Seguridad : Cisco Secure Access Control Server para Windows

Uso de Cisco Secure ACS para Windows con el Concentrador VPN 3000 – IPSec

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento recomienda la configuración más fácil para el Cisco Secure Access Control Server (ACS) para que Windows autentique a los usuarios que conectan con un concentrador VPN 3000. Un grupo en un concentrador VPN 3000 es un conjunto de usuarios tratado como sola entidad. La configuración de los grupos, en comparación con los usuarios individuales, puede simplificar las tareas de configuración de la administración del sistema y de la línea aerodinámica. En las versiones anteriores, solamente la identidad, la Seguridad, el acceso, el funcionamiento, el DNS, los TRIUNFOS, y los protocolos de túneles fueron configurados para los grupos.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • El Cisco Secure ACS for Windows RADIUS está instalado y actúa correctamente con los otros dispositivos.

  • El Cisco VPN 3000 Concentrator se configura y se puede manejar con la interfaz de HTML.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • RADIUS versión 4.0 del Cisco Secure ACS for Windows o más adelante.

  • Versión 4.7 o posterior del Cisco VPN 3000 Concentrator.

Con el 3.0 de la versión de Microsoft Windows y posterior, usted puede configurar y realizar estas funciones en un para cada grupo.

  • Autenticación (dominio RADIUS, de NT, SDI, o servidor interno.) *

  • El considerar (las estadísticas del usuario de RADIUS recogen los datos sobre el tiempo de conexión del usuario y los paquetes transmitidos.)

  • Agrupaciones de direcciones (permite que usted asigne los IP Addresses internamente de una agrupación configurada.)

Nota: * La autenticación basada en el grupo no soporta los servidores SDI múltiples a partir del Id. de bug Cisco CSCdu57258 (el clientes registrados solamente)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Utilice a los grupos en el concentrador VPN 3000

Los grupos pueden ser definidos para ambo Cisco Secure ACS for Windows y el concentrador VPN 3000, pero utilizan a los grupos algo diferente. Realice estas tareas para simplificar las cosas:

  • Configure a un solo grupo en el concentrador VPN 3000 para establecer el túnel inicial. Esto se llama a menudo el grupo de túnel y se utiliza para establecer una sesión cifrada del Internet Key Exchange (IKE) al concentrador VPN 3000 usando una clave previamente compartida (el group password). Ésta es el mismo nombre del grupo y contraseña que se deben configurar en todo el VPN 3000 Clients que quiere conectar con el concentrador VPN.

  • Configure a los grupos en el servidor del Cisco Secure ACS for Windows que utilizan los atributos RADIUS estándars y específico del vendedor atribuye (los VSA) para la Administración de políticas. Los VSA que se deben utilizar con el concentrador VPN 3000 son los atributos RADIUS (VPN 3000).

  • Configure a los usuarios en el servidor de RADIUS del Cisco Secure ACS for Windows y asígnelos a uno de los grupos configurados en el mismo servidor. Los usuarios heredan los atributos definidos para su grupo y el Cisco Secure ACS for Windows envía esos atributos al concentrador VPN cuando autentican al usuario.

Cómo usa el concentrador VPN 3000 los atributos de grupo y de usuario

Después de que el concentrador VPN 3000 autentique al grupo de túnel con el concentrador VPN y el usuario con el RADIUS, debe ordenar los atributos que ha recibido. El concentrador utiliza los atributos en esta orden de preferencia, si la autenticación está hecha en el concentrador VPN o con el RADIUS:

  1. Atributos de usuario — Estos atributos toman siempre la precedencia sobre cualquier otras.

  2. Atributos del grupo de túnel — Cualquier atributo no vuelto cuando autenticaron al usuario es completado por los atributos del grupo de túnel.

  3. Atributos de grupo base — Ninguno atribuye a los desaparecidos del usuario o los atributos del grupo de túnel son completados por los atributos de grupo base del concentrador VPN.

Configure el servidor de RADIUS y el concentrador VPN 3000

Complete estos pasos para configurar el servidor de RADIUS y el concentrador VPN 3000.

  1. Agregue al servidor de RADIUS del Cisco Secure ACS for Windows a la configuración concentradora VPN 3000.

    1. Utilice a un buscador Web para conectar con el concentrador VPN 3000 tecleando la dirección IP de la interfaz privada en la barra de ubicación o direcciones de su navegador.

