ネットワーク管理 : リモート アクセス

ASA リモートアクセス VPN IKE/SSL - RADIUS、TACACS および LDAP設定例のためのパスワード終止および変更

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)で終わるリモートアクセス VPN トンネルのパスワード終止およびパスワード変更機能を説明していたものです。 資料は取り扱っています:

  • 異なるクライアント: Cisco VPN Client および Cisco AnyConnect セキュアな機動性
  • 異なるプロトコル: TACACS、RADIUS および Lightweight Directory Access Protocol (LDAP)
  • Cisco Secure Access Control System (ACS)の異なるストア: ローカルおよび Active Directory (AD)

著者:Cisco TAC エンジニア、Michal Garcarz

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Command Line Interface (CLI)による ASA 設定のナレッジ
  • ASA の VPN 設定の基本的な知識
  • Cisco Secure ACS の基本的な知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 適応性があるセキュリティ アプライアンス モデル、バージョン 8.4 および それ 以降
  • Microsoft Windows サーバ 2003 SP1
  • Cisco Secure Access Control System、バージョン 5.4 または それ 以降
  • Cisco AnyConnect セキュアな機動性、バージョン 3.1
  • Cisco VPN Client、リリース 5

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定



このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

ローカル認証を用いる ASA

ローカルで定義されたユーザが付いている ASA はパスワード 満了またはパスワード変更機能の使用を可能にしません。 外部サーバが、RADIUS のような、TACACS、LDAP、または Windows NT、必要となります。

ACS およびローカルユーザ

ACS はローカルで定義されたユーザ向けのパスワード両方終止およびパスワード変更をサポートします。 たとえば、新しく作成されたユーザに次のログオンでパスワードを強制的に変更させることができますまたは特定の日付のアカウントをディセーブルにすることができます:

116757-config-asa-remote-01.png

すべてのユーザ向けのパスワード ポリシーを設定できます。 たとえば、パスワードが切れた後、ユーザアカウント(ログインへの能力のないブロックそれ)をディセーブルにすることができますまたはパスワードを変更するオプションを提供できます:

116757-config-asa-remote-02.png

ユーザ別設定はグローバル な 設定に優先します。

ACS 予約済み決して期限切れユーザ識別のための内部 アトリビュートはです。

116757-config-asa-remote-03.png

このアトリビュートはユーザによって有効に され、グローバル な アカウント終止設定をディセーブルにするために使用することができます。 この設定によって、アカウントはグローバル な ポリシーが示しても無効ではないです次のとおりであるはずであることを:

116757-config-asa-remote-04.png

ACS およびアクティブ ディレクトリ ユーザ

ACS は AD データベースのユーザをチェックするために設定することができます。 Microsoft Challenge Handshake Authentication Protocol バージョン 2 (MSCHAPv2)が使用されるときパスワード終止および変更はサポートされます; Cisco Secure Access Control System 5.4 についてはユーザガイドを参照して下さい: ACS 5.4 の認証: 詳細については認証プロトコルおよび識別ストア 互換性

ASA で、MSCHAPv2 を使用するために ASA を強制するためにパスワード管理 機能を、次の セクションに記述されているように使用できます。

ACS はドメインコントローラ(DC)ディレクトリがパスワードを変更するためにによって接触するとき Common Internet File System(CIFS) 分散コンピューティング環境/リモート プロシージャ コール(DCE/RPC)コールを使用します:

116757-config-asa-remote-05.png

ASA は AD パスワード変更のための ACS と連絡するために RADIUS および TACACS+ プロトコルを両方使用できます

RADIUS による ACS の ASA

RADIUSプロトコルはパスワード終止またはパスワード変更を元々サポートしません。 通常、Password Authentication Protocol (PAP)は RADIUS のために使用されます。 ASA は平文のユーザ名 および パスワードを送信 し、パスワードは RADIUS 共有秘密の使用によってそれから暗号化されます。

一般的なシナリオではユーザパスワードが切れたら、ACS は ASA に半径リジェクト メッセージを返します。 ACS はそれに注意します:

116757-config-asa-remote-06.png

ASA に関しては、それは簡単な半径リジェクト メッセージであり、認証は失敗します。

この問題を、パスワード管理 コマンドの ASA 割り当て使用 トンネル グループ 設定の下で解決するため:

tunnel-group RA general-attributes
 authentication-server-group ACS
 password-management

パスワード管理 コマンドは RADIUS要求の PAP よりもむしろ MSCHAPv2 を使用するために ASA が強制されるように動作を、変更します。

MSCHAPv2 プロトコル サポート パスワード終止およびパスワードは変更します。 このように Xauth フェーズの間の特定のトンネル グループは、ASA からの RADIUS要求今 MS CHAP チャレンジが含まれていること VPN ユーザが上陸する場合、:

116757-config-asa-remote-07.png

パスワードを変更することをユーザーのニーズことに ACS が注意すれば MSCHAPv2 エラー 648 の半径リジェクト メッセージを返します。

116757-config-asa-remote-08.png

ASA はそのメッセージを理解し、Cisco VPN Client からの新しいパスワードを要求するために MODE_CFG を使用します:

Oct 02 06:22:26 [IKEv1 DEBUG]Group = RA, Username = cisco, IP = 192.168.10.67, 
Received Password Expiration from Auth server!

Cisco VPN Client は新しいパスワードのためにプロンプト表示するダイアログボックスを示します:

116757-config-asa-remote-09.png

ASA は MS-CHAP-CPW および MS CHAP NT Enc PW ペイロードとの別の RADIUS要求を送信 します(新しいパスワード):

116757-config-asa-remote-10.png

ACS は要求を確認し、MS-CHAP2-Success の半径受諾を戻します:

116757-config-asa-remote-11.png

'24204 パスワードによって変更される successfully を報告するこれは ACS で確認することができます:

116757-config-asa-remote-12.png

ASA はそして認証の成功を報告し、Quick Mode (QM) プロセスと続きます:

Oct 02 06:22:28 [IKEv1]Group = RA, Username = cisco, IP = 192.168.10.67, 
User (cisco) authenticated.

TACACS+ による ACS の ASA

同様に、TACACS+ はパスワード終止および変更に使用することができます。 パスワード管理 機能は ASA がまだ MSCHAPv2 の代りに ASCII の認証種別と TACACS+ を使用するので、必要ではないです。

多重パケットは交換されと、ACS は新しいパスワードの入力を求めます:

116757-config-asa-remote-13.png

Cisco VPN Client は(RADIUS によって使用されるダイアログと異なる)そのダイアログボックス新しいパスワードのためのプロンプトを示します:

116757-config-asa-remote-14.png

新しいパスワードの ACS 要求確認:

116757-config-asa-remote-15.png

Cisco VPN Client 提供確認ボックス:

116757-config-asa-remote-16.png

確認が正しい場合、ACS は認証の成功を報告します:

116757-config-asa-remote-17.png

ACS はそれからパスワードが問題なく変更されたことイベントを記録 します:

116757-config-asa-remote-18.png

ASA デバッグは交換および認証の成功の全体のプロセスを表示します:

Oct 02 07:44:40 [IKEv1 DEBUG]Group = RA, Username = cisco, IP = 192.168.10.67, 
Received challenge status
!
Oct 02 07:44:40 [IKEv1 DEBUG]Group = RA, Username = cisco, IP = 192.168.10.67,
process_attr(): Enter!
Oct 02 07:44:40 [IKEv1 DEBUG]Group = RA, Username = cisco, IP = 192.168.10.67,
Processing MODE_CFG Reply attributes
Oct 02 07:44:40 [IKEv1 DEBUG]Group = RA, Username = cisco, IP = 192.168.10.67,
Received challenge status!
Oct 02 07:44:40 [IKEv1 DEBUG]Group = RA, Username = cisco, IP = 192.168.10.67,
process_attr(): Enter!
Oct 02 07:44:40 [IKEv1 DEBUG]Group = RA, Username = cisco, IP = 192.168.10.67,
Processing MODE_CFG Reply attributes.
Oct 02 07:44:41 [IKEv1]Group = RA, Username = cisco, IP = 192.168.10.67,
User (cisco) authenticated
.

