Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA 8.0: Configuración de Autenticación RADIUS para Usuarios de WebVPN

25 Agosto 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (18 Septiembre 2007) | Comentarios

Contenido

Introducción
Prerrequisitos
Configuración del Servidor ACS
Configuración del Dispositivo de Seguridad (ASA)
      ASDM
      Interfaz de la Línea de Comandos (CLI)
Verificación
      Prueba con ASDM
      Prueba con CLI
Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento, se demuestra cómo configurar un Cisco Adaptive Security Appliance (ASA) para utilizar un servidor de Servicio de Autenticación Remota para Usuarios Dial-In (RADIUS) para la autenticación de los usuarios de WebVPN. El servidor RADIUS de este ejemplo es un servidor Cisco Access Control Server (ACS) versión 4.1. Esta configuración se realiza con el Adaptive Security Device Manager (ASDM) 6.0(2) en un ASA que ejecuta el software versión 8.0(2).

Nota: En este ejemplo, la autenticación RADIUS está configurada para usuarios de WebVPN, pero también puede utilizarse esta configuración para otros tipos de VPN de acceso remoto. Simplemente asigne el AAA Server group al perfil de la conexión deseada (tunnel group) como se muestra.

Prerrequisitos

Configuración del Servidor ACS

En esta sección, se presenta la información para configurar la autenticación RADIUS en el ACS y el ASA.

Complete los siguientes pasos para configurar el servidor ACS de modo tal que se comunique con el ASA.

  1. Elija Network Configuration en el menú que aparece a la izquierda de la pantalla del ACS.

  2. Elija Add Entry bajo la sección de AAA Clients.

  3. Proporcione la información del cliente.

    • AAA Client Hostname: Un nombre que usted elija

    • AAA Client IP Address: La dirección desde la que el ASA se comunica con el ACS

    • Shared Secret: Una clave secreta configurada en el ACS y en el dispositivo de seguridad

  4. En el menú desplegable Authenticate Using, elija RADIUS (Cisco VPN 3000/ASA/PIX 7.x+).

  5. Haga clic en Submit+Apply.

Ejemplo de Configuración del Cliente AAA.

configure_radius_authentication-1.gif

Configuración del ASA

ASDM

Complete los siguientes pasos en el ASDM para configurar el ASA de modo tal que se comunique con el servidor ACS y autentique los clientes de WebVPN.

  1. Elija Configuration > Remote Access VPN > AAA Setup > AAA Server Groups.

  2. Haga clic en Add, junto a AAA Server Groups.

  3. En la ventana que aparece, especifique un nombre para el nuevo grupo de servidores AAA y elija RADIUS como protocolo. Al finalizar, haga clic en OK.

    configure_radius_authentication-2.gif

  4. Asegúrese de que su nuevo grupo esté seleccionado en el panel superior y haga clic en Add, a la derecha del panel inferior.

  5. Proporcione la información del servidor:

    • Interface Name: La interfaz que el ASA debe utilizar para alcanzar el servidor ACS

    • Server Name or IP address: La dirección que el ASA debe utilizar para alcanzar el servidor ACS

    • Server Secret Key: La clave secreta compartida configurada para el ASA en el servidor ACS

    Ejemplo de Configuración del Servidor AAA en el ASA

    configure_radius_authentication-3.gif

  6. Una vez configurado el AAA server group y el servidor, diríjase a Configuration > Remote Access VPN > Clientless SSL VPN Access > Connection Profiles para que WebVPN utilice la nueva configuración AAA.

    Nota: Aunque en este ejemplo se utiliza WebVPN, puede configurarse cualquier perfil de conexión de acceso remoto (tunnel group) para utilizar esta configuración AAA.

  7. Elija el perfil para el que se desea configurar AAA y luego haga clic en Edit.

  8. En Authentication, elija el grupo de servidores RADIUS que creó anteriormente. Al finalizar, haga clic en OK.

    configure_radius_authentication-4.gif

Interfaz de la Línea de Comandos (CLI)

Complete los siguientes pasos en la Interfaz de la Línea de Comandos (CLI) para configurar el ASA de modo tal que se comunique con el servidor ACS y autentique los clientes de WebVPN.

ciscoasa#configure terminal


!--- Configuración del AAA server group.

ciscoasa(config)# aaa-server RAD_SRV_GRP protocol RADIUS
ciscoasa(config-aaa-server-group)# exit


!--- Configuración del servidor AAA.

ciscoasa(config)# aaa-server RAD_SRV_GRP (inside) host 192.168.1.2
ciscoasa(config-aaa-server-host)# key secretkey
ciscoasa(config-aaa-server-host)# exit


!--- Configuración del tunnel group para utilizar la nueva configuración de AAA.

ciscoasa(config)# tunnel-group ExampleGroup1 general-attributes
ciscoasa(config-tunnel-general)# authentication-server-group RAD_SRV_GRP

Verificación

Utilice esta sección para confirmar que la configuración funcione correctamente.

