Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x: CAC - Autenticación de las tarjetas inteligentes para el Cliente Cisco VPN

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (12 Noviembre 2015) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra en el dispositivo de seguridad adaptante de Cisco (ASA) para el Acceso Remoto de red con el indicador luminoso LED amarillo de la placa muestra gravedad menor común del acceso (CAC) para la autenticación.

El alcance de este documentos abarca la configuración de Cisco ASA con el Administrador de dispositivos de seguridad adaptante (ASDM), el Cliente Cisco VPN, y el Directory Access Protocol del Microsoft Active Directory (AD) /Lightweight (LDAP).

La configuración en esta guía utiliza el servidor de Microsoft AD/LDAP. Este documento también cubre las funciones avanzadas, tales como las correspondencias de atributo OCSP y LDAP.

prerrequisitos

Requisitos

Un conocimiento básico de Cisco ASA, Cliente Cisco VPN, Microsoft AD/LDAP, y Public Key Infrastructure (PKI) es beneficioso entender la configuración completa. La familiaridad con la membresía del grupo y las propiedades del usuario AD, así como las ayudas de los objetos LDAP para correlacionar el proceso de la autorización entre los atributos del certificado y el AD/LDAP se opone.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • El dispositivo de seguridad adaptante de las Cisco 5500 Series (el ASA) ese funciona con la versión de software 7.2(2)

  • Versión 5.2(1) del Cisco Adaptive Security Device Manager (ASDM)

  • Cliente Cisco VPN 4.x

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configuración de ASA de Cisco

Esta sección cubre la configuración de Cisco ASA con el ASDM. Cubre los pasos necesarios para desplegar un túnel de acceso remoto VPN con conexión IPSec. El certificado CAC se utiliza para la autenticación, y el atributo del nombre principal del usuario (UPN) en el certificado se puebla en el Active Directory para la autorización.

Consideraciones sobre la instrumentación

  • Esta guía no cubre las configuraciones básicas tales como interfaces, DNS, NTP, encaminamiento, acceso del dispositivo, o acceso del ASDM, etc. Se asume que el operador de la red es familiar con estas configuraciones.

    Para más información, refiera a los dispositivos de seguridad multifuncionales.

  • Algunas secciones son configuraciones obligatorias necesarias para el acceso básico VPN. Por ejemplo, un túnel VPN se puede poner con el indicador luminoso LED amarillo de la placa muestra gravedad menor CAC sin los controles OCSP, las sincronizaciones LDAP marca. El DoD asigna OCSP que marca, pero los trabajos del túnel por mandato sin el OCSP configurado.

  • ASA/PIX la imagen básica requerida es 7.2(2) y el ASDM 5.2(1), pero esta guía utiliza una compilación interina de 7.2.2.10 y del ASDM 5.2.2.54.

  • No hay cambio del esquema LDAP necesario.

  • Vea el Apéndice A para el LDAP y los ejemplos de la asignación de la directiva del acceso dinámico para la aplicación de políticas adicional.

  • Vea el apéndice D en cómo marcar los objetos LDAP en el MS.

  • Vea la sección de la “información relacionada” para una lista de RFC.

Autenticación, autorización, configuración que considera (AAA)

Autentican a los usuarios con el certificado en su indicador luminoso LED amarillo de la placa muestra gravedad menor común del acceso (CAC) a través del servidor del Certificate Authority (CA) DISA o del servidor de CA de sus propias organizaciones. El certificado debe ser válido para el Acceso Remoto a la red. Además de la autenticación, los usuarios deben también ser autorizados con un objeto del Microsoft Active Directory o del Lightweight Directory Access Protocol (LDAP). El Departamento de defensa (DoD) requiere el uso del atributo del nombre principal de usuario (UPN) para la autorización, que es parte de la sección alternativa sujeta del nombre (SAN) del certificado. El UPN o el EDI/PI debe estar en este formato – 1234567890@mil. Las configuraciones debajo de la demostración cómo configurar al servidor de AAA en el ASA con un servidor LDAP para la autorización. Vea el Apéndice A para las configuraciones adicionales con el LDAP oponerse la asignación.

