安全 : Cisco ASA 5500 系列自适应安全设备

Windows 2008年NP服务器(活动目录)的ASA VPN用户认证有RADIUS配置示例的

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文解释如何配置可适应安全工具(ASA)用一个Microsoft Windows 2008年网络策略服务器(NP)通信有RADIUS协议的,以便传统Cisco VPN Client/AnyConnect/无客户端WebVPN用户验证活动目录。NP是Windows 2008服务器提供的其中一个服务器角色。它与Windows 2003服务器是等同的, IAS (互联网认证服务),是提供远程拨入用户验证的RADIUS服务器实施。同样地,在Windows 2008服务器, NP是RADIUS服务器的实施。基本上, ASA是RADIUS客户端到NP RADIUS服务器。ASA代表VPN用户发送RADIUS验证请求,并且NP利用活动目录验证他们。

贡献用苏尼尔库马尔S和王侯Periyasamy, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行版本9.1(4)的ASA
  • 有安装的活动目录目录服务和NP角色的Windows 2008 R2服务器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

配置

ASDM 配置

  1. 选择NP验证要求的隧道群。
  2. 单击编辑并且选择基本
  3. 在Authentication部分,请单击管理

  4. 在AAA服务器组中请区分,单击添加
  5. 在AAA服务器组字段,请输入服务器组的名称(例如, NP)。
  6. 从协议下拉列表,请选择RADIUS
  7. 单击 Ok

  8. 在选定组部分的服务器中,请选择AAA服务器组被添加并且单击添加
  9. 在服务器名或IP地址字段,请输入服务器IP地址。
  10. 在服务器秘密密钥字段,请输入密钥。
  11. 除非服务器在一个不同的端口,侦听请留下服务器验证端口和服务器计费端口字段在默认值。
  12. 单击 Ok
  13. 单击 Ok

  14. 从AAA服务器组下拉列表,请选择在上一个步骤(在本例中的NP)添加的组。
  15. 单击 Ok

CLI 配置

aaa-server NPS protocol radius
aaa-server NPS (inside) host 10.105.130.51
 key *****

tunnel-group TEST type remote-access
tunnel-group TEST general-attributes
 address-pool test
 authentication-server-group (inside) NPS
tunnel-group TEST webvpn-attributes
 group-alias TEST enable

ip local pool test 192.168.1.1-192.168.1.10 mask 255.255.255.0

默认情况下, ASA使用未加密的密码认证协议(PAP)认证类型。这不意味着ASA发送在纯文本的密码,当发送RADIUS请求数据包时。相反,明文口令加密与RADIUS共享的机密。

如果密码管理启用在隧道群下,则ASA使用MSCHAP-v2认证类型为了加密明文口令。在这种情况下,请保证Microsoft CHAPv2有能力复选框被登记在ASDM配置部分配置的编辑AAA服务器窗口。

tunnel-group TEST general-attributes
address-pool test
authentication-server-group (inside) NPS
password-management

注意测验aaa-server认证命令总是使用PAP。只有当用户启动时对隧道群的一连接有启用的密码管理的执行ASA使用MSCHAP-v2。并且, ‘密码管理[password-expire-in-days days]’选项只支持与轻量级目录访问协议(LDAP)。RADIUS不提供此功能。当密码在活动目录,已经超时您将看到密码超时选项。

有NP配置的Windows 2008服务器

应该安装NP服务器角色和在Windows 2008服务器的运行。否则,请选择Start > Administrative Tools >Server角色>Add角色服务。选择网络策略服务器并且安装软件。一旦NP服务器角色安装,请完成这些步骤为了配置NP接受和处理从ASA的RADIUS验证请求:

  1. 添加ASA作为NP服务器的一个RADIUS客户端。
    1. 选择管理工具>网络策略服务器。
    2. 用鼠标右键单击RADIUS客户端并且选择

    3. 输入在ASA配置的友好名称、地址(IP或DNS)和共享塞克雷。

    4. 单击 Advanced 选项卡。
    5. 从供应商名称下拉列表,请选择RADIUS标准
    6. 单击 Ok

  2. 创建VPN用户的一项新连接请求策略。连接请求策略的目的将指定从RADIUS客户端的请求是否将处理本地或转发到远程RADIUS服务器。
    1. 根据NP >策略,右键单击连接请求策略和创建一项新的策略。
    2. 从网络类型接入服务器下拉列表,请选择未指定

    3. 点击情况选项卡。
    4. 单击 Add
    5. 输入ASA的IP地址作为‘客户端IPv4地址的情况。

    6. 点击设置选项卡
    7. 在转发连接请求下,请选择验证。保证在此服务器单选按钮的验证请求选择。
    8. 单击 Ok

  3. 添加您能指定的一个网络策略哪些用户允许验证。

    例如,您能添加活动目录用户组作为情况。属于一个指定的Windows组只有的那些用户根据此策略验证。

    1. 在NP下,请选择策略
    2. 用鼠标右键单击网络策略并且创建一项新的策略。
    3. 保证格兰特单选按钮选择的访问。
    4. 从网络类型接入服务器下拉列表,请选择未指定

    5. 点击情况选项卡。
    6. 单击 Add
    7. 输入ASA的IP地址,客户端IPv4地址情况。
    8. 输入包含VPN用户的活动目录用户组。

    9. 点击限制条件选项卡。
    10. 选择认证方法
    11. 保证未加密的认证(PAP, SPAP)复选框被检查。
    12. 单击 Ok

通过策略属性(属性25)从NP RADIUS服务器

如果组政策需要动态地分配到用户用NP RADIUS服务器,可以使用组政策RADIUS属性(属性25)。

完成这些步骤为了发送组政策的动态分配的RADIUS属性25对用户。

  1. 在网络策略被添加后,请用鼠标右键单击所需的网络策略并且点击设置选项卡

  2. 选择RADIUS属性>英文虎报。单击 Add。留下访问类型作为所有。

  3. 在属性方框中,请选择中集集团并且单击添加。输入属性值,即,组政策的名称作为字符串。切记与此名称的一组政策在ASA必须配置。这是,以便ASA分配它到VPN会话,在接收在RADIUS答复后的此属性。

验证

使用本部分可确认配置能否正常运行。

注意:使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

ASA调试

在ASA的Enable (event) debug radius全部

ciscoasa# test aaa-server authentication NPS host 10.105.130.51 username vpnuser password
INFO: Attempting Authentication test to IP address <10.105.130.51> (timeout: 12 seconds)
radius mkreq: 0x80000001
alloc_rip 0x787a6424
    new request 0x80000001 --> 8 (0x787a6424)
got user 'vpnuser'
got password
add_req 0x787a6424 session 0x80000001 id 8
RADIUS_REQUEST
radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 65).....
01 08 00 41 c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f    |  ...A.....~m...
40 50 a8 36 01 09 76 70 6e 75 73 65 72 02 12 28    |  @P.6..vpnuser..(
c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43 04    |  .h.........Z.oC.
06 0a 69 82 de 05 06 00 00 00 00 3d 06 00 00 00    |  ..i........=....
05                                                 |  .

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 8 (0x08)
Radius: Length = 65 (0x0041)
Radius: Vector: C41BAB1AE37E6D12DA876F7F4050A836
Radius: Type = 1 (0x01) User-Name
Radius: Length = 9 (0x09)
Radius: Value (String) =
76 70 6e 75 73 65 72                               |  vpnuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
28 c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43    |  (.h.........Z.oC
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 10.105.130.52 (0x0A6982DE)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x0
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 10.105.130.51/1645
rip 0x787a6424 state 7 id 8
rad_vrfy() : response message verified
rip 0x787a6424
 : chall_state ''
 : state 0x7
 : reqauth:
     c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f 40 50 a8 36
 : info 0x787a655c
     session_id 0x80000001
     request_id 0x8
     user 'vpnuser'
     response '***'
     app 0
     reason 0
     skey 'cisco'
     sip 10.105.130.51
     type 1