Prueba con ASDM

Verifique su configuración RADIUS con el botón Test en la pantalla de configuración AAA Server Groups. Una vez que proporcionó un nombre de usuario y una contraseña, este botón permite enviar una petición de autenticación de prueba al servidor ACS.

  1. Elija Configuration > Remote Access VPN > AAA Setup > AAA Server Groups.

  2. Seleccione el AAA server group deseado en el panel superior.

  3. En el panel inferior, seleccione el servidor AAA que desea probar.

  4. Haga clic en el botón Test, que está ubicado a la derecha del panel inferior.

  5. En la ventana que aparece, haga clic en el botón Authentication y suministre las credenciales con las que desea realizar la prueba. Al finalizar, haga clic en OK.

    configure_radius_authentication-5.gif

  6. Después de que el ASA se comunica con el servidor AAA, aparece un mensaje de éxito o de falla.

    configure_radius_authentication-6.gif

Prueba con CLI

Para probar su configuración AAA, puede utilizar el comando test en la línea de comandos. Se envía una petición de prueba al servidor AAA y la salida aparece en la línea de comandos.

ciscoasa#test aaa-server authentication RAD_SVR_GRP host 192.168.1.2 username kate password cisco123
INFO: Attempting Authentication test to IP address <192.168.1.2> (timeout: 12 seconds)
INFO: Authentication Successful

Troubleshooting

En esta situación, el comando debug radius puede ayudar a resolver problemas de autenticación. Este comando activa la debugging de sesiones RADIUS y la decodificación de paquetes RADIUS. En cada salida de debug que se presenta, el primer paquete decodificado es el enviado desde el ASA al servidor ACS. El segundo paquete es la respuesta del servidor ACS.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

Cuando la autenticación es correcta, el servidor RADIUS envía un mensaje access-accept.

ciscoasa#debug radius


!--- Primer paquete. Petición de autenticación.

ciscoassa#radius mkreq: 0x88
alloc_rip 0xd5627ae4
    new request 0x88 --> 52 (0xd5627ae4)
got user ''
got password
add_req 0xd5627ae4 session 0x88 id 52
RADIUS_REQUEST
radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 62).....
01 34 00 3e 18 71 56 d7 c4 ad e2 73 30 a9 2e cf    |  .4.>.qV....s0...
5c 65 3a eb 01 06 6b 61 74 65 02 12 0e c1 28 b7    |  \e:...kate....(.
87 26 ed be 7b 2c 7a 06 7c a3 73 19 04 06 c0 a8    |  .&..{,z.|.s.....
01 01 05 06 00 00 00 34 3d 06 00 00 00 05          |  .......4=.....

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 52 (0x34)
Radius: Length = 62 (0x003E)
Radius: Vector: 187156D7C4ADE27330A92ECF5C653AEB
Radius: Type = 1 (0x01) User-Name
Radius: Length = 6 (0x06)
Radius: Value (String) =
6b 61 74 65                                        |  kate
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
0e c1 28 b7 87 26 ed be 7b 2c 7a 06 7c a3 73 19    |  ..(..&..{,z.|.s.
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 192.168.1.1 (0xC0A80101)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x34
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 192.168.1.2/1645
rip 0xd5627ae4 state 7 id 52
rad_vrfy() : response message verified
rip 0xd544d2e8
 : chall_state ''
 : state 0x7
 : timer 0x0
 : reqauth:
     18 71 56 d7 c4 ad e2 73 30 a9 2e cf 5c 65 3a eb
 : info 0x88
     session_id 0x88
     request_id 0x34
     user 'kate'
     response '***'
     app 0
     reason 0
     skey 'secretkey'
     sip 192.168.1.2
     type 1


!--- Segundo paquete. Repuesta de autenticación.


