セキュリティ : Cisco IOS Easy VPN

ASA および Cisco IOS グループ ロック 機能および AAA 属性および WebVPN 設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この技術情報は Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)のおよび Cisco IOS ® のグループ ロック機能を説明し、異なる認証、許可、アカウンティング(AAA)属性のための動作を示します。 Cisco IOS に関しては、グループ ロックとユーザ VPN グループの違いは両方の補足機能を同時に使用する例と共に説明されます。 また認証 ドメインとの Cisco IOS WebVPN 例があります。

著者:Cisco TAC エンジニア、Michal Garcarz

前提条件

要件

Cisco はこれらのトピックの baisc ナレッジがあることを推奨します:

  • ASA CLI 設定および Secure Sockets Layer (SSL) VPN 設定
  • ASA および Cisco IOS のリモートアクセス VPN 設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。

  • ASA ソフトウェア、バージョン 8.4 および それ 以降
  • Cisco IOS、バージョン 15.1 および それ 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

ASA ローカル グループ ロック

ユーザかグループ ポリシーの下でこのアトリビュートを定義できます。 ローカルユーザ アトリビュートのための例はここにあります。

username cisco password 3USUcOPFUiMCO4Jk encrypted
username cisco attributes
 group-lock value RA
username cisco2 password BAtr3u1T7j1eEcYr encrypted
username cisco2 attributes
 group-lock value RA2

tunnel-group RA type remote-access
tunnel-group RA general-attributes
 default-group-policy MY
tunnel-group RA webvpn-attributes
 group-alias RA enable

tunnel-group RA2 type remote-access
tunnel-group RA2 general-attributes
 default-group-policy MY
tunnel-group RA2 webvpn-attributes
 group-alias RA2 enable

group-policy MY attributes
 address-pools value POOL

webvpn
 enable inside
 anyconnect enable
 tunnel-group-list enable

cisco ユーザは RA トンネル グループだけ使用でき cisco2 ユーザは RA2 トンネル グループだけ使用できます。

cisco2 ユーザが RA トンネル グループを選択する場合、接続は否定されます:

May 17 2013 17:24:54: %ASA-4-113040: Group <MY> User <cisco2> IP <192.168.1.88>
Terminating the VPN connection attempt from <RA>. Reason: This connection is
group locked to <RA2>
.

AAA アトリビュート VPN3000/ASA/PIX7.x-Tunnel-Group-Lock の ASA

アトリビュート 3076/85 (トンネル グループ ロック)は AAAサーバによって戻る同じを丁度します。 それはユーザかポリシー グループことができます(または 25) インターネット技術特別調査委員会 (IETF) アトリビュート 認証と共に渡すおよび特定のトンネル グループのユーザをロックします。

Cisco Access Control Server (ACS)の例許可 プロファイルはここにあります:

アトリビュートが AAA によって戻るとき、RADIUS デバッグはそれを示します:

tunnel-group RA2 general-attributes
 authentication-server-group ACS54
Parsed packet data.....
Radius: Code = 2 (0x02)
Radius: Identifier = 2 (0x02)
Radius: Length = 61 (0x003D)
Radius: Vector: E55D5EBF1558CA455DA46F5BF3B67354
Radius: Type = 1 (0x01) User-Name
Radius: Length = 7 (0x07)
Radius: Value (String) =
63 69 73 63 6f                                     |  cisco
Radius: Type = 25 (0x19) Class
Radius: Length = 24 (0x18)
Radius: Value (String) =
43 41 43 53 3a 61 63 73 35 34 2f 31 35 38 33 33    |  CACS:acs54/15833
34 34 38 34 2f 33                                  |  4484/3
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 10 (0x0A)
Radius: Vendor ID = 3076 (0x00000C04)
Radius: Type = 85 (0x55) The tunnel group that tunnel must be associated with
Radius: Length = 4 (0x04)
Radius: Value (String) =
52 41                                              |  RA
rad_procpkt: ACCEPT
RADIUS_ACCESS_ACCEPT: normal termination

結果は RA トンネル グループの内でグループ ロックされた間 RA2 トンネル グループにアクセスすることを試みるとき同じです:

May 17 2013 17:41:33: %ASA-4-113040: Group <MY> User <cisco> IP <192.168.1.88>
Terminating the VPN connection attempt from <RA2>. Reason: This connection is
group locked to <RA>

AAA アトリビュート VPN3000/ASA/PIX7.x-IPSec-User-Group-Lock の ASA

このアトリビュートはまた ASA によって受継がれる VPN3000 ディレクトリから奪取 されます。 それは 8.4 コンフィギュレーション ガイドにまだあり、(コンフィギュレーション ガイドの新しいバージョンで取除かれるが)として記述されていて:

