colonne activée. Sinon, mettez en valeur l'interface extérieure, cliquez sur l'enable, et laissez tout d'autre en tant que par défaut.

  3. Allez à la configuration > à l'IKE > aux stratégies.

  4. Cliquez sur Add. Écrivez 10 pour le numéro prioritaire, choisissez 3DES pour le cryptage, le SHA pour des informations parasites, le RSA-Sig pour l'authentification, et 2 pour le CAD-groupe ; laissez la vie au par défaut. Voir la figure 16 pour un exemple.

  5. Cliquez sur OK.

    Figure 16 : Ajoutez la stratégie IKE/ISAKMP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-19.gif

    Remarque: Vous pouvez ajouter de plusieurs stratégies IKE/ISAKMP, si nécessaire.

  6. Allez à la configuration > au groupe VPN > d'IKE > de certificat étant assortie > stratégie. Voir la figure 17.

  7. Dans la section de stratégie, décochez toutes les cases excepté l'utilisation les règles configurées d'apparier un certificat à un groupe.

  8. Allez à la configuration > au groupe VPN > d'IKE > de certificat étant assortie > des règles.

  9. Cliquez sur Add sur la table supérieure.

    Figure 17 : Stratégie assortie de groupe de certificat

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-64.gif

  10. Dans la fenêtre assortie de règle de certificat d'ajouter, suivez ces instructions :

    1. Maintenez la carte existante DefaultCertificateMap dans la section de carte.

    2. Gardez 10 comme priorité de règle.

    3. Sous le groupe tracé, choisissez le groupe de tunnel créé dans la section première quand vous cliquez sur vers le bas la case d'option. Voir la figure 18.

    4. Cliquez sur OK.

      Figure 18 : Ajoutez la règle assortie de certificat

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-21.gif

  11. Cliquez sur Add sur la table inférieure.

  12. Dans la fenêtre assortie de critère de règle de certificat d'ajouter, suivez ces instructions :

    Figure 19 : Critère assorti de règle de certificat

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-22.gif

    1. Maintenez la colonne de champ réglée pour soumettre.

    2. Gardez le positionnement composant de colonne au champ entier.

    3. Changez l'opérateur que la colonne n'égale pas.

    4. Dans la colonne valeur, écrivez le ("")de deux guillemets.

    5. Cliquez sur OK et sur Apply. Voir la figure 19 pour un exemple.

Configurez les paramètres d'IPSec

Procédez comme suit :

  1. Allez à la configuration > au VPN > à l'IPSec > aux règles IPSecs.

  2. Cliquez sur Add.

  3. Dans la fenêtre de règle IPSec de création, dans l'onglet de base, suivez ces instructions :

    1. Choisissez dehors pour l'interface.

    2. Choisissez dynamique pour le type de stratégie.

    3. Écrivez un numéro prioritaire.

    4. Choisissez un transform-set et cliquez sur Add. Ce guide utilise ESP-AES-256-SHA. Vous pouvez ajouter le plusieurs transform-set, si nécessaire.

  4. Cliquez sur l'onglet de sélection du trafic.

  5. Dans la section d'interface et d'action, choisissez dehors pour l'interface et protégez pour l'action.

  6. Dans la section de source, en choisissez.

  7. Dans la section de destination, choisissez l'adresse IP de l'orany plus tôt créé par groupe.

  8. Cliquez sur OK.

  9. Cliquez sur Apply.

    Figure 20 : Ajoutez la règle IPSec

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-65.gif

Configurez OCSP

Configurez le certificat de responder OCSP

La configuration OCSP peut varier la personne à charge sur le constructeur de responder OCSP. Lisez le manuel du pour en savoir plus de constructeur.

  1. Obtenez un certificat auto-généré du responder OCSP.

  2. Suivez les procédures mentionnées précédemment et installez un certificat pour le serveur OCSP.

    Remarque: Assurez-vous que la revocation-check est placée à aucun. Les contrôles OCSP n'ont pas besoin de se produire sur le serveur de l'effectif OCSP.

Configurez le CA pour utiliser OCSP

Procédez comme suit :

  1. Allez à la configuration > au Properties > au certificat > au point de confiance > à la configuration.

  2. Choisissez un CA pour configurer afin d'utiliser OCSP quand vous le mettez en valeur dans la table.

  3. Cliquez sur Edit.

  4. Cliquez sur l'onglet de contrôle de révocation, mettez en valeur l'OCSP dans la méthode de révocation, et puis cliquez sur Add. Dans la révocation les méthodes sectionnent, ajoutent OCSP. Voir la figure 21.

