安全 : 用于 Windows 的思科安全访问控制服务器

对 VPN 3000 集中器使用 Cisco Secure ACS for Windows - IPSec

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文推荐思科安全访问控制服务器的(ACS)最容易的配置Windows的能验证连接到VPN 3000集中器的用户。VPN 3000集中器的一组是对待单个实体用户的一集。组的配置,与个人用户相对,能简单化系统管理和简化配置任务。在上一个版本中,标识、安全、访问、性能、DNS、仅WINS和隧道协议为组配置。

先决条件

要求

Cisco 建议您了解以下主题:

  • Cisco Secure ACS for Windows RADIUS正常安装并且用其它设备运行。

  • Cisco VPN 3000集中器配置并且可以管理与HTML界面。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco Secure ACS for Windows RADIUS版本4.0或以上。

  • Cisco VPN 3000集中器版本4.7或以上。

使用Microsoft Windows版本3.0及以上版本,您可配置和执行这些功能基于组。

  • 验证(RADIUS, NT域、SDI或者内部服务器。) *

  • 认为(RADIUS用户用户帐号收集在用户连接时间的传送的数据和数据包。)

  • 地址池(给您从一个内部地配置池的分配IP地址。)

注意: *基于组的验证不自Cisco Bug ID CSCdu57258 (仅限注册用户)支持多个SDI服务器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

请使用VPN 3000集中器的组

组可以为两Cisco Secure ACS for Windows和VPN 3000集中器定义,但是他们某种程度不同使用组。执行这些任务为了简化事:

  • 配置VPN 3000集中器的一组设立的最初的通道。这经常呼叫隧道组使用预先共享密钥(组密码),并且用于建立一个已加密Internet Key Exchange (IKE)会话到VPN 3000集中器。这是在所有VPN 3000客户端应该配置要连接到VPN集中器的同一个组名和密码。

  • 配置使用标准RADIUS属性和卖方细节属性Cisco Secure ACS for Windows服务器的组(VSAs)策略管理。应该用VPN 3000集中器使用的VSAs是RADIUS (VPN3000)属性。

  • 配置Cisco Secure ACS for Windows RADIUS服务器的用户并且分配他们到在同一个服务器配置的其中一组。用户继承为他们的组定义的属性,并且Cisco Secure ACS for Windows发送那些属性到VPN集中器,当用户验证时。

VPN 3000 集中器如何使用组和用户属性

在VPN 3000集中器验证有VPN集中器和用户的隧道组有RADIUS的后,接收的必须组织属性。集中器在此优先级顺序使用属性,验证是否执行在VPN集中器或与RADIUS :

  1. 用户属性—这些属性总是优先于所有其他。

  2. 隧道组属性—没返回的所有属性,当用户验证由隧道组属性填写。

  3. 基本组属性—所有属性未命中从用户的或隧道组属性由VPN集中器基本组属性填写。

配置RADIUS服务器和VPN 3000集中器

完成这些步骤配置RADIUS服务器和VPN 3000集中器。

  1. 添加Cisco Secure ACS for Windows RADIUS服务器到VPN 3000集中器配置。

    1. 在您的浏览器位置或地址栏请使用一Web浏览器连接到VPN 3000集中器通过键入专用接口的IP地址。

    2. 登录到VPN集中器(默认:Login= admin, password=admin)。

    3. 选择Configuration > System > Servers > Authentication,并且单击添加(从左菜单)。

      /image/gif/paws/13874/CiscoSecure-11.gif

    4. 选择服务器类型RADIUS并且添加您的Cisco Secure ACS for Windows RADIUS服务器的这些参数。在他们的默认状态留下其他参数。

      • 认证服务器—输入您的Cisco Secure ACS for Windows RADIUS服务器的IP地址。

      • 服务器秘密—输入RADIUS服务器秘密。这必须是您使用的同样机密,当您在Cisco Secure ACS for Windows配置里时配置VPN 3000集中器。