Configure al servidor LDAP

Siga estas instrucciones:

  1. Vaya al VPN de acceso remoto >AAA ponen >AAA al grupo de servidores.

  2. En la tabla de los Grupos de servidores AAA, haga click en Add

  3. Ingrese el nombre de grupo de servidores, y elija el LDAP en el botón Protocol Radio Button. Véase el cuadro 1.

  4. En los servidores en la tabla seleccionada del grupo, haga click en Add Aseegurese que el servidor que usted crea está resaltado en esta tabla.

  5. En la ventana del servidor de AAA del editar, véase el cuadro 2.

    Nota: Elija el permiso LDAP sobre la opción de SSL si su LDAP/AD se configura para este tipo de conexión.

    1. Elija la interfaz en la cual el LDAP está situado. Esta guía muestra la interfaz interior.

    2. Ingrese el IP Address del servidor.

    3. Ingrese el puerto de servidor. El puerto del valor por defecto LDAP es 389.

    4. Elija el tipo de servidor.

    5. Ingrese la base DN. Pida a su administrador AD/LDAP estos valores.

      Figura 1: Agregue a un grupo de servidores

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-1.gif

    6. Bajo opción de alcance, elija cualquiera es apropiado. Esto es dependiente sobre la base DN. Pida a su administrador AD/LDAP ayuda.

    7. En el campo del atributo de nombramiento, ingrese el userPrincipalName. Este atributo se utiliza para la autorización de usuario en el servidor AD/LDAP.

    8. En el campo del login DN, ingrese el DN del administrador.

      Nota: El usuario necesita opinión/búsqueda de los derechos administrativos o de las derechas la estructura LDAP que incluye los objetos de usuario y la membresía del grupo.

    9. En el campo de contraseña de inicio de sesión, ingrese la contraseña del administrador.

    10. Deje el atributo LDAP a ningunos.

      Figura 2

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-2.gif

      Utilizamos esta opción después la configuración para agregar el otro objeto AD/LDAP para la autorización.

    11. Haga clic en OK.

  6. Haga clic en OK.

Maneje el trustpoints

Hay dos pasos para instalar los Certificados en el ASA. Primero, instale los Certificados de CA (Certificate Authority de la raíz y del subordinado) necesitó. En segundo lugar, aliste el ASA a un específico CA y obtenga el certificado de identidad. El DoD PKI utiliza estos Certificados: Arraigue CA2, la raíz de la clase 3, el intermedio CA## con el cual se alista el ASA, el certificado ASA ID, y el certificado OCSP. Si usted elige no utilizar OCSP, el certificado OCSP no necesita ser instalado.

Nota: Entre en contacto su PC de la Seguridad para obtener los certificados raíz, así como las instrucciones en cómo alistar para un certificado de identidad para un dispositivo. Un certificado SSL debe ser suficiente para el ASA para el Acceso Remoto. Un certificado dual SAN no se requiere.

Nota: La máquina local del cliente también tiene que tener el encadenamiento de CA del DoD instalado. Los Certificados se pueden ver en el almacén de certificados de Microsoft a través del Internet Explorer. El DoD ha presentado un archivo por lote que agrega automáticamente todos los CA a la máquina. Pida su PC PKI más información.

Nota: El DoD CA2 y la clase 3 arraigan (así como el intermedio ASA ID y de CA que publicó el certificado ASA) son generalmente los únicos CA necesarios para la autenticación de usuario. Todos los intermedios actuales de CA caen bajo el encadenamiento de la raíz CA2 y de la clase 3 y se confían en mientras se agreguen las raíces CA2 y de la clase 3.