  5. Assurez-vous que le certificat de considérer valide… ne peut pas être récupéré est décoché si vous voulez suivre vérifier strict OCSP.

    Figure 21 : Contrôle de révocation OCSP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-66.gif

    Remarque: Configurez/éditez tous les serveurs CA qui utilisent OCSP pour la révocation.

  6. Laissez toutes les options par défaut dans ces onglets : Stratégie de récupération CRL, méthode de récupération CRL, et règles OCSP.

  7. Cliquez sur l'onglet Advanced.

    1. Décochez la prochaine CRL mise à jour de l'exécution dans les options CRL.

    2. Laissez l'extension de nonce de débronchement décochée.

    3. Laissez toutes autres options vérifiées.

  8. Cliquez sur OK.

Configurez les règles OCSP

Remarque: Vérifiez qu'une stratégie assortie de groupe de certificat est créée et le responder OCSP est configuré avant que vous suiviez ces procédures.

Remarque: Assurez-vous que tous les CAs sont configurés avec les règles OCSP excepté le serveur OCSP lui-même.

Remarque:  Dans des réalisations certain OCSP, l'enregistrement de DN et PTR sont nécessaire pour l'ASA. Ce contrôle est fait pour vérifier que l'ASA est d'un site .mil.

  1. Allez à la configuration > au Properties > au certificat > au point de confiance > à la configuration.

  2. Choisissez un point de confiance pour configurer afin d'utiliser OCSP quand vous le mettez en valeur dans la table.

  3. Cliquez sur Edit.

  4. Cliquez sur l'onglet de règle OCSP.

  5. Cliquez sur Add.

  6. Dans la fenêtre de règle de l'ajouter OCSP, suivez ces instructions : Voir la figure 22.

    Figure 22 : Ajoutez les règles OCSP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-25.gif

    1. Dans l'option de carte de certificat, choisissez la carte créée dans la section de paramètres IKE/ISAKMP : DefaultCertificateMap.

    2. Dans l'option de certificat, choisissez le responder OCSP.

    3. Dans l'option sur indice, écrivez 10.

    4. Dans l'option URL, entrez dans l'adresse IP ou l'adresse Internet du responder OCSP. Si vous utilisez l'adresse Internet, assurez-vous que le serveur DNS est configuré sur l'ASA.)

    5. Cliquez sur OK.

    6. Cliquez sur Apply.

Configuration de Client VPN Cisco

Cette section couvre la configuration du Client VPN Cisco.

Suppositions : L'application de Client VPN Cisco et de middleware sont déjà installées dans le PC d'hôte. Le Client VPN Cisco prend en charge ces applications de middleware : GemPLUS (poste de travail 2.0 de GemSAFE ou plus tardleavingcisco.com ), Activcard (version 2.0.1 ou ultérieures d'or d'Activcardleavingcisco.com ), et Aladdin (eToken la version 2.6 ou ultérieures du runtime environment (rte)leavingcisco.com ).

Client VPN Cisco de début

Du PC d'hôte, le début de clic > programme > client vpn de Cisco Systems > client vpn.

Nouvelle connexion

Procédez comme suit :

  1. Entrées de connexion de clic.

  2. Cliquez sur New et puis écrivez la description de la connexion et l'adresse IP ou l'adresse Internet du serveur VPN. Voir la figure 23.

  3. Sous l'onglet d'authentification, choisissez l'authentification de certificat.

  4. Dans l'option de nom, choisissez votre certificat de signature et le contrôle envoient la chaîne de certificat de CA. (Habituellement le certificat par défaut qui est les travaux choisis, mais vous peut essayer les autres Certificats s'il échoue.)

  5. Cliquez sur Save.

    Figure 23 : Créez la nouvelle connexion VPN

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-26.gif

Accès à distance de début

Procédez comme suit :

  1. Double-cliquer l'entrée créée dans l'étape précédente.

  2. Introduisez votre code PIN.

  3. Cliquez sur OK.

Annexe A ? Mappage de LDAP

Avec ASA/PIX libérez 7.1(x), une caractéristique appelée LDAP que le mappage a été introduit. C'est une fonctionnalité puissante qui fournit un mappage entre un attribut de Cisco et les objets de LDAP/attribut, qui réalise une inversion le besoin de modification de schéma de LDAP. Pour l'implémentation d'authentification CAC, ceci peut prendre en charge l'application supplémentaire de stratégie sur la connexion d'Accès à distance. Sont ci-dessous les exemples du mappage de LDAP. Rendez-vous compte que vous avez besoin des droits d'administrateur d'apporter des modifications dans le serveur AD/LDAP.