      • 验证—重新输入验证的密码。

        这在VPN 3000集中器的全局配置里添加认证服务器。当认证服务器特别地定义时,所有组使用此服务器除了。如果认证服务器没有为组配置,恢复到全局认证服务器。

      /image/gif/paws/13874/CiscoSecure-1.gif

  2. 配置VPN 3000集中器的隧道组。

    1. 选择Configuration > User Management > Groups (从左菜单)并且单击添加

    2. 更改或添加在Configuration选项的这些参数。请勿单击应用,直到您更改所有这些参数:

      注意: 这些参数是为远程访问虚拟专用网连接需要的最低。这些参数也假设默认设置在VPN 3000集中器的基本组中未更改。

      标识

      • 组名—键入组名。例如, Ipsecuser。

      • 密码—输入组的一个密码。这是IKE会话的预先共享密钥。

      • 验证—重新输入验证的密码。

      • 类型—留下此作为默认:内部。

        /image/gif/paws/13874/CiscoSecure-2.gif

      IPsec

      • 隧道类型—选择远程访问

      • 验证— RADIUS.这告诉VPN集中器使用的什么方法验证用户。

      • 模式配置—选择模式配置复选框

      /image/gif/paws/13874/CiscoSecure-3.gif

    3. 单击 Apply

  3. 配置在VPN 3000集中器的多次认证服务器。

    1. 一旦组定义,请选定该组,并且点击修改验证。服务器。各自的认证服务器可以为每组定义,即使这些服务器在全局服务器不存在。

    2. 选择服务器类型RADIUS,并且添加您的Cisco Secure ACS for Windows RADIUS服务器的这些参数。在他们的默认状态留下其他参数。

      • 认证服务器—输入您的Cisco Secure ACS for Windows RADIUS服务器的IP地址。

      • 服务器秘密—输入RADIUS服务器秘密。这必须是您使用的同样机密,当您在Cisco Secure ACS for Windows配置里时配置VPN 3000集中器。

      • 验证—重新输入验证的密码。

      /image/gif/paws/13874/CiscoSecure-4.gif

  4. 添加VPN 3000集中器到Cisco Secure ACS for Windows服务器配置。

    1. 双击ACS Admin图标启动运行Cisco Secure ACS for Windows RADIUS服务器的PC的admin会话。用适当的用户名和密码登陆,如果必须。

    2. 选择网络配置,并且单击Add条目在网络设备组下。

      1. 创建新的组名。

      2. 单击 submit。新的组名在网络设备组中出现列出。

        而不是创建一新的组,您能点击不已分配组和添加VPN集中器作为AAA客户端。但是思科不建议您创建一新的组。

      3. 点击新的组并且单击Add条目在AAA客户端下。

        注意: 在Cisco Secure ACS中, AAA客户端是提供AAA客户端功能的所有网络设备并且支持Cisco Secure ACS也支持的AAA安全协议。这包括Cisco接入服务器、Cisco PIX防火墙、Cisco VPN 3000系列集中器、Cisco VPN 5000系列集中器软件, Cisco IOS�路由器、Cisco Aironet接入点340和350设备和一些Cisco Catalyst交换机。

      4. 添加您的VPN 3000集中器的这些参数:

      • AAA客户端主机名-进入您的VPN 3000集中器主机名(DNS解析)。

      • AAA客户端IP地址—输入您的VPN 3000集中器的IP地址。

      • 密钥—输入RADIUS服务器秘密。这必须是您配置的同样机密,当您添加了在VPN集中器的认证服务器在step1。

      • 网络设备组—从列表,请选择中VPN集中器属于的网络设备组在。

      • 验证使用—选择RADIUS (思科VPN 3000/ASA/PIX 7.x和以后)。这在组配置窗口允许VPN3000 VSAs显示。

      CiscoSecure-6.gif

    3. 单击 submit

    4. 选择接口配置,点击RADIUS思科VPN 3000/ASA/PIX 7.x和以后,并且检查根据厂商的组[26]

