セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

RADIUSコンフィギュレーション例の Windows 2008 NPS サーバ(アクティブ ディレクトリ)に対する ASA VPN ユーザ認証

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

レガシー Cisco VPN Client/AnyConnect/Clientless WebVPN ユーザがアクティブ ディレクトリに対して認証されるようにこの資料に Microsoft Windows 2008 ネットワーク ポリシー サーバ(NPS)と通信するために RADIUSプロトコルで適応性があるセキュリティ アプライアンス モデル(ASA)を設定する方法を説明されています。 NPS は Windows 2008 サーバによって提示されるサーバ役割の 1 つです。 それは Windows 2003 サーバと同等、リモート ダイヤルイン ユーザ 認証を提供する RADIUSサーバの実装の IAS (Internet Authentication Service)です。 同様に、Windows 2008 サーバで、NPS は RADIUSサーバの実装です。 基本的には、ASA は NPS RADIUSサーバへ RADIUSクライアントです。 ASA は VPN ユーザに代わって Radius Authentication 要求を送信 し、NPS はアクティブ ディレクトリに対してそれらを認証します。

Sunil Kumar S および支配者 Periyasamy によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 9.1(4)を実行する ASA
  • アクティブ ディレクトリ ディレクトリー・サービスを用いる Windows 2008 R2 サーバおよびインストールされる NPS 役割

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

設定

ASDM の設定

  1. NPS 認証が必要となるトンネル グループを選択して下さい。
  2. 基本を『Edit』 をクリック し、選択して下さい。
  3. Authentication セクションで、『Manage』 をクリック して下さい。

  4. AAA サーバ グループでは区分して下さい、『Add』 をクリック して下さい。
  5. AAAサーバグループ フィールドでは、サーバグループの名前を入力して下さい(たとえば、NPS)。
  6. プロトコル ドロップダウン リストから、『RADIUS』 を選択 して下さい。
  7. [OK] をクリックします。

  8. 選択したグループ セクションのサーバでは、追加される AAAサーバグループを選択し、『Add』 をクリック して下さい。
  9. サーバ名か IP Address フィールドでは、サーバのIPアドレスを入力して下さい。
  10. サーバシークレット Key フィールドでは、秘密鍵を入力して下さい。
  11. サーバが別のポートで受信しなかったらデフォルト値でサーバ認証 ポートおよびサーバ アカウンティングポート フィールドを残して下さい。
  12. [OK] をクリックします。
  13. [OK] をクリックします。

  14. AAAサーバグループ ドロップダウン リストから、前の手順に追加されるグループ(この例の NPS)を選択して下さい。
  15. [OK] をクリックします。

CLI 設定

aaa-server NPS protocol radius
aaa-server NPS (inside) host 10.105.130.51
 key *****

tunnel-group TEST type remote-access
tunnel-group TEST general-attributes
 address-pool test
 authentication-server-group (inside) NPS
tunnel-group TEST webvpn-attributes
 group-alias TEST enable

ip local pool test 192.168.1.1-192.168.1.10 mask 255.255.255.0

デフォルトで、ASA は非暗号化 パスワード 認証プロトコル(PAP)認証種別を使用します。 これは RADIUS要求 パケットを送信 するとき ASA が平文のパスワードを送信することを意味しません。 むしろ、プレーンテキストのパスワードは RADIUS 共有秘密と暗号化されます。

パスワード管理がトンネル グループの下で有効に なる場合、ASA はプレーンテキストのパスワードを暗号化するために MSCHAP-v2 認証種別を使用します。 このような場合 Microsoft CHAPv2 可能なチェックボックスが ASDM コンフィギュレーションセクションで設定される編集 AAAサーバ ウィンドウ チェックインされるように、して下さい。

tunnel-group TEST general-attributes
address-pool test
authentication-server-group (inside) NPS
password-management

テスト aaa-server 認証コマンドは PAP を常に使用します。 ユーザが始まるときだけ有効に なる パスワード管理が付いているトンネル グループへの接続は ASA 使用 MSCHAP-v2 をします。 また、「パスワード管理[パスワード切ら日日]」オプションは Lightweight Directory Access Protocol (LDAP)でだけサポートされます。 RADIUS はこの機能を提供しません。 パスワードがアクティブ ディレクトリで既に切れている場合パスワードがオプション切れるが表示されます。

NPS 設定の Windows 2008 サーバ

NPS サーバ役割ははずでインストールされ、Windows 2008 サーバで動作しますである。 そうでなかったら、> 管理ツール > ロール サービス サーバー ロールの > Add 『Start』 を選択 して下さい。 ネットワーク ポリシー サーバを選択し、ソフトウェアをインストールして下さい。 NPS サーバ役割がインストールされていたら、NPS を ASA からの Radius Authentication 要求を受け入れ、処理するために設定するためにこれらのステップを完了して下さい:

  1. NPS サーバの RADIUSクライアントとして ASA を追加して下さい。
    1. > ネットワーク ポリシー サーバ 『Administrative Tools』 を選択 して下さい
    2. RADIUSクライアントを右クリックし、『New』 を選択 して下さい。

    3. 表示名、ASA で設定されるアドレス(IP か DNS)、および共有秘密を入力して下さい。

    4. [Advanced] タブをクリックします。
    5. ベンダー名 ドロップダウン リストから、規格を『RADIUS』 を選択 して下さい。
    6. [OK] をクリックします。

  2. VPN ユーザ向けの新しい接続 要求 ポリシーを作成して下さい。 接続要求 ポリシーの目的は RADIUSクライアントからの要求がローカルで処理されるか、またはリモートRADIUSサーバに転送されるべきであるかどうか規定 することです。
    1. の下で NPS > ポリシーは、接続要求ポリシーを右クリックし、新しいポリシーを作成します。
    2. ネットワークの種類 アクセス サーバ ドロップダウン リストから、明記していない選択して下さい。

    3. 条件タブをクリックして下さい。
    4. [Add] をクリックします。
    5. 「クライアント IPv4 アドレス」状態として ASA の IP アドレスを入力して下さい。

    6. Settings タブをクリックして下さい。
    7. フォワーディング 接続要求の下で、認証を選択して下さい。 この Serverオプション・ボタンの認証する 要求を選択されます確認して下さい。
    8. [OK] をクリックします。

  3. どのユーザが認証を受けることができるか規定できるネットワーク ポリシーを追加して下さい。

    たとえば、状態としてアクティブ ディレクトリ ユーザグループを追加できます。 に指定されたウィンドウ属するそれらのユーザだけこのポリシーの下で認証されますグループ化します。

    1. NPS の下で、『Policies』 を選択 して下さい。
    2. ネットワーク ポリシーを右クリックし、新しいポリシーを作成して下さい。
    3. グラントを確認して下さいアクセス オプション ボタンが選択される。
    4. ネットワークの種類 アクセス サーバ ドロップダウン リストから、明記していない選択して下さい。

    5. 条件タブをクリックして下さい。
    6. [Add] をクリックします。
    7. ASA の IP アドレスをようにクライアント IPv4 アドレス状態入力して下さい。
    8. VPN ユーザが含まれているアクティブ ディレクトリ ユーザグループを入力して下さい。

    9. 制約タブをクリックして下さい。
    10. 認証方式を選択して下さい。
    11. 非暗号化認証(PAP、SPAP)チェックボックスをチェックされます確認して下さい。
    12. [OK] をクリックします。

グループ ポリシー アトリビュート(NPS RADIUSサーバからの 25) アトリビュートを渡して下さい

グループ ポリシーが NPS RADIUSサーバとユーザに動的に割り当てられる必要がある場合、グループ ポリシー RADIUS特性(アトリビュートは 25)利用することができます。

ユーザにグループ ポリシーの動的割り当てのための RADIUS特性 25 を送るためにこれらのステップを完了して下さい。

  1. ネットワーク ポリシーが追加された後、要求されたネットワーク ポリシーを右クリックし、Settings タブをクリックして下さい。

  2. 属性 > 規格を『RADIUS』 を選択 して下さい。 [Add] をクリックします。 すべてとしてアクセス タイプを残して下さい。

  3. 属性ボックスで、クラスを選択し、『Add』 をクリック して下さい。 ストリングとして属性値を、すなわち、グループ ポリシーの名前入力して下さい。 この名前のグループ ポリシーが ASA で設定されなければならないことを覚えていて下さい。 これは RADIUS 応答のこのアトリビュートを受け取った後 ASA が VPN セッションにそれを割り当てるようにあります。

確認

ここでは、設定が正常に動作していることを確認します。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

ASA デバッグ

ASA のイネーブル debug radius すべて

ciscoasa# test aaa-server authentication NPS host 10.105.130.51 username vpnuser password
INFO: Attempting Authentication test to IP address <10.105.130.51> (timeout: 12 seconds)
radius mkreq: 0x80000001
alloc_rip 0x787a6424
    new request 0x80000001 --> 8 (0x787a6424)
got user 'vpnuser'
got password
add_req 0x787a6424 session 0x80000001 id 8
RADIUS_REQUEST
radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 65).....
01 08 00 41 c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f    |  ...A.....~m...
40 50 a8 36 01 09 76 70 6e 75 73 65 72 02 12 28    |  @P.6..vpnuser..(
c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43 04    |  .h.........Z.oC.
06 0a 69 82 de 05 06 00 00 00 00 3d 06 00 00 00    |  ..i........=....
05                                                 |  .