パスワード変更は ASA のために完全に透過的であること。 それはより長くちょうどビット VPN クライアントによって解析され、パスワードを変更しているユーザに示されるリプライパケットです、および More 要求との TACACS+ セッション。

LDAP の ASA

パスワード終止および変更は Microsoft AD および Sun LDAPサーバ スキーマによってフルサポートされます。

パスワード変更に関しては、ユーザがパスワードを変える必要があることを「エラー = 773.' このエラーのサーバ戻り「bindresponse = invalidCredentials」は示します。 典型的なエラーコードは下記のものを含んでいます:

エラー コードError
525見つけられないユーザ
52e無効 な 資格情報
530現時点でログオンすることができない
531このワークステーションでログオンすることができない
532切れるパスワード
533ディセーブルにされるアカウント
701切れるアカウント
773ユーザはパスワードを変える必要があります
775ロックされるユーザアカウント

LDAPサーバを設定して下さい:

aaa-server LDAP protocol ldap
aaa-server LDAP (outside) host 10.48.66.128
 ldap-base-dn CN=USers,DC=test-cisco,DC=com
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn CN=Administrator,CN=users,DC=test-cisco,DC=com
 server-type microsoft

トンネル グループおよびパスワード管理 機能のための設定こと使用して下さい:

tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group LDAP
 default-group-policy MY
 password-management

AD ユーザを設定して下さいそうすればパスワード変更が必要となります:

116757-config-asa-remote-19.png

ユーザが Cisco VPN Client を使用するために試みるとき ASA は無効 な パスワードを報告します:

ASA(config-tunnel-general)# debug ldap 255
<some output ommited for clarity>

[111] Session Start
[111] New request Session, context 0xbd835c10, reqType = Authentication
[111] Fiber started
[111] Creating LDAP context with uri=ldap://10.48.66.128:389
[111] Connect to LDAP server: ldap://10.48.66.128:389, status = Successful
[111] supportedLDAPVersion: value = 3
[111] supportedLDAPVersion: value = 2
[111] Binding as Administrator
[111] Performing Simple authentication for Administrator to 10.48.66.128
[111] LDAP Search:
        Base DN = [CN=USers,DC=test-cisco,DC=com]
        Filter  = [sAMAccountName=cisco-test]
        Scope   = [SUBTREE]
[111] User DN = [CN=cisco-test,CN=Users,DC=test-cisco,DC=com]
[111] Talking to Active Directory server 10.48.66.128
[111] Reading password policy for cisco-test, dn:CN=cisco-test,CN=Users,
DC=test-cisco,DC=com
[111] Read bad password count 2
[111] Binding as cisco-test
[111] Performing Simple authentication for cisco-test to 10.48.66.128
[111] Simple authentication for cisco-test returned code (49) Invalid
credentials
[111] Message (cisco-test): 80090308: LdapErr: DSID-0C090334, comment:
AcceptSecurityContext error, data 773, vece
[111] Invalid password for cisco-test

資格情報が無効である場合、52e エラーは現われます:

[110] Message (cisco-test): 80090308: LdapErr: DSID-0C090334, comment: 
AcceptSecurityContext error, data 52e, vece

Cisco VPN Client はパスワード変更をそれから頼みます:

116757-config-asa-remote-20.png

このダイアログボックスは TACACS か RADIUS によって使用されるダイアログとポリシーを表示するので異なります。 この例では、ポリシーは 7 文字の最小パスワード の 長さです。

ユーザーが変更が LDAPサーバからパスワード、ASA この障害メッセージを得るかもしれなければ:

[113] Modify Password for cisco-test successfully converted password to unicode
[113] modify failed, no SSL enabled on connection

Microsoft ポリシーはパスワード修正のために Secure Sockets Layer (SSL)の使用を必要とします。 設定を変更して下さい:

aaa-server LDAP (outside) host 10.48.66.128
 ldap-over-ssl enable

SSL のための Microsoft LDAP

デフォルトで、SSL 上の Microsoft LDAP ははたらきません。 この機能を有効に するために、正しいキー拡張を用いるコンピューター アカウントのための認証をインストールして下さい。 サード パーティ 認証局 (CA)との SSL 上の LDAP を詳細については有効に する方法を参照して下さい。