IPsec-User-Group-Lock
0 = Disabled
1 = Enabled

トンネル グループ ロック アトリビュートがあってもグループ ロックをディセーブルにするためにアトリビュートが利用できるようです。 (これは今でもちょうどユーザ認証です)トンネル グループ ロックと共に 0 にこと属性セット戻ることを試みれば、ここに何が起こるかです。 それは特定のグループ名を戻している間グループ ロックをディセーブルにすることを試みるとき奇妙に検知 します:

デバッグは示します:

Parsed packet data.....
Radius: Code = 2 (0x02)
Radius: Identifier = 3 (0x03)
Radius: Length = 73 (0x0049)
Radius: Vector: 7C6260DDFC3E523CCC34AD8B828DD014
Radius: Type = 1 (0x01) User-Name
Radius: Length = 7 (0x07)
Radius: Value (String) =
63 69 73 63 6f                                     |  cisco
Radius: Type = 25 (0x19) Class
Radius: Length = 24 (0x18)
Radius: Value (String) =
43 41 43 53 3a 61 63 73 35 34 2f 31 35 38 33 33    |  CACS:acs54/15833
34 34 38 34 2f 34                                  |  4484/4
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 12 (0x0C)
Radius: Vendor ID = 3076 (0x00000C04)
Radius: Type = 33 (0x21) Group-Lock
Radius: Length = 6 (0x06)
Radius: Value (Integer) = 0 (0x0000)
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 10 (0x0A)
Radius: Vendor ID = 3076 (0x00000C04)
Radius: Type = 85 (0x55) The tunnel group that tunnel must be associated with
Radius: Length = 4 (0x04)
Radius: Value (String) =
52 41                                              |  RA
rad_procpkt: ACCEPT

これは同じ結果をもたらします(グループ ロックは実施され、IPSec ユーザ グループ ロックは考慮に入れられませんでした)。

May 17 2013 17:42:34: %ASA-4-113040: Group <MY> User <cisco> IP <192.168.1.88>
Terminating the VPN connection attempt from <RA2>. Reason: This connection is
group locked to <RA>

外部グループ ポリシーは IPSec-User-Group-Lock=0 を戻し、またユーザ認証のための Tunnel-Group-Lock=RA を得ました。 それにもかかわらず、ユーザはロックされました、つまりグループ ロックが実行されたことを意味します。

反対設定に関しては、外部グループ ポリシーは特定のユーザ(IPSec-User-Group-Lock=0)向けのグループ ロックをディセーブルにすることを試みるおよびグループ ロックしてまだそのユーザ向けに実施されてしまいました間、特定のグループ名(トンネル グループ ロック)を戻します。

これはアトリビュートがもう利用しないことを確認します。 そのアトリビュートは古い VPN3000 シリーズで利用しました。 Cisco バグ ID CSCui34066 は開きました。

Easy VPN のための Cisco IOS ローカル グループ ロック

Cisco IOS 作業のグループ設定の下のローカル グループ ロック オプション別様に ASA でと。 ASA で、ユーザがロックされているグループ名を規定 します。 Cisco IOS グループ ロック オプション(引数がありません)有効追加確認は IKEID (グループ名)とユーザ名(形式 user@group)を与えられるグループを比較し。

詳細については、Easy VPN コンフィギュレーション ガイドへの refere、Cisco IOS リリース 15M&T

次に例を示します。

aaa new-model
aaa authentication login LOGIN local
aaa authorization network LOGIN local

username cisco1@GROUP1 password 0 cisco1
username cisco2@GROUP2 password 0 cisco2

crypto isakmp client configuration group GROUP1
 key cisco
 pool POOL
 group-lock
 save-password
!
crypto isakmp client configuration group GROUP2
 key cisco
 pool POOL
 save-password

crypto isakmp profile prof1
   match identity group GROUP1
   client authentication list LOGIN
   isakmp authorization list LOGIN
   client configuration address respond
   client configuration group GROUP1
   virtual-template 1

crypto isakmp profile prof2
   match identity group GROUP2
   client authentication list LOGIN
   isakmp authorization list LOGIN
   client configuration address respond
   client configuration group GROUP2
   virtual-template 2

crypto ipsec transform-set aes esp-aes 256 esp-sha-hmac
 mode tunnel

crypto ipsec profile prof1
 set transform-set aes
 set isakmp-profile prof1

crypto ipsec profile prof2
 set transform-set aes
 set isakmp-profile prof2

interface Virtual-Template1 type tunnel
 ip unnumbered Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile prof1

interface Virtual-Template2 type tunnel
 ip unnumbered Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile prof2

ip local pool POOL 10.10.10.10 10.10.10.15

これはそれを確認をグループ ロックすることが GROUP1 のために有効に なることを示します。 GROUP1 に関しては、唯一の許可されたユーザは cisco1@GROUP1 です。 GROUP2 (グループ ロック無し)に関しては、ユーザは両方ともログインにできます。

認証の成功に関しては、GROUP1 と cisco1@GROUP1 を使用して下さい:

*May 19 18:21:37.983: ISAKMP:(0): Profile prof1 assigned peer the group named GROUP1
*May 19 18:21:40.595: ISAKMP/author: Author request for group GROUP1successfully
sent to AAA

認証に関しては、GROUP1 と cisco2@GROUP2 を使用して下さい:

*May 19 18:24:10.210: ISAKMP:(1011):User Authentication in this group failed

Cisco IOS AAA ipsec: Easy VPN のためのユーザ VPN グループ

ipsec: ユーザ VPN グループは AAAサーバによって戻る RADIUS特性でありユーザ認証をだけ適用することができます(グループ ロックはグループのために使用されました)。 機能は両方とも補足であり、異なるステージで適用します。

詳細については、Easy VPN コンフィギュレーション ガイドを、Cisco IOS リリース 15M&T 参照して下さい。

それはグループ ロックと別様にはたらき、まだ同じ結果を実現させることを可能にします。 違いは、そして特定の値が Internet Security Association and Key Management Protocol(ISAKMP) グループ名(IKEID)と比較されることことアトリビュートは特定の値がなければならないです(ASA のためにのように); それが一致する場合、接続は失敗します。 クライアント AAA認証を持つためにおよびグループ ロックを今のところディセーブルにするために前例を変更する場合ここに何が起こるかです:

username cisco password 0 cisco        #for testing
aaa authentication login AAA group radius

crypto isakmp client configuration group GROUP1
no group-lock
crypto isakmp client configuration group GROUP2
no group-lock

crypto isakmp profile prof1
client authentication list AAA
crypto isakmp profile prof2
client authentication list AAA

ipsec ことに注意して下さい: ユーザ VPN グループ アトリビュートはユーザ向けに定義され、グループ ロックはグループのために定義されます。

ACS で、2 人のユーザが、cisco1 および cisco2 あります。 cisco1 ユーザ向けに、このアトリビュートは戻ります: ipsec:user-vpn-group=GROUP1. cisco2 ユーザ向けに、このアトリビュートは戻ります: ipsec:user-vpn-group=GROUP2.

cisco2 ユーザが GROUP1 のログインに試みるとき、このエラーは報告されます:

debug radius verbose 
debug crypto isakmp
debug crypto isakmp aaa

*May 19 19:44:10.153: RADIUS:   Cisco AVpair       [1]   29
"ipsec:user-vpn-group=GROUP2"
*May 19 19:44:10.153: RADIUS(00000055): Received from id 1645/23
AAA/AUTHOR/IKE: Processing AV user-vpn-group
*May 19 19:44:10.154:
AAA/AUTHOR/IKE: User group GROUP2 does not match VPN group GROUP1 - access denied

これは cisco2 ユーザ向けの ACS が GROUP1 と Cisco IOS によって比較される ipsec:user-vpn-group=GROUP2 を戻すという理由によります。

こうすればはグループ ロックに関しては、同じ目標実現しました。 今は、エンドユーザがユーザ名として user@group を提供する必要はないわかりましたりことがユーザを使用できます(@group なしで)。

グループ ロックに関しては、cisco1@GROUP1 は Cisco IOS が最後の一部を(の後で@)除去し、IKEID (グループ名)とそれを比較したので使用する必要があります。

ipsec に関しては: そのユーザが ACS および特定の ipsec で定義されるのでユーザ VPN グループ、Cisco VPN Client で cisco1 だけ使用することは十分です: ユーザ VPN グループは(この場合戻ります、それは =GROUP1 であり、)そのアトリビュートは IKEID に対して比較されます。

Cisco IOS AAA ipsec: Easy VPN のためのユーザ VPN グループおよびグループ ロック

なぜ両方の機能を同時に使用する必要がありませんか。

グループ ロックを再度追加できます:

crypto isakmp client configuration group GROUP1
group-lock
crypto isakmp client configuration group GROUP2
group-lock

ここで、フローを示します。

  1. Cisco VPN ユーザは GROUP1 接続を設定し、接続します。
  2. アグレッシブモード フェーズは正常に完了し、Cisco IOS はユーザ名 および パスワードのための Xauth 要求を送信 します。
  3. Cisco VPN ユーザはポップアップを受け取り、ACS で定義される正しいパスワードで cisco1@GROUP1 ユーザ名を入力します。
  4. Cisco IOS はグループ ロックのためのチェックを行います: それはユーザ名でつけられるグループ名を除去し、IKEID と比較します。 それは正常です。
  5. Cisco IOS は ACS サーバに AAA 要求を送信 します(ユーザ cisco1@GROUP1 向けに)。

  6. ACS は ipsec:user-vpn-group=GROUP1 の半径受諾を戻します。

  7. Cisco IOS は第 2 確認を行います; 今回、それは IKEID と RADIUS特性によって提供されるグループを比較します。

    それがステップ 4 (グループ ロック)で失敗する時、エラーは資格情報を提供する直後に記録 されます:

    *May 19 20:14:31.678: ISAKMP/xauth: reply attribute XAUTH_USER_NAME_V2
    *May 19 20:14:31.678: ISAKMP/xauth: reply attribute XAUTH_USER_PASSWORD_V2
    *May 19 20:14:31.678: ISAKMP:(1041):User Authentication in this group failed


    それがステップ 7 (ipsec で失敗する時: ユーザ VPN グループは)、エラー AAA認証のための RADIUS特性を受け取った後戻ります:

     AAA/AUTHOR/IKE: User group GROUP2 does not match VPN group GROUP1 - access denied

IOS Webvpn グループ ロック

ASA で、トンネル グループ ロックはすべてのリモートアクセスVPNサービス(IPSec、SSL、WebVPN)に使用することができます。 Cisco IOS グループ ロックおよび ipsec に関しては: ユーザ VPN グループ、それは IPSec (Easy VPN Server)のためにだけはたらきます。 WebVPN 特定のコンテキスト(および接続されたグループ ポリシー)のグループ ロック特定のユーザは、認証 ドメイン使用する必要があります。

次に例を示します。

aaa new-model
aaa authentication login LIST local

username cisco password 0 cisco
username cisco1@C1 password 0 cisco
username cisco2@C2 password 0 cisco

webvpn gateway GW
 ip address 10.48.67.137 port 443  
 http-redirect port 80
 logging enable
 inservice
 !
webvpn install svc flash:/webvpn/anyconnect-win-3.1.02040-k9.pkg sequence 1
 !
webvpn context C1
 ssl authenticate verify all
 !
 policy group C1
   functions file-access
   functions file-browse
   functions file-entry
   functions svc-enabled
   svc address-pool "POOL"
   svc default-domain "cisco.com"
   svc keep-client-installed
 default-group-policy C1
 aaa authentication list LIST
 aaa authentication domain @C1
 gateway GW domain C1 #accessed via https://IP/C1
 logging enable
 inservice
!
!
webvpn context C2
 ssl authenticate verify all

 url-list "L2"
   heading "Link2"
   url-text "Display2" url-value "http://2.2.2.2"

 policy group C2
   url-list "L2"
 default-group-policy C2
 aaa authentication list LIST
 aaa authentication domain @C2
 gateway GW domain C2 #accessed via https://IP/C2
 logging enable
 inservice

ip local pool POOL 7.7.7.10 7.7.7.20

次 の 例では、2 つのコンテキストがあります: C1 および C2。 各コンテキストに特定の設定との自身のグループ ポリシーがあります。 AnyConnect アクセスを C1 可能に。 gataway 両方のコンテキストを受信するために設定されます: C1 および C2。

cisco1 ユーザアクセスが https://10.48.67.137/C1 の C1 コンテキスト、認証 ドメイン C1 を追加し、cisco1@C1 ローカルで定義された(リスト リスト)ユーザ名に対して認証する時:

debug webvpn aaa
debug webvpn

*May 20 16:30:07.518: WV: validated_tp :  cert_username :  matched_ctx :
*May 20 16:30:07.518: WV-AAA: AAA authentication request sent for user: "cisco1"
*May 20 16:30:07.518: WV: ASYNC req sent
*May 20 16:30:07.518: WV-AAA: AAA Authentication Passed!
*May 20 16:30:07.518: %SSLVPN-5-LOGIN_AUTH_PASSED: vw_ctx: C1 vw_gw: GW remote_ip:
10.61.218.146 user_name: cisco1, Authentication successful, user logged in
*May 20 16:30:07.518: WV-AAA: User "cisco1" has logged in from "10.61.218.146" to gateway "GW"
             context "C1"

C1 コンテキストに(アクセスする間、ユーザ名として cisco2 のログインに試みるとき https://10.48.67.137/C1) は、この失敗報告されます:

*May 20 16:33:56.930: WV: validated_tp :  cert_username :  matched_ctx : 
*May 20 16:33:56.930: WV-AAA: AAA authentication request sent for user: "cisco2"
*May 20 16:33:56.930: WV: ASYNC req sent
*May 20 16:33:58.930: WV-AAA: AAA Authentication Failed!
*May 20 16:33:58.930: %SSLVPN-5-LOGIN_AUTH_REJECTED: vw_ctx: C1 vw_gw: GW
remote_ip: 10.61.218.146 user_name: cisco2, Failed to authenticate user credentials

これはユーザが定義する cisco2@C1 がないという理由によります。 cisco ユーザはあらゆるコンテキストにログインにできません。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117634