Scénario 1 : Application de Répertoire actif avec l'accès distant d'autorisation d'Accès à distance ? Permettez/refusez Access

Cet exemple trace le msNPAllowDailin d'attribut d'AD à l'attribut cVPN3000-Tunneling-Protocol de Cisco.

  • La valeur d'attribut d'AD : VRAI = laissez ; FAUX = refusez

  • La valeur d'attribut de Cisco : 1 = FAUX, 4 (IPSec) ou 20 (4 IPSec + webvpn 16) = RECTIFIENT

Pour l'état ALLOW, nous traçons

  • RECTIFIEZ = 20

Pour l'état d'accès distant DENY, nous traçons

  • = 1 FAUX

Remarque: Assurez-vous que VRAI et FAUX soyez dans des tous les CAPS. Pour plus d'informations sur les attributs de Cisco, référez-vous à configurer un serveur externe pour l'autorisation d'utilisateur de dispositifs de sécurité.

Installation de Répertoire actif

Procédez comme suit :

  1. Dans le serveur de Répertoire actif, Start > Run de clic.

  2. Dans la zone de texte ouverte, le type dsa.msc et cliquent sur OK alors. Ceci met en marche la console de gestion active de répertoire.

  3. Dans la console de gestion de Répertoire actif, cliquez sur le plus pour développer les utilisateurs et les ordinateurs de Répertoire actif.

  4. Cliquez sur le plus pour développer le nom de domaine.

  5. Si vous avez une OU créée pour vos utilisateurs, développez l'OU pour visualiser tous les utilisateurs ; si vous faites assigner tous les utilisateurs dans le répertoire d'utilisateurs, développez ce répertoire pour les visualiser. Voir la figure A1.

    Figure A1 : Console de gestion de Répertoire actif

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-40.gif

  6. Double-cliquer l'utilisateur que vous voulez éditer.

    Cliquez sur l'onglet Numérotation dans la page de propriétés d'utilisateur et le clic laissent ou refusent. Voir la figure A2.

    Figure A2 : Utilisateur Properties

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-41.gif

  7. Cliquez sur OK.

Configuration ASA

Procédez comme suit :

  1. Dans l'ASDM, allez carte à la configuration > au Properties > d'AAA > de LDAP à attribut.

  2. Cliquez sur Add.

  3. Dans la fenêtre de carte d'attribut de LDAP d'ajouter, suivez ces instructions : Voir la figure A3.

    Figure A3 : Ajoutez la carte d'attribut de LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-42.gif

    1. Écrivez un nom dans la zone de texte de nom.

    2. Dans l'onglet de map name, msNPAllowDialin de type dans la zone de texte de nom de client.

    3. Dans l'onglet de map name, choisissez les Tunnellisation-protocoles dans l'option de déroulant dans le nom de Cisco.

    4. Cliquez sur Add.

    5. Cliquez sur l'onglet de valeur de carte.

    6. Cliquez sur Add.

    7. Dans la fenêtre de valeur de carte de LDAP d'attribut d'ajouter, tapez VRAI dans la zone de texte de nom de client, et le type 20 dans la zone de texte de valeur de Cisco.

    8. Cliquez sur Add.

    9. Tapez FAUX dans la zone de texte de nom de client, et le type 1 dans la zone de texte de valeur de Cisco. Voir la figure A4.

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-43.gif

    10. Cliquez sur OK.

    11. Cliquez sur OK.

    12. Cliquez sur Apply.

    13. La configuration ressemble à la figure A5.

      Figure A5 : Configuration de carte d'attribut de LDAP

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-67.gif

  4. Allez à la configuration > au Properties > à l'AAA installé > des Groupes de serveurs AAA. Voir la figure A6.

    Figure A6 : Groupes de serveurs AAA

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-68.gif

  5. Cliquez sur le groupe de serveurs que vous voulez éditer. Dans les serveurs de la section de groupe sélectionné, choisissez l'adresse IP du serveur ou l'adresse Internet et puis cliquez sur Edit.

  6. Dans éditez la fenêtre de serveur d'AAA, dans la zone de texte de carte d'attribut de LDAP, choisissent la carte d'attribut de LDAP créée dans le bouton de déroulant. Voir la figure A7.