Genere las claves

Siga estas instrucciones:

  1. Vaya al Certificate Management (Administración de certificados) > al certificado de identidad del VPN de acceso remoto > Add.

  2. Elija agregan un nuevo certificado identificación, y después eligen nuevo por la opción del par clave.

  3. En la ventana de los pares de agregar clave, ingrese un nombre dominante (DoD-1024); haga clic la radio para agregar una nueva clave. Vea la figura 3.

    Figura 3

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-3.gif

  4. Elija el tamaño de la clave.

  5. Guarde el uso a los fines generales.

  6. Haga clic la generación ahora abotonan.

    Nota: El DoD raíz CA 2 utiliza una clave de 2048 bits. Una segunda clave que utiliza un par clave de 2048 bits se debe generar para poder utilizar este CA. Siga los pasos antedichos para agregar una segunda clave.

Instale el trustpoints de CA

Siga estas instrucciones:

  1. Vaya a la configuración > a las propiedades > al certificado > al trustpoint > a la configuración. Vea la figura 4.

  2. Ingrese el nombre en el campo de nombre del trustpoint.

  3. En las configuraciones de la inscripción tabule, elija la clave generada en el paso anterior cuando usted hace clic la flecha. Elija la clave 2048 para raíz CA los 2 trustpoint.

  4. En la sección de modo de la inscripción, elija el Registro manual del uso, AUTORIZACIÓN, y apliqúese.

    Figura 4: Instale el certificado raíz

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-57.gif

    Nota: Relance los pasos 1-4 para cada trustpoint que usted quiere agregar. No hay números duros para el número de trustpoints que usted puede instalar puesto que esto se basa todo en la memoria en el dispositivo. El DoD PKI requiere un trustpoint para cada uno de éstos: Raíz CA 2, raíz de la clase 3, intermedio CA## y servidor OCSP. El trustpoint OCSP no es necesario si usted no utiliza OCSP.

Instale los certificados raíz

Siga estas instrucciones:

  1. Vaya a la configuración > a las propiedades > al certificado > a la autenticación.

  2. En el campo de nombre del trustpoint, elija el trustpoint configurado en el paso anterior.

  3. En el certificado mande un SMS a la sección, importe el certificado con un archivo o corte y pegar el texto codificado base64 (Control-C y V).

    Nota: La importación valida solamente los archivos de .txt en esta versión del código, pero el archivo que usted recibe de su administrador de CA está en el formato de .cer. Usted puede también cambiar la extensión a .txt y abrir el archivo después corte y pegar el texto en el cuadro de texto.

    Figura 5: Autenticación de CA

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-58.gif

  4. El tecleo autentica.

Aliste el ASA y instale el certificado de identidad

Siga estas instrucciones:

  1. Vaya a la configuración > a las propiedades > al certificado > a la inscripción.

  2. Elija un trustpoint. Haga clic la flecha hacia abajo en el botón de radio para elegir el trustpoint intermedio donde usted quisiera alistar el dispositivo ASA.

  3. Haga clic en el botón Editar.

  4. En la ventana de configuración del trustpoint del editar, haga clic los parámetros del certificado.

  5. En la ventana de parámetros del certificado, elija el uso ningunos opción para el FQDN, y el tecleo edita en el tema DN. Véase el cuadro 6.

    Figura 6: Parámetros del certificado de identidad

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-7.gif

  6. En la ventana del tema DN del certificado, ingrese la información del dispositivo. Véase el cuadro 7 para un ejemplo.

  7. Haga clic en OK.

    Figura 7: Edite el DN

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-8.gif

    Nota: Aseegurese que usted utiliza el nombre de host del dispositivo que se configura en su sistema cuando usted agrega el tema DN. El PC PKI puede decirle los campos obligatorios se requieren que.

  8. Haga Click en OK en la ventana de parámetros del certificado, y AUTORIZACIÓN del tecleo en la ventana de configuración del trustpoint del editar.

  9. En la ventana de la inscripción, el tecleo