認証は ASA が LDAP 認証を確認しないので自己署名証明書である場合もあります。 関連機能拡張要求のための LDAPS サーバからの認証を」、検証するために Cisco バグ ID CSCui40212 を、「割り当て ASA 参照して下さい。

: ACS はバージョン 5.5 および それ 以降の LDAP 認証を確認します。

認証をインストールするために、mmc コンソールを開き、『Add/Remove Snap-in』 を選択 し、認証を追加し、『Computer Account』 を選択 して下さい:

116757-config-asa-remote-21.png

『Local Computer』 を選択 し、認証を個人的なストアにインポートし、信頼されたストアに関連する認証局 (CA) 認証を移動して下さい。 認証が信頼されることを確認して下さい:

116757-config-asa-remote-22.png

SSL 上の LDAP を使用するために試みているときこのエラーが返されるかもしれない ASA バージョン 8.4.2 に不具合があります、:

ASA(config)# debug ldap 255

[142] Connect to LDAP server: ldaps://10.48.66.128:636, status = Successful
[142] supportedLDAPVersion: value = 3
[142] supportedLDAPVersion: value = 2
[142] Binding as Administrator
[142] Performing Simple authentication for Administrator to 10.48.66.128
[142] LDAP Search:
        Base DN = [CN=Users,DC=test-cisco,DC=com]
        Filter  = [sAMAccountName=Administrator]
        Scope   = [SUBTREE]
[142] Request for Administrator returned code (-1) Can't contact LDAP server

ASA バージョン 9.1.3 は同じ 設定を正しく使用します。 2 LDAP セッションがあります。 最初のセッションは第 2 セッションはパスワード変更のために利用されるが、コード 773 (切れるパスワード)の失敗を戻します:

[53] Session Start
[53] New request Session, context 0xadebe3d4, reqType = Modify Password
[53] Fiber started
[53] Creating LDAP context with uri=ldaps://10.48.66.128:636
[53] Connect to LDAP server: ldaps://10.48.66.128:636, status = Successful
[53] supportedLDAPVersion: value = 3
[53] supportedLDAPVersion: value = 2
[53] Binding as Administrator
[53] Performing Simple authentication for Administrator to 10.48.66.128
[53] LDAP Search:
        Base DN = [CN=Users,DC=test-cisco,DC=com]
        Filter  = [sAMAccountName=cisco-test]
        Scope   = [SUBTREE]
[53] User DN = [CN=cisco-test,CN=Users,DC=test-cisco,DC=com]
[53] Talking to Active Directory server 10.48.66.128
[53] Reading password policy for cisco-test, dn:CN=cisco-test,CN=Users,
DC=test-cisco,DC=com
[53] Read bad password count 0
[53] Change Password for cisco-test successfully converted old password to
unicode

[53] Change Password for cisco-test successfully converted new password to
unicode

[53] Password for cisco-test successfully changed
[53] Retrieved User Attributes:

<....most attributes details ommitted for clarity>
accountExpires: value = 130256568000000000 <----- 100ns intervals since
January 1, 1601 (UTC)

パスワード変更を確認するため、パケットの外観。 LDAPサーバのプライベートキーは Wireshark によって SSL トラフィックを復号化するために使用することができます:

116757-config-asa-remote-23.png

ASA のインターネット キー エクスチェンジ(IKE) /Authentication、許可および会計(AAA)デバッグは RADIUS認証 シナリオで示されるそれらに非常に類似したです。

有効期限の前の LDAP および警告

LDAP の場合、パスワードが切れる前に警告を送信 する 機能を使用できます。 ASA は 90 日この設定とのパスワード 満了の前にユーザに警告します:

tunnel-group RA general-attributes
 password-management password-expire-in-days 90

ここにパスワードは 42 日に切れて、ユーザはログインに試みます:

ASA# debug ldap 255
<some outputs removed for clarity>

[84] Binding as test-cisco
[84] Performing Simple authentication for test-cisco to 10.48.66.128
[84] Processing LDAP response for user test-cisco
[84] Message (test-cisco):
[84] Checking password policy
[84] Authentication successful for test-cisco to 10.48.66.128
[84] now: Fri, 04 Oct 2013 09:41:55 GMT, lastset: Fri, 04 Oct 2013 09:07:23
GMT, delta=2072, maxage=1244139139 secs
[84] expire in: 3708780 secs, 42 days
[84] Password expires Sat, 16 Nov 2013 07:54:55 GMT
[84] Password expiring in 42 day(s),threshold 90 days