    Figure A7 : Ajoutez la carte d'attribut de LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-46.gif

  7. Cliquez sur OK.

Remarque: Activez l'élimination des imperfections de LDAP tandis que vous testez pour vérifier si l'attache de LDAP et le mappage d'attribut fonctionnent correctement. Voir l'annexe C pour des commandes de dépannage.

Scénario 2 : L'application de Répertoire actif avec l'adhésion à des associations à laisser/refusent Access

Cet exemple emploie le memberOf d'attribut de LDAP pour tracer à Cisco perçant un tunnel l'attribut de Protocol pour établir une adhésion à des associations comme condition. Pour que cette stratégie fonctionne, vous devez avoir ces conditions :

  • Utilisez un groupe existant ou créez un nouveau groupe pour des utilisateurs ASA VPN pour des états ALLOW.

  • Utilisez un groupe existant ou créez un nouveau groupe pour les utilisateurs non-ASA pour des états DENY.

  • Veillez à signer la visionneuse de LDAP que vous avez le DN correct pour le groupe. Voir l'annexe D. Si le DN est erroné, le mappage ne fonctionne pas correctement.

Remarque: Rendez-vous compte que l'ASA peut seulement lire la première chaîne de l'attribut de memberOf dans cette release. Assurez-vous que le nouveau groupe créé est en haut de la liste. L'autre option est de mettre un caractère particulier devant le nom puisque l'AD regarde des caractères particuliers d'abord. Afin de venir à bout cette mise en garde, utilisation DAP en logiciel 8.x de regarder de plusieurs groupes.

Remarque: Assurez-vous qu'un utilisateur fait partie du groupe de refuser ou au moins d'un autre groupe de sorte que le memberOf soit toujours renvoyé à l'ASA. Vous ne devez pas spécifier le FAUX refusez la condition, mais la pratique recommandée est de faire ainsi. Si le nom de groupe existant ou le nouveau nom de groupe contient un espace, écrivez l'attribut de cette manière : « Opérateurs de CN=Backup, NC = élément, DC=ggsgseclab, DC=org ».

CARTOGRAPHIE

  • La valeur d'attribut d'AD

    • memberOf CN=ASAUsers, CN=Users, DC=ggsgseclab, DC=org

    • memberOf CN=TelnetClients, CN=Users, DC=labrat, DC=com

  • Valeur d'attribut de Cisco : 1 = FAUX, 20 = RECTIFIENT

Pour l'état d'AUTORISER, carte

  • memberOf CN=ASAUsers, CN=Users, DC=ggsgseclab, DC=org= 20

Pour l'état de REFUSER, carte

  • memberOf CN=TelnetClients, CN=Users, DC=ggsgseclab, DC=org = 1

Remarque: Dans une version future, il y a un attribut de Cisco pour permettre et refuser la connexion. Pour plus d'informations sur l'attribut de Cisco, référez-vous à configurer un serveur externe pour l'autorisation d'utilisateur de dispositifs de sécurité.

Installation de Répertoire actif

Procédez comme suit :

  1. Dans le serveur de Répertoire actif, Start > Run de clic.

  2. Dans la zone de texte ouverte, tapez dsa.msc et cliquez sur OK. Ceci met en marche la console de gestion active de répertoire.

  3. Dans la console de gestion de Répertoire actif, cliquez sur le plus pour développer les utilisateurs et les ordinateurs de Répertoire actif. Voir la figure A8.

    Figure A8 : Groupes de Répertoire actif

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-47.gif

  4. Cliquez sur le plus pour développer le nom de domaine.

  5. Cliquez avec le bouton droit le répertoire d'utilisateurs et choisissez nouveau > groupe.

  6. Écrivez un nom de groupe, par exemple : ASAUsers.

  7. Cliquez sur OK.

  8. Cliquez sur le répertoire d'utilisateurs, et puis double-cliquer le groupe que vous avez juste créé.

  9. Cliquez sur l'onglet de membres, et puis cliquez sur Add.

  10. Introduisez le nom d'utilisateur que vous voulez ajouter, et puis cliquez sur OK.

Configuration ASA

Procédez comme suit :

  1. Dans l'ASDM, allez carte à la configuration > au Properties > d'AAA > de LDAP à attribut.

  2. Cliquez sur Add.

  3. Dans la fenêtre de carte d'attribut de LDAP d'ajouter, suivez ces instructions : Voir la figure A9.

    1. Écrivez un nom dans la zone de texte de nom.