RADIUS packet decode (response)

--------------------------------------
Raw packet data (length = 50).....
02 34 00 32 35 a1 88 2f 8a bf 2a 14 c5 31 78 59    |  .4.25../..*..1xY
60 31 35 89 08 06 ff ff ff ff 19 18 43 41 43 53    |  `15.........CACS
3a 30 2f 32 61 36 2f 63 30 61 38 30 31 30 31 2f    |  :0/2a6/c0a80101/
35 32                                              |  52

Parsed packet data.....
Radius: Code = 2 (0x02)
Radius: Identifier = 52 (0x34)
Radius: Length = 50 (0x0032)
Radius: Vector: 35A1882F8ABF2A14C531785960313589
Radius: Type = 8 (0x08) Framed-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 255.255.255.255 (0xFFFFFFFF)
Radius: Type = 25 (0x19) Class
Radius: Length = 24 (0x18)
Radius: Value (String) =
43 41 43 53 3a 30 2f 32 61 36 2f 63 30 61 38 30    |  CACS:0/2a6/c0a80
31 30 31 2f 35 32                                  |  101/52
rad_procpkt: ACCEPT
RADIUS_ACCESS_ACCEPT: normal termination
RADIUS_DELETE
remove_req 0xd5627ae4 session 0x88 id 52
free_rip 0xd5627ae4
radius: send queue empty

Cuando la autenticación falla, el servidor ACS envía un mensaje access-reject.

ciscoasa#debug radius


!--- Primer paquete.  Petición de autenticación.

ciscoasa# radius mkreq: 0x85
alloc_rip 0xd5627ae4
    new request 0x85 --> 49 (0xd5627ae4)
got user ''
got password
add_req 0xd5627ae4 session 0x85 id 49
RADIUS_REQUEST
radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 62).....
01 31 00 3e 88 21 46 07 34 5d d2 a3 a0 59 1e ff    |  .1.>.!F.4]...Y..
cc 15 2a 1b 01 06 6b 61 74 65 02 12 60 eb 05 32    |  ..*...kate..`..2
87 69 78 a3 ce d3 80 d8 4b 0d c3 37 04 06 c0 a8    |  .ix.....K..7....
01 01 05 06 00 00 00 31 3d 06 00 00 00 05          |  .......1=.....

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 49 (0x31)
Radius: Length = 62 (0x003E)
Radius: Vector: 88214607345DD2A3A0591EFFCC152A1B
Radius: Type = 1 (0x01) User-Name
Radius: Length = 6 (0x06)
Radius: Value (String) =
6b 61 74 65                                        |  kate
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
60 eb 05 32 87 69 78 a3 ce d3 80 d8 4b 0d c3 37    |  `..2.ix.....K..7
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 192.168.1.1 (0xC0A80101)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x31
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 192.168.1.2/1645
rip 0xd5627ae4 state 7 id 49
rad_vrfy() : response message verified
rip 0xd544d2e8
 : chall_state ''
 : state 0x7
 : timer 0x0
 : reqauth:
     88 21 46 07 34 5d d2 a3 a0 59 1e ff cc 15 2a 1b
 : info 0x85
     session_id 0x85
     request_id 0x31
     user 'kate'
     response '***'
     app 0
     reason 0
     skey 'secretkey'
     sip 192.168.1.2
     type 1


!--- Segundo paquete.  Repuesta de autenticación.


RADIUS packet decode (response)

--------------------------------------
Raw packet data (length = 32).....
03 31 00 20 70 98 50 af 39 cc b9 ba df a7 bd ff    |  .1. p.P.9.......
06 af fb 02 12 0c 52 65 6a 65 63 74 65 64 0a 0d    |  ......Rejected..

Parsed packet data.....
Radius: Code = 3 (0x03)
Radius: Identifier = 49 (0x31)
Radius: Length = 32 (0x0020)
Radius: Vector: 709850AF39CCB9BADFA7BDFF06AFFB02
Radius: Type = 18 (0x12) Reply-Message
Radius: Length = 12 (0x0C)
Radius: Value (String) =
52 65 6a 65 63 74 65 64 0a 0d                      |  Rejected..
rad_procpkt: REJECT
RADIUS_DELETE
remove_req 0xd5627ae4 session 0x85 id 49
free_rip 0xd5627ae4
radius: send queue empty

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 98594