    2. Abra una sesión al concentrador VPN (valor por defecto: Login = admin, password=admin).

    3. Seleccione el Configuration (Configuración) > Sytem (Sistema) > Servers (Servidores) > Authentication (Autenticación), y el tecleo agrega (del menú izquierdo).

      /image/gif/paws/13874/CiscoSecure-11.gif

    4. Seleccione el servidor de tipo Radius y agregue estos parámetros para su servidor de RADIUS del Cisco Secure ACS for Windows. Deje el resto de los parámetros en su estado predeterminado.

      • Servidor de autenticación — Ingrese el IP Address de su servidor de RADIUS del Cisco Secure ACS for Windows.

      • Secreto de servidor — Ingrese el servidor secreto de RADIUS. Éste debe ser el mismo secreto que usted utiliza cuando usted configura el concentrador VPN 3000 en la configuración del Cisco Secure ACS for Windows.

      • Verifique — Entre la contraseña para su verificación de nuevo.

        Esto agrega el servidor de autenticación en la configuración global del concentrador VPN 3000. Este servidor es utilizado por todos los grupos a excepción de cuando un servidor de autenticación se ha definido específicamente. Si un servidor de autenticación no se configura para un grupo, invierte al servidor de la autenticación global.

      /image/gif/paws/13874/CiscoSecure-1.gif

  2. Configure al grupo de túnel en el concentrador VPN 3000.

    1. Seleccione el Configuration (Configuración)>User Management (Administración del usuario) >Groups (Grupos) (del menú izquierdo) y el haga click en Add

    2. Cambie o agregue estos parámetros en las fichas de configuración. No haga clic se aplican hasta que usted cambie todos estos parámetros:

      Nota: Estos parámetros son el mínimo necesario para las conexiones VPN de acceso remoto. Estos parámetros también asumen que las configuraciones predeterminadas en el grupo base en el concentrador VPN 3000 no se han cambiado.

      Identidad

      • Nombre del grupo — Teclee un nombre del grupo. Por ejemplo, IPsecUsers.

      • Contraseña — Ingrese una contraseña para el grupo. Ésta es la clave previamente compartida para la sesión IKE.

      • Verifique — Entre la contraseña para su verificación de nuevo.

      • Tipo — Deje esto como el valor por defecto: Interno.

        /image/gif/paws/13874/CiscoSecure-2.gif

      IPSec

      • Tipo de túnel — Seleccione el acceso remoto.

      • Autenticación — RADIUS. Esto dice a concentrador VPN qué método a utilizar para autenticar a los usuarios.

      • Configuración de modo — Seleccione el cuadro de verificación de la configuración de modo.

      /image/gif/paws/13874/CiscoSecure-3.gif

    3. Haga clic en Apply (Aplicar).

  3. Servidores de la autenticación múltiple de la configuración en el concentrador VPN 3000.

    1. Una vez que definen al grupo, resalte a ese grupo, y el tecleo modifica el auth. Servidores. Los servidores de autenticación individuales se pueden definir para cada grupo incluso si estos servidores no existen en los servidores globales.

    2. Seleccione el servidor de tipo Radius, y agregue estos parámetros para su servidor de RADIUS del Cisco Secure ACS for Windows. Deje el resto de los parámetros en su estado predeterminado.

      • Servidor de autenticación — Ingrese el IP Address de su servidor de RADIUS del Cisco Secure ACS for Windows.

      • Secreto de servidor — Ingrese el servidor secreto de RADIUS. Éste debe ser el mismo secreto que usted utiliza cuando usted configura el concentrador VPN 3000 en la configuración del Cisco Secure ACS for Windows.

      • Verifique — Entre la contraseña para su verificación de nuevo.

      /image/gif/paws/13874/CiscoSecure-4.gif

  4. Agregue el concentrador VPN 3000 a la Configuración del servidor del Cisco Secure ACS for Windows.

    1. Haga doble clic el icono Administración de ACS para comenzar a la sesión del administrador en el PC que funciona con al servidor de RADIUS del Cisco Secure ACS for Windows. Inicie sesión con el nombre de usuario correcto y la contraseña, si procede.

    2. Seleccione la configuración de red, y el tecleo agrega la entrada bajo grupo de dispositivos de red.

      1. Cree el nuevo nombre del grupo.

      2. Haga clic en Submit (Enviar). El nuevo nombre del grupo aparece en los grupos de dispositivos de red enumera.

        En vez de crear a un nuevo grupo, usted puede hacer clic al grupo no asignado y agregar el concentrador VPN como el cliente AAA. Pero Cisco no recomienda que usted crea a un nuevo grupo.