    2. Dans l'onglet de map name, memberOf de type dans la zone de texte C. de nom de client.

    3. Dans l'onglet de map name, choisissez les Tunnellisation-protocoles dans l'option de déroulant dans le nom de Cisco.

    4. Cliquez sur Add.

    5. Cliquez sur l'onglet de valeur de carte.

    6. Cliquez sur Add.

    7. Dans la fenêtre de valeur de carte de LDAP d'attribut d'ajouter, le type CN=ASAUsers, CN=Users, DC=ggsgseclab, DC=org dans la zone de texte de nom de client, et le type 20 dans la zone de texte de valeur de Cisco.

    8. Cliquez sur Add.

    9. Tapez CN=TelnetClients, CN=Users, DC=ggsgseclab, DC=org dans la zone de texte de nom de client, et le type 1 dans la zone de texte de valeur de Cisco. Voir la figure A9.

    10. Cliquez sur OK.

    11. Cliquez sur OK.

    12. Cliquez sur Apply.

    13. La configuration ressemble à la figure A9.

      Figure A9 : Carte d'attribut de LDAP

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-55.gif

  4. Allez à la configuration > au Properties > à l'AAA installé > des Groupes de serveurs AAA.

  5. Cliquez sur le groupe de serveurs que vous voulez éditer. Dans les serveurs de la section de groupe sélectionné, choisissez l'adresse IP du serveur ou l'adresse Internet, et puis cliquez sur Edit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-49.gif

  6. Dans éditez la fenêtre de serveur d'AAA, dans la zone de texte de carte d'attribut de LDAP, choisissent la carte d'attribut de LDAP créée dans le bouton de déroulant.

  7. Cliquez sur OK.

Remarque: Activez l'élimination des imperfections de LDAP tandis que vous testez pour vérifier que l'attache de LDAP et les mappages d'attribut fonctionnent correctement. Voir l'annexe C pour des commandes de dépannage.