ASA は警告を送信 し、パスワード変更のためのオプションを提供します:

116757-config-asa-remote-24.png

ユーザがパスワードを変更することを選択する場合新しいパスワードのためのプロンプトがあり、正常なパスワード変更プロシージャは始まります。

ASA および L2TP

前例は IKE バージョン 1 (IKEv1)および IPSec VPN を示しました。

Layer 2 Tunneling Protocol (L2TP)および IPSec に関しては、PPP は認証のために転送するとして使用されます。 作業へのパスワード変更に PAP の代りに MSCHAPv2 が必要となります:

ciscoasa(config-tunnel-general)# tunnel-group DefaultRAGroup ppp-attributes
ciscoasa(config-ppp)# authentication ms-chap-v2

PPP セッションの中の L2TP の拡張認証に関しては、MSCHAPv2 はネゴシエートされます:

116757-config-asa-remote-25.png

ユーザパスワードが切れたら、コード 648 の失敗は戻ります:

116757-config-asa-remote-26.png

パスワード変更はそれから必要とされます。 プロセスの他は MSCHAPv2 の RADIUS のためのシナリオに非常に類似したです。

L2TP を設定する方法の追加詳細については事前共有キー 設定例を使用して Windows 2000 /XP PC と PIX/ASA 7.2 間の L2TP Over IPSec を参照して下さい。

ASA SSL VPN クライアント

前例は End of Life (EOL)である Cisco VPN Client 示しました、および IKEv1 を。

リモートアクセス VPN のための推奨される ソリューションは IKE バージョン 2 (IKEv2)および SSL プロトコルを使用する Cisco AnyConnect セキュアな機動性です。 Cisco VPN Client のためにした Cisco AnyConnect に同じがパスワード変更によっておよび終止機能は丁度勤めています。

IKEv1 に関しては、フェーズ 1.5 のパスワード変更および終止データは ASA と VPN クライアントの間で交換されました(Xauth/モード コンフィグ)。

IKEv2 に関しては、それは類似したです; コンフィギュレーションモードは CFG_REQUEST/CFG_REPLY パケットを使用します。

SSL に関しては、データは制御データグラム の 転送 層 セキュリティ(DTLS)セッションにあります。

設定は ASA のため同じです。

これは SSL 上の LDAPサーバが付いている Cisco AnyConnect および SSL プロトコルとの設定例です:

aaa-server LDAP protocol ldap
aaa-server LDAP (outside) host win2003-mga.test-cisco.com
 ldap-base-dn CN=Users,DC=test-cisco,DC=com
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn CN=Administrator,CN=users,DC=test-cisco,DC=com
 ldap-over-ssl enable
 server-type microsoft

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable

group-policy MY internal
group-policy MY attributes
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless

tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group LDAP
 default-group-policy MY
 password-management
tunnel-group RA webvpn-attributes
 group-alias RA enable
 without-csd

ip local pool POOL 192.168.11.100-192.168.11.105 mask 255.255.255.0

(切れた)正しいパスワード提供されれば、Cisco AnyConnect は接続することを試み、新しいパスワードの入力を求めます:

116757-config-asa-remote-27.png

ログはユーザーの資格情報が二度入ったことを示します:

116757-config-asa-remote-28.png

より詳しいログは AnyConnect 診断レポーティング ツール(投げ矢)で利用できます。

ASA SSL ウェブ ポータル

同じログイン プロセスはウェブ ポータルで行われます:

116757-config-asa-remote-29.png

同じパスワード 満了および変更プロセスは発生します:

116757-config-asa-remote-30.png

ACS ユーザーが変更パスワード

VPN 上のパスワードを変更することはできない場合 ACS ユーザーが変更パスワード(UCP)専用 Web サービスを利用できます。 Cisco Secure Access Control System 5.4 についてはソフトウェア開発者のガイドを参照して下さい: UCP Web サービスの使用

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116757