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 8 (0x08)
Radius: Length = 65 (0x0041)
Radius: Vector: C41BAB1AE37E6D12DA876F7F4050A836
Radius: Type = 1 (0x01) User-Name
Radius: Length = 9 (0x09)
Radius: Value (String) =
76 70 6e 75 73 65 72                               |  vpnuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
28 c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43    |  (.h.........Z.oC
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 10.105.130.52 (0x0A6982DE)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x0
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 10.105.130.51/1645
rip 0x787a6424 state 7 id 8
rad_vrfy() : response message verified
rip 0x787a6424
 : chall_state ''
 : state 0x7
 : reqauth:
     c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f 40 50 a8 36
 : info 0x787a655c
     session_id 0x80000001
     request_id 0x8
     user 'vpnuser'
     response '***'
     app 0
     reason 0
     skey 'cisco'
     sip 10.105.130.51
     type 1

RADIUS packet decode (response)

--------------------------------------
Raw packet data (length = 78).....
02 08 00 4e e8 88 4b 76 20 b6 aa d3 0d 2b 94 37    |  ...N..Kv ....+.7
bf 9a 6c 4c 07 06 00 00 00 01 06 06 00 00 00 02    |  ..lL............
19 2e 9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a    |  .........7.....j
2c bf 00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf    |  ,.....<..n...@..
1e 3a 18 6f 05 81 00 00 00 00 00 00 00 03          |  .:.o..........

Parsed packet data.....
Radius: Code = 2 (0x02)
Radius: Identifier = 8 (0x08)
Radius: Length = 78 (0x004E)
Radius: Vector: E8884B7620B6AAD30D2B9437BF9A6C4C
Radius: Type = 7 (0x07) Framed-Protocol
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x1
Radius: Type = 6 (0x06) Service-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x2
Radius: Type = 25 (0x19) Class
Radius: Length = 46 (0x2E)
Radius: Value (String) =
9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a 2c bf    |  .......7.....j,.
00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf 1e 3a    |  ....<..n...@...:
18 6f 05 81 00 00 00 00 00 00 00 03                |  .o..........
rad_procpkt: ACCEPT
RADIUS_ACCESS_ACCEPT: normal termination
RADIUS_DELETE
remove_req 0x787a6424 session 0x80000001 id 8
free_rip 0x787a6424
radius: send queue empty
INFO: Authentication Successful

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

  • ASA 確認して下さいと NPS サーバ間の接続をよいです。

    サーバが到達可能どこにからであるか)認証要求を確認するためにパケットキャプチャを残します ASA インターフェイスを加えて下さい(。 それを確認するためにパスのデバイスが UDP ポート 1645 (デフォルト ラジウス 認証 ポート)を達する NPS サーバにブロックしないことを確認して下さい。 ASA のパケットキャプチャに関する詳細は ASA/PIX/FWSM で見つけることができます: CLI および ASDM 設定例を使用してキャプチャ する パケット

  • 認証がそれでも失敗した場合、ウィンドウ NPS のイベント ビューアを検知 して下さい。 イベント ビューア > ウィンドウ ログの下で、『Security』 を選択 して下さい 認証要求の時のまわりに NPS と関連付けられるイベントを探して下さい。

    イベント プロパティを開けば、例に示すように失敗については原因を見られますはずです。 この例では、PAP はネットワーク ポリシーの下の認証種別として選択されませんでした。 それ故に、認証要求は失敗します。

     Log Name:      Security
    Source:        Microsoft-Windows-Security-Auditing
    Date:          2/10/2014 1:35:47 PM
    Event ID:      6273
    Task Category: Network Policy Server
    Level:         Information
    Keywords:      Audit Failure
    User:          N/A
    Computer:      win2k8.skp.com
    Description:
    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
        Security ID:            SKP\vpnuser
        Account Name:            vpnuser
        Account Domain:            SKP
        Fully Qualified Account Name:    skp.com/Users/vpnuser

    Client Machine:
        Security ID:            NULL SID
        Account Name:            -
        Fully Qualified Account Name:    -
        OS-Version:            -
        Called Station Identifier:        -
        Calling Station Identifier:        -

    NAS:
        NAS IPv4 Address:        10.105.130.69
        NAS IPv6 Address:        -
        NAS Identifier:            -
        NAS Port-Type:            Virtual
        NAS Port:            0

    RADIUS Client:
        Client Friendly Name:        vpn
        Client IP Address:            10.105.130.69

    Authentication Details:
        Connection Request Policy Name:    vpn
        Network Policy Name:        vpn
        Authentication Provider:        Windows
        Authentication Server:        win2k8.skp.com
        Authentication Type:        PAP
        EAP Type:            -
        Account Session Identifier:        -
        Logging Results:            Accounting information was written to the local log file.
        Reason Code:            66
        Reason:                The user attempted to use an authentication method that is
    not enabled on the matching network policy.

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117641