Annexe B ? Configuration ASA CLI

ASA 5510
ciscoasa#show running-config
ASA Version 7.2(2)10
!
hostname lab-asa
domain-name lab.army.mil
names
dns-guard
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.18.120.224 255.255.255.128
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
boot system disk0:/asa722-10-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name lab.army.mil
--------------ACL's-------------------------------------------------
access-list out extended permit ip any any
--------------------------------------------------------------------
---------------VPN Pool---------------------------------------------
ip local pool CAC-USERS 192.168.1.1-192.168.1.254 mask 255.255.255.0
--------------------------------------------------------------------
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
asdm image disk0:/asdm522-54.bin
no asdm history enable
arp timeout 14400
access-group out in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.120.129 1
!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
--------------------------LDAP Maps ---------------------------
ldap attribute-map memberOf
map-name memberOf cVPN3000-Tunneling-Protocols
map-value memberOf CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org 20
map-value memberOf CN=TelnetClinets,CN=Users,DC=ggsgseclab,DC=org 1
ldap attribute-map msNPAllowDialin
map-name msNPAllowDialin cVPN3000-Tunneling-Protocols
map-value msNPAllowDialin FALSE 1
map-value msNPAllowDialin TRUE 20
--------------------------------------------------------------------
--------------------LDAP Server-------------------------------------
aaa-server AD-LDAP protocol ldap
aaa-server AD-LDAP (outside) host 172.18.120.160
ldap-base-dn CN=Users,DC=ggsgseclab,DC=org
ldap-scope onelevel
ldap-naming-attribute userPrincipalName
ldap-login-password *
ldap-login-dn CN=Administrator,CN=Users,DC=ggsgseclab,DC=org
-----------------------VPN Policy------------------------------------
group-policy CAC-USERS internal
group-policy CAC-USERS attributes
vpn-tunnel-protocol IPSec
address-pools value CAC-USERS
--------------------------------------------------------------------
!
---------------------IPsec------------------------------------------
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set 
   ESP-DES-SHA ESP-3DES-MD5 ESP-AES-192-SHA ESP-AES-256-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
--------------------------------------------------------------------
----------------CA Trustpoints--------------------------------------
crypto ca trustpoint CA-13-JITC
revocation-check ocsp
enrollment terminal
fqdn none
subject-name CN=lab-asa,OU=PKI,OU=DoD,O=U.S. Government,C=US
keypair DoD-1024
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint Class3Root
revocation-check ocsp
enrollment terminal
keypair DoD-1024
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint DoD-CA2
revocation-check ocsp
enrollment terminal
keypair DoD-2048
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint DISA-OCSP
enrollment terminal
keypair DoD-1024
crl configure
no enforcenextupdate
--------------------------------------------------------------------
-------------------Certificate Map-------------------------------
crypto ca certificate map DefaultCertificateMap 10
subject-name ne ""
--------------------CA Certificates (Partial Cert is Shown)------------
crypto ca certificate chain CA-13-JITC
certificate 311d
308203fd 30820366 a0030201 02020231 1d300d06 092a8648 86f70d01 01050500
305c310b 30090603 55040613 02555331 18301606 0355040a 130f552e 532e2047
6f766572 6e6d656e 74310c30 0a060355 040b1303 446f4431 0c300a06 0355040b
certificate ca 37
3082044c 30820334 a0030201 02020137 300d0609 2a864886 f70d0101 05050030
60310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
crypto ca certificate chain Class3Root
certificate ca 04
30820267 308201d0 a0030201 02020104 300d0609 2a864886 f70d0101 05050030
61310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
crypto ca certificate chain DoD-CA2
certificate ca 05
30820370 30820258 a0030201 02020105 300d0609 2a864886 f70d0101 05050030
5b310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
c3ad60a4
crypto ca certificate chain DISA-OCSP
certificate ca 00
30820219 30820182 a0030201 02020100 300d0609 2a864886 f70d0101 05050030
3a310b30 09060355 04061302 7573310d 300b0603 55040a13 0441726d 79310d30
-------------------------ISAKMP-------------------------------------
crypto isakmp enable outside
crypto isakmp policy 10
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
-----------------------VPN Group/Tunnel Policy--------------------
tunnel-group CAC-USERS type ipsec-ra
tunnel-group CAC-USERS general-attributes
authorization-server-group AD-LDAP
default-group-policy CAC-USERS
authorization-required
authorization-dn-attributes UPN
tunnel-group CAC-USERS ipsec-attributes
trust-point CA-13-JITC
isakmp ikev1-user-authentication none
tunnel-group-map enable rules
no tunnel-group-map enable ou
no tunnel-group-map enable ike-id
no tunnel-group-map enable peer-ip
tunnel-group-map DefaultCertificateMap 10 CAC-USERS
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
!
service-policy global_policy global
prompt hostname context

Annexe dépannage c

Dépannage de l'AAA et du LDAP

  • mettez au point le LDAP 255 ? des échanges de LDAP d'affichages

  • terrain communal 10 de debug aaa ? échanges d'AAA d'affichages

Exemple 1 : Connexion permise avec le mappage correct d'attribut

L'exemple ci-dessous affiche que la sortie de mettent au point le LDAP et le debug aaa communs dans une connexion réussie avec le scénario 2 affiché dans l'annexe R.

Remarque: Le groupe de perçage d'un tunnel est configuré pour permettre SEULEMENT la connexion d'IPSec. Le groupement/affectation de membre dans le LDAP est tracé à la valeur de 4, qui est IPSec. Ce mappage est ce qui lui donne un état d'AUTORISER. Pour un état de refuser, cette valeur est le 1par PPTP.

Figure C1 : mettez au point la sortie commune de LDAP et de debug aaa ? Corrigez le mappage
AAA API: In aaa_open
AAA session opened: handle = 39
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction

Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:
[78] Session Start
[78] New request Session, context 0x26f1c44, reqType = 0
[78] Fiber started
[78] Creating LDAP context with uri=ldap:// 172.18.120.160:389
[78] Binding as administrator
[78] Performing Simple authentication for Administrator to 172.18.120.160
[78] Connect to LDAP server: ldap:// 172.18.120.160, status = Successful
[78] LDAP Search:
     Base DN = [CN=Users,DC=ggsgseclab,DC=org]
     Filter = [userPrincipalName=1234567890@mil]
     Scope = [SUBTREE]
[78] Retrieved Attributes:
[78] objectClass: value = top
[78] objectClass: value = person
[78] objectClass: value = organizationalPerson
[78] objectClass: value = user
[78] cn: value = Ethan Hunt
[78] sn: value = Hunt
[78] userCertificate: value = 0..50........../........60...*.
H........0@1.0.....&...,d....com1.0.....&...,d...
[78] userCertificate: value = 0..'0........../..t.....50...*.
H........0@1.0.....&...,d....com1.0.....&...,d...
[78] givenName: value = Ethan
[78] distinguishedName: value = CN=Ethan Hunt,OU=MIL,DC=labrat,DC=com
[78] instanceType: value = 4
[78] whenCreated: value = 20060613151033.0Z
[78] whenChanged: value = 20060622185924.0Z
[78] displayName: value = Ethan Hunt
[78] uSNCreated: value = 14050 
[78] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[78] mapped to cVPN3000-Tunneling-Protocols: value = 20
[78] uSNChanged: value = 14855
[78] name: value = Ethan Hunt
[78] objectGUID: value = ..9...NJ..GU..z.
[78] userAccountControl: value = 66048
[78] badPwdCount: value = 0
[78] codePage: value = 0
[78] countryCode: value = 0
[78] badPasswordTime: value = 127954717631875000
[78] lastLogoff: value = 0
[78] lastLogon: value = 127954849209218750
[78] pwdLastSet: value = 127946850340781250
[78] primaryGroupID: value = 513
[78] objectSid: value = ................q......mY...
[78] accountExpires: value = 9223372036854775807
[78] logonCount: value = 25
[78] sAMAccountName: value = 1234567890
[78] sAMAccountType: value = 805306368
[78] userPrincipalName: value = 1234567890@mil
[78] objectCategory: value =
[78] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
[78] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[78] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, 
user pol = , tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(CAC-USERS)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USER
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, 
user pol = , tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes: 1 Tunnelling-Protocol(4107) 20 20
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10 "CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (39)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

CAC-Test#

Exemple 2 : Connexion permise avec le mappage Misconfigured d'attribut de Cisco

L'exemple ci-dessous affiche que la sortie de mettent au point le LDAP et le debug aaa communs dans une connexion permise avec le scénario 2 affiché dans l'annexe R.

Notez que le mappage pour les deux attributs apparie la même valeur, qui est incorrecte.

Figure C2 : mettez au point la sortie commune de LDAP et de debug aaa ? Mappage incorrect
AAA API: In aaa_open
AAA session opened: handle = 41
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction

Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:

[82] Session Start
[82] New request Session, context 0x26f1c44, reqType = 0
[82] Fiber started
[82] Creating LDAP context with uri=ldap://172.18.120.160:389
[82] Binding as administrator
[82] Performing Simple authentication for Administrator to
172.18.120.160

[82] Connect to LDAP server: ldap:// 172.18.120.160:389, status =
Successful
[82] LDAP Search:
   Base DN = [CN=Users,DC=ggsgseclab,DC=org]
   Filter = [userPrincipalName=1234567890@mil]
   Scope = [SUBTREE]

[82] Retrieved Attributes:
[82] objectClass: value = top
[82] objectClass: value = person
[82] objectClass: value = organizationalPerson
[82] objectClass: value = user
[82] cn: value = Ethan Hunt
[82] sn: value = Hunt
[82] userCertificate: value =
0..50........../........60...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] userCertificate: value =
0..'0........../..t.....50...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] givenName: value = Ethan
[82] distinguishedName: value = CN=Ethan
Hunt,OU=MIL,DC=labrat,DC=com
[82] instanceType: value = 4
[82] whenCreated: value = 20060613151033.0Z
[82] whenChanged: value = 20060622185924.0Z
[82] displayName: value = Ethan Hunt
[82] uSNCreated: value = 14050
[82] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] mapped to cVPN3000-Tunneling-Protocols: value =
CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] uSNChanged: value = 14855
[82] name: value = Ethan Hunt
[82] objectGUID: value = ..9...NJ..GU..z.
[82] userAccountControl: value = 66048
[82] badPwdCount: value = 0
[82] codePage: value = 0
[82] countryCode: value = 0
[82] badPasswordTime: value = 127954717631875000
[82] lastLogoff: value = 0
[82] lastLogon: value = 127954849209218750
[82] pwdLastSet: value = 127946850340781250
[82] primaryGroupID: value = 513
[82] objectSid: value = ................q......mY...
[82] accountExpires: value = 9223372036854775807
[82] logonCount: value = 25
[82] sAMAccountName: value = 1234567890
[82] sAMAccountType: value = 805306368
[82] userPrincipalName: value = 1234567890@mil
[82] objectCategory: value =
CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org
[82] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
[82] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[82] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(USAFE)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USERS
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status =
ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes:
1 Tunnelling-Protocol(4107) 20 0
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10
"CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (41)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

Dépannage de l'autorité de certification/OCSP

  • debug crypto Ca 3

  • Dans le mode de configuration, se connectant l'élimination des imperfections de console de la classe Ca (ou mémoire tampon)

Les exemples ci-dessous affichent une validation réussie de certificat avec le responder OCSP et une stratégie assortie défectueuse de groupe de certificat.