      3. Haga clic al nuevo grupo y el tecleo agrega la entrada bajo los clientes AAA.

        Nota: En el contexto del Cisco Secure ACS, un cliente AAA es cualquier dispositivo de red que proporcione las funciones del cliente AAA y soporta un Security Protocol AAA que también es soportado por el Cisco Secure ACS. Esto incluye los Firewall de los Cisco Access Servers, del Cisco PIX, los dispositivos del Routers del Concentradores Cisco VPN de la serie 3000, del Concentradores Cisco VPN de la serie 5000, de Cisco IOS�, del Punto de acceso 340 y 350 del Cisco Aironet, y un poco de Switches del Cisco Catalyst.

      4. Agregue estos parámetros para su concentrador VPN 3000:

      • Nombre del host del cliente AAA — Ingrese el nombre de host de su concentrador VPN 3000 (para la resolución de DNS).

      • IP Address del cliente AAA — Ingrese el IP Address de su concentrador VPN 3000.

      • Clave — Ingrese el servidor secreto de RADIUS. Éste debe ser el mismo secreto que usted configuró cuando usted agregó el servidor de autenticación en el concentrador VPN en el paso 1.

      • Grupo de dispositivos de red — De la lista, seleccione al grupo de dispositivos de red en quien el concentrador VPN pertenece.

      • Autentique usando — Seleccione RADIUS (Cisco VPN 3000/ASA/PIX 7.x y posterior). Esto permite que el VPN 3000 VSA visualice en la ventana de la configuración de grupo.

      CiscoSecure-6.gif

    3. Haga clic en Submit (Enviar).

    4. Configuración de la interfaz, Cisco VPN 3000/ASA/PIX 7.x del tecleo RADIUS y posterior, y grupo de comprobaciones selectos [26] específico del vendedor.

      Nota: El 'atributo de RADIUS 26' refiere a todos los atributos específicos del vendedor. Por ejemplo, la configuración de la interfaz selecta > el RADIUS (Cisco VPN 3000/ASA/PIX 7.x y posterior) y consideran que todos los atributos disponibles comienzan con 026. Esto muestra que todos estos atributos específicos del vendedor bajan bajo estándar del IETF RADIUS 26. Estos atributos no aparecen en el usuario o configuración de grupo por abandono. Para aparecer en la configuración de grupo, cree a un cliente AAA (en este caso concentrador VPN 3000) que autentique con el RADIUS en la configuración de red. Entonces marque los atributos que necesitan aparecer en la configuración de usuario, la configuración de grupo, o ambas de la configuración de la interfaz.

      El documento describe los atributos disponibles y sus atributos de RADIUS del uso.

    5. Haga clic en Submit (Enviar).

  5. Agregue a los grupos a la configuración del Cisco Secure ACS for Windows.

    1. Seleccione la configuración de grupo, después seleccione uno de los grupos de la plantilla (por ejemplo, el grupo 0), y el tecleo retitula al grupo.

      /image/gif/paws/13874/CiscoSecure-13.gif

      Cambie el nombre algo apropiado para su organización. Por ejemplo, el dirigir, ventas, o comercialización. Puesto que agregan a los usuarios a estos grupos, haga que el nombre del grupo refleja el propósito real de ese grupo. Si ponen a todos los usuarios en el mismo grupo, usted puede llamarlo grupo de usuarios de VPN.

    2. El tecleo edita las configuraciones para editar los parámetros en su grupo nuevamente retitulado.

    3. Haga clic el Cisco VPN 3000 RADIUS/ASA/PIX 7.x y posterior y configure estos atributos recomendados. Esto permite a los usuarios asignados a este grupo para heredar los atributos de RADIUS del Cisco VPN 3000, que permite que usted centralice las directivas para todos los usuarios en el Cisco Secure ACS for Windows.

      Nota: Técnico, los atributos de RADIUS del Cisco VPN 3000/ASA/PIX 7.x y posterior no se requieren ser configurados mientras configuren al grupo de túnel mientras que el paso 2 recomienda y el grupo base en el concentrador VPN no cambia de las configuraciones predeterminadas originales.

      Atributos recomendados VPN 3000:

      • DN primarios — Ingrese el IP Address de su servidor DNS principal.

      • DN secundarios — Ingrese el IP Address de su servidor DNS secundario.