RADIUS packet decode (response)

--------------------------------------
Raw packet data (length = 78).....
02 08 00 4e e8 88 4b 76 20 b6 aa d3 0d 2b 94 37    |  ...N..Kv ....+.7
bf 9a 6c 4c 07 06 00 00 00 01 06 06 00 00 00 02    |  ..lL............
19 2e 9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a    |  .........7.....j
2c bf 00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf    |  ,.....<..n...@..
1e 3a 18 6f 05 81 00 00 00 00 00 00 00 03          |  .:.o..........

Parsed packet data.....
Radius: Code = 2 (0x02)
Radius: Identifier = 8 (0x08)
Radius: Length = 78 (0x004E)
Radius: Vector: E8884B7620B6AAD30D2B9437BF9A6C4C
Radius: Type = 7 (0x07) Framed-Protocol
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x1
Radius: Type = 6 (0x06) Service-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x2
Radius: Type = 25 (0x19) Class
Radius: Length = 46 (0x2E)
Radius: Value (String) =
9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a 2c bf    |  .......7.....j,.
00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf 1e 3a    |  ....<..n...@...:
18 6f 05 81 00 00 00 00 00 00 00 03                |  .o..........
rad_procpkt: ACCEPT
RADIUS_ACCESS_ACCEPT: normal termination
RADIUS_DELETE
remove_req 0x787a6424 session 0x80000001 id 8
free_rip 0x787a6424
radius: send queue empty
INFO: Authentication Successful

故障排除

本部分提供的信息可用于对配置进行故障排除。

  • 保证ASA和NP服务器之间的连接是好。

    应用数据包捕获保证认证请求留下ASA接口(从服务器可及的)的地方。确认设备在路径不阻塞UDP端口1645 (默认RADIUS认证端口)为了保证它到达NP服务器。关于数据包捕获的更多信息ASA的可以在ASA/PIX/FWSM找到:捕获使用CLI和ASDM配置示例的数据包

  • 如果验证仍然发生故障,请查找在windows NP的事件查看器。在事件查看器> Windows日志下,请选择安全。寻找事件关联与NP在认证请求附近的时期。

    一旦打开事件属性,如示例所显示,您应该能为失败发现原因。在本例中, PAP未选择作为认证类型根据网络策略。因此,认证请求发生故障。

     Log Name:      Security
    Source:        Microsoft-Windows-Security-Auditing
    Date:          2/10/2014 1:35:47 PM
    Event ID:      6273
    Task Category: Network Policy Server
    Level:         Information
    Keywords:      Audit Failure
    User:          N/A
    Computer:      win2k8.skp.com
    Description:
    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
        Security ID:            SKP\vpnuser
        Account Name:            vpnuser
        Account Domain:            SKP
        Fully Qualified Account Name:    skp.com/Users/vpnuser

    Client Machine:
        Security ID:            NULL SID
        Account Name:            -
        Fully Qualified Account Name:    -
        OS-Version:            -
        Called Station Identifier:        -
        Calling Station Identifier:        -

    NAS:
        NAS IPv4 Address:        10.105.130.69
        NAS IPv6 Address:        -
        NAS Identifier:            -
        NAS Port-Type:            Virtual
        NAS Port:            0

    RADIUS Client:
        Client Friendly Name:        vpn
        Client IP Address:            10.105.130.69

    Authentication Details:
        Connection Request Policy Name:    vpn
        Network Policy Name:        vpn
        Authentication Provider:        Windows
        Authentication Server:        win2k8.skp.com
        Authentication Type:        PAP
        EAP Type:            -
        Account Session Identifier:        -
        Logging Results:            Accounting information was written to the local log file.
        Reason Code:            66
        Reason:                The user attempted to use an authentication method that is
    not enabled on the matching network policy.

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 117641