La figure C3 affiche la sortie de débogage qui a un certificat validé et une stratégie assortie fonctionnante de groupe de certificat.

La figure C4 affiche la sortie de débogage d'une stratégie assortie misconfigured de groupe de certificat.

La figure C5 affiche la sortie de débogage d'un utilisateur avec un certificat retiré.

Figure C3 : Élimination des imperfections OCSP ? Validation réussie de certificat
CRYPTO_PKI: Attempting to find tunnel group for cert with serial number:
 2FB5FC74000000000035,
 subject name: cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=com, issuer_name: 
cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, 
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap 
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. Attempting 
to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert: 
serial number: 2FB5FC74000000000035, subject name: 
cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, issuer_name: cn=ggsgseclab,
dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,
dc=org, map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
 sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://ocsp.disa.mil,
 Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match CRYPTO_PKI:Certificate validated.
serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,
dc=ggsgseclab,dc=org.
CRYPTO_PKI: Certificate validated
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=

Figure C4 : Sortie d'une stratégie assortie défectueuse de groupe de certificat

Figure C4 : Sortie d'une stratégie assortie défectueuse de groupe de certificat
CRYPTO_PKI: Attempting to find tunnel group for cert with serial number: 
2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,
dc=org, issuer_name: cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map FAILED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, 
map rule: subject-name eq "".
CRYPTO_PKI: Peer cert could not be authorized with map: DefaultCertificateMap.
No Tunnel Group Match for peer certificate.
Unable to locate tunnel group map

Figure C5 : Sortie d'un certificat retiré
n %PI=X-3-7E17t02h7a Certinf icaHtue cnhta,in faioled 
uvalidation=. CMertifiIcLa,ted ccha=inl ais eibtrhaer tin,valdid cor =noct 
oamuthori,zed.
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap 
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. 
Attempting to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert:
 serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,
ou=MIL,dc=ggsgseclab,dc=org, issuer_name: cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, map rule: 
subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
 sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://ocsp.disa.mil, 
Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
ERROR: Certificate validation failed, Certificate is revoked, 
serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,
dc=ggsgseclab,dc=org
CRYPTO_PKI: Certificate not validated

Dépannage d'IPSEC

  • debug crypto isakmp ? phase de négociation des affichages IKE/ISAKMP

  • debug crypto ipsec ? phase de négociation IPSec d'affichages

  • debug crypto engine ? messages d'IPSec d'affichages

  • messages du debug crypto Ca ? messages de PKI d'affichages

  • transactions du debug crypto Ca ? transactions de PKI d'affichages

Annexe D ? Vérifiez les objets de LDAP dans le MS

Dans le CD du serveur 2003 de Microsoft, il y a des outils supplémentaires qui peuvent être installés pour visualiser la structure de LDAP, aussi bien que les objets de LDAP/attributs. Afin d'installer ces outils, allez au répertoire de support dans le CD et puis les outils. Installez SUPTOOLS.MSI.

Visionneuse de LDAP

Procédez comme suit :

  1. Après installation, allez au Start > Run.

  2. Tapez le LDP et puis cliquez sur OK. Ceci met en marche la visionneuse de LDAP.

  3. La connexion de clic > se connectent.

  4. Écrivez le nom du serveur, et puis cliquez sur OK.

  5. Connexion > grippage de clic.

  6. Écrivez un nom d'utilisateur et mot de passe.

    Remarque: Vous avez besoin des droits d'administrateur.

  7. Cliquez sur OK.

  8. Objets de LDAP de vue. Voir la figure D1.

    Figure D1 : Visionneuse de LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-56.gif

Éditeur d'interface de services d'annuaire actifs

  • Dans le serveur de Répertoire actif, allez au Start > Run.

  • Type adsiedit.msc. Ceci commence l'éditeur.

  • Cliquez avec le bouton droit un objet, et cliquez sur Properties.

Cet outil t'affiche tous les attributs pour les objets spécifiques. Voir la figure D2.

Figure D2 : ADSI éditent

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-54.gif


Informations connexes


Document ID: 107273