      • PRIMARIO-TRIUNFOS — Ingrese el IP Address de su servidor WINS primario.

      • SECUNDARIO-TRIUNFOS — Ingrese el IP Address de su servidor WINS secundario.

      • Protocolos de túneles — Seleccione el IPSec. Esto permite solamente las conexiones del cliente IPSec. El PPTP o el L2TP no se permite.

      • IPSec-SEC-asociación — Ingrese el ESP-3DES-MD5. Esto se asegura que todos sus clientes IPSec conecten con la encripción más alta disponible.

      • IPSec-Permitir-Contraseña-almacén — Selecto rechace así que no se permite a los usuarios salvar su contraseña en el cliente VPN.

      • IPSec-banner — Ingrese un cartel de mensaje de bienvenida que se presentará al usuario sobre la conexión. Por ejemplo, “recepción al acceso del empleado VPN de MyCompany!”

      • Dominio del IPSec-valor por defecto — Ingrese el Domain Name de su compañía. Por ejemplo, “mycompany.com”.

      /image/gif/paws/13874/CiscoSecure-7.gif

      Este conjunto de los atributos no es necesario. Pero si usted es inseguro si los atributos de grupo base del concentrador VPN 3000 han cambiado, después Cisco recomienda que usted configura estos atributos:

      • Simultáneo-logines — Ingrese la cantidad de veces que usted permite que un usuario inicie sesión simultáneamente con el mismo nombre de usuario. La recomendación es 1 o 2.

      • SEP-Indicador luminoso LED amarillo de la placa muestra gravedad menor-asignación — Seleccione el Cualquier-SEP.

      • IPSec-MODE-Config — Seleccione ENCENDIDO.

      • IPSEC-POR-NAT — Seleccione APAGADO, a menos que usted quisiera que los usuarios en este grupo conectaran usando el IPSec sobre el protocolo UDP. Si usted selecciona ENCENDIDO, el cliente VPN todavía tiene la capacidad localmente de inhabilitar el IPSec con el NAT y de conectar normalmente.

      • IPSec-Por-NAT-puerto — Seleccione un número del puerto UDP en el rango de 4001 a 49151. Se utiliza esto solamente si el IPSec-por-NAT está PRENDIDO.

      El conjunto siguiente de los atributos requiere que usted fije algo para arriba en el concentrador VPN primero antes de que usted pueda utilizarlos. Esto se recomienda solamente para los usuarios avanzados.

      • Horas de acceso — Esto le requiere configurar un radio de acción de horas de acceso en el concentrador VPN 3000 debajo Configuration > Policy Management. En lugar, utilice las horas de acceso disponibles en el Cisco Secure ACS for Windows para manejar este atributo.

      • IPSec-Fractura-Túnel-lista — Esto le requiere configurar una lista de red en el concentrador VPN bajo el Configuration (Configuración) > Policy Management (Administración de políticas) > Traffic Management (Administración de tráfico). Esto es una lista de redes enviada abajo al cliente que dice al cliente cifrar los datos solamente a esas redes en la lista.

    4. Selecto someta > reinicio para salvar la configuración y para activar al nuevo grupo.

    5. Relance estos pasos para agregar a más grupos.

  6. Configure a los usuarios en el Cisco Secure ACS for Windows.

    1. Seleccione la configuración de usuario, ingrese un nombre de usuario, y el tecleo agrega/edita.

      CiscoSecure-12.gif

    2. Configure estos parámetros conforme a la sección de configuración de usuario:

      • Autenticación de contraseña — Seleccione la base de datos segura de Cisco.

      • Contraseña PAP segura de Cisco — Ingrese una contraseña para el usuario.

      • Cisco PAP seguro - Confirme la contraseña — Entre la contraseña de nuevo para el usuario nuevo.

      • El grupo a quien asignan el usuario — seleccione el nombre del grupo que usted creó en el paso anterior.

      /image/gif/paws/13874/CiscoSecure-8.gif

    3. Haga clic someten para salvar y para activar los ajustes de usuario.

    4. Relance estos pasos para agregar a los usuarios adicionales.

  7. Prueba de la autentificación.

    Seleccione el Configuration (Configuración) > Sytem (Sistema) > Servers (Servidores) > Authentication (Autenticación) > la prueba en el concentrador VPN 3000.

    /image/gif/paws/13874/CiscoSecure-5.gif

    Prueba de la autentificación del concentrador VPN al servidor del Cisco Secure ACS for Windows ingresando el nombre de usuario y contraseña que usted configuró en el Cisco Secure ACS for Windows.