      注意: ‘RADIUS属性26'是指所有卖方细节属性。例如,请选择接口配置> RADIUS (思科VPN 3000/ASA/PIX 7.x和以后)并且请参阅所有可用的属性从026开始。这显示所有这些卖方细节属性属于IETF RADIUS 26标准。默认情况下这些属性在用户或组建立没出现。为了出现在组建立,请创建在网络配置里验证与RADIUS的AAA客户端(在这种情况下VPN 3000集中器)。然后请检查在用户设置,组建立或者两个需要出现从接口配置的属性。

      本文描述可用的属性和其使用情况RADIUS属性

    5. 单击 submit

  5. 添加组到Cisco Secure ACS for Windows配置。

    1. 选择组建立,然后选择其中一模板组(例如,组0),并且点击重命名组

      /image/gif/paws/13874/CiscoSecure-13.gif

      更改名称对事适当为您的组织。例如,设计,塞尔斯或者销售。因为用户被添加到这些组,请做组名反射该组实际的目的。如果所有用户被放到同一组,您能告诉它VPN用户组。

    2. 单击编辑设置编辑参数在您的最近重命名的组中。

    3. 点击Cisco VPN 3000 RADIUS/ASA/PIX 7.x和以后并且配置这些推荐的属性。这允许用户分配到此组继承Cisco VPN 3000 RADIUS属性,允许您集中所有用户的策略Cisco Secure ACS for Windows的。

      注意: 技术上,思科VPN 3000/ASA/PIX 7.x及以后RADIUS属性没有要求配置,只要隧道组组成,当步骤2推荐,并且VPN集中器的基本组不从原始默认设置更改。

      推荐的VPN3000属性:

      • 主要的DNS —输入您的主DNS服务器的IP地址。

      • 辅助DNS —输入您的辅助DNS服务器的IP地址。

      • 主WINS —输入您的主WINS服务器的IP地址。

      • 第二WINS —输入您的第二WINS服务器的IP地址。

      • 隧道协议—选择IPsec。这允许IPSec客户端连接。PPTP或L2TP没有允许。

      • IPsec SEC关联—回车ESP-3DES-MD5。这保证所有您的IPSec客户端连接最高的加密联机。

      • IPsec允许密码存储—选择禁止,因此用户没有允许保存他们的在VPN客户端的密码。

      • 标语—输入将被提交的欢迎消息横幅对用户在连接。例如, “请欢迎到MyCompany雇员VPN访问!”

      • IPSec默认域—输入您的公司域名。例如, “mycompany.com”。

      /image/gif/paws/13874/CiscoSecure-7.gif

      此套属性不是必要的。但是,如果是不确定的,如果VPN 3000集中器的基本组属性更改,然后思科建议您配置这些属性:

      • 同时登录—输入您允许用户同时登陆与相同用户名的次数。建议是1或2。

      • SEP卡德分配—选择任何SEP

      • IPsec模式设置—选择。

      • IPsec-through-NAT —使用在UDP协议的IPsec,除非在此组中希望用户连接选择OFF。如果选择, VPN客户端仍然有能力本地通过NAT禁用IPsec和通常连接。

      • IPsec通过NAT波尔特—选择UDP端口号在4001至49151范围内。这,只有当IPsec-through-NAT打开,使用。

      在您能使用他们前,属性下一组要求您集某事首先在VPN集中器。这为高级用户只推荐。

      • 访问时段—这要求您设置范围在VPN 3000集中器的访问时间在Configuration > Policy Management下。反而,请使用访问时间可用在Cisco Secure ACS for Windows管理此属性。

      • IPsec已分解通道列表—这要求您设置在VPN集中器的一张网络列表在Configuration > Policy Management > Traffic Management下。这是网络列表发送下来对告诉客户端加密数据到在列表的仅那些网络的客户端。

    4. 选择提交>保存配置和激活新的组的重新启动

    5. 重复这些步骤添加更多组。

  6. 配置Cisco Secure ACS for Windows的用户。

    1. 选择用户设置,输入用户名,并且单击添加/编辑

      CiscoSecure-12.gif

    2. 配置这些参数在User Setup部分下:

      • 密码验证—选择Cisco Secure数据库

      • Cisco Secure PAP口令—输入用户的一个密码。

      • Cisco Secure PAP -确认密码—重新输入新用户的密码。

      • 用户分配—的组请选择您在上一步创建组的名称。

      /image/gif/paws/13874/CiscoSecure-8.gif

    3. 单击提交保存和激活用户设置。

    4. 重复这些步骤添加其他用户。

  7. 测试验证。

    选择在VPN 3000集中器的Configuration > System > Servers > Authentication >测验

    /image/gif/paws/13874/CiscoSecure-5.gif

    测试从VPN集中器的验证到Cisco Secure ACS for Windows服务器通过输入您在Cisco Secure ACS for Windows配置的用户名和密码。

    CiscoSecure-9.gif

    在成功验证, VPN集中器显示" Authentication Successful "消息。

    /image/gif/paws/13874/CiscoSecure-10.gif

    如果有Cisco Secure ACS for Windows的失败, Cisco Secure ACS for Windows报告和活动>失败的尝试菜单显示失败。在默认安装中,这些失败报告在c:\Program Files\CiscoSecure ACS v2.5\Logs\Failed尝试的磁盘。

    注意: 密码认证协议仅Cisco VPN 3000集中器用途,当使用TEST验证。

  8. 对VPN 3000集中器的连接。

    使用客户端,现在您能连接到VPN 3000集中器。请务必VPN客户端在步骤2.配置使用配置的同一个组名和密码。

添加记帐

在验证工作后,您能添加核算。

在VPN3000,请选择Configuration > System >服务器>核算

CiscoSecure-15.gif

单击添加为了添加Cisco Secure ACS for Windows服务器。

/image/gif/paws/13874/CiscoSecure-14.gif

当您选择Configuration > User Management > Groups时,您能添加各自的记帐服务器到每组。选定一组并且点击修改账户。服务器

/image/gif/paws/13874/CiscoSecure-16.gif

输入记帐服务器的IP地址有服务器秘密的。

/image/gif/paws/13874/CiscoSecure-17.gif

在Cisco Secure ACS for Windows,当此输出显示,计费记录出现:

Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,
  Acct-Session-Id, Acct-Session-Time,Service-Type,Framed-Protocol,
  Acct-Input-Octets, Acct-Output-Octets, Acct-Input-Packets,
  Acct-Output-Packets,Framed-IP-Address,NAS-Port, 
  NAS-IP-Address03/23/2000,14:04:10, csntuser,3000,,Start,7ED00001,,Framed, 
  PPP,,,,,10.99.99.1,1009,172.18.124.133 03/23/2000,14:07:01,csntuser,3000,,
  Stop,7ED00001,171,Framed,PPP,5256,0,34,0,10.99.99.1, 1009,172.18.124.133

指定每组的个别的IP普尔斯

您能指定个别的IP池对每组。用户为组分配从池的一个IP地址配置。如果池没有为特定组定义,用户分配从全局池的一个IP地址。选择Configuration > User Management > Groups配置每组的各自的池。

/image/gif/paws/13874/CiscoSecure-16.gif

选定一组并且点击修改地址池。单击添加添加IP池。定义的IP地址的池此处可以是全局池的一子集。

/image/gif/paws/13874/CiscoSecure-18.gif

调试

如果连接不工作,您能添加验证、IKE和IPSec事件类到VPN集中器,当您选择Configuration > System > Events > Classes > Modify时(对Log=1-9的对Console=1-3的严重性,严重性)。AUTHDBG, AUTHDECODE, IKEDBG, IKEDECODE, IPSECDBG,并且IPSECDECODE也是可用的,但是可能提供许多信息。如果详细信息在从RADIUS服务器通过下来的属性必要, AUTHDECODE、IKEDECODE和IPSECDECODE提供此在严重性给级的Log=1-13。

/image/gif/paws/13874/CiscoSecure-19.gif

Monitoring > Filterable Event Log检索事件日志。

/image/gif/paws/13874/CiscoSecure-20.gif

Cisco Secure ACS for Windows失败在报告和活动>失败的尝试> active.csv寻找

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 13874