    CiscoSecure-9.gif

    En una buena autenticación, el concentrador VPN muestra un mensaje autenticación exitosa.

    /image/gif/paws/13874/CiscoSecure-10.gif

    Si hay en el Cisco Secure ACS for Windows, el menú de los informes del Cisco Secure ACS for Windows y de la actividad > de los intentos fallidos muestra los errores. En las instalaciones predeterminadas, estos informes del error están en el disco en las tentativas de c:\Program Files\CiscoSecure ACS v2.5\Logs\Failed.

    Nota: El Cisco VPN 3000 Concentrator utiliza solamente el protocolo password authentication (PAP) cuando se utiliza la prueba de la autentificación.

  8. Conecte con el concentrador VPN 3000.

    Ahora usted puede conectar al concentrador VPN 3000 usando el cliente. Esté seguro que configuran al cliente VPN para utilizar el mismo nombre del grupo y contraseña configurados en el paso 2.

Agregar contabilidad

Después de que la autenticación trabaje, usted puede agregar las estadísticas.

En el VPN 3000, seleccione Configuration > System > los servidores > las estadísticas.

CiscoSecure-15.gif

El tecleo agrega para agregar el servidor del Cisco Secure ACS for Windows.

/image/gif/paws/13874/CiscoSecure-14.gif

Usted puede agregar los servidores de contabilidad individuales a cada grupo cuando usted selecciona el Configuration (Configuración)>User Management (Administración del usuario) >Groups (Grupos). Resalte a un grupo y el tecleo modifica Acct. Servidores.

/image/gif/paws/13874/CiscoSecure-16.gif

Ingrese el IP Address del servidor de contabilidad con el Secreto de servidor.

/image/gif/paws/13874/CiscoSecure-17.gif

En el Cisco Secure ACS for Windows, los registros de contabilidad aparecen mientras que esta salida muestra:

Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,
  Acct-Session-Id, Acct-Session-Time,Service-Type,Framed-Protocol,
  Acct-Input-Octets, Acct-Output-Octets, Acct-Input-Packets,
  Acct-Output-Packets,Framed-IP-Address,NAS-Port, 
  NAS-IP-Address03/23/2000,14:04:10, csntuser,3000,,Start,7ED00001,,Framed, 
  PPP,,,,,10.99.99.1,1009,172.18.124.133 03/23/2000,14:07:01,csntuser,3000,,
  Stop,7ED00001,171,Framed,PPP,5256,0,34,0,10.99.99.1, 1009,172.18.124.133

Especifique IP individual a los pools para cada grupo

Usted puede especificar IP individual a los pools a cada grupo. Asignan el usuario una dirección IP del pool configurado para el grupo. Si un pool no se define para un grupo determinado, asignan el usuario una dirección IP de la agrupación global. Seleccione el Configuration (Configuración)>User Management (Administración del usuario) >Groups (Grupos) para configurar a los pools individuales para cada grupo.

/image/gif/paws/13874/CiscoSecure-16.gif

Resalte a un grupo y el tecleo modifica a la agrupación de direcciones. El tecleo agrega para agregar la agrupación IP. El pool de los IP Addresses definido aquí puede ser un subconjunto de la agrupación global.

/image/gif/paws/13874/CiscoSecure-18.gif

Depuración

Si las conexiones no trabajan, usted puede agregar el AUTH, el IKE, y evento IPSec las clases al concentrador VPN cuando usted selecciona el Configuration (Configuración) > System (Sistema) > Events (Eventos) > Classes (Clases) > Modify (Modificar) (gravedad a Log=1-9, gravedad a Console=1-3). El AUTHDBG, AUTHDECODE, IKEDBG, IKEDECODE, IPSECDBG, y el IPSECDECODE está también disponible, pero puede proporcionar demasiada información. Si la información detallada se necesita en los atributos que se pasan abajo del servidor de RADIUS, el AUTHDECODE, el IKEDECODE, y el IPSECDECODE proporcionan esto en la gravedad al nivel Log=1-13.

/image/gif/paws/13874/CiscoSecure-19.gif

Extraiga el registro de acontecimientos del Monitoring (Monitoreo) > Filterable Event Log (Registro de eventos filtrables).

/image/gif/paws/13874/CiscoSecure-20.gif

Encuentran a los errores del Cisco Secure ACS for Windows en los informes y la actividad > los intentos fallidos > el active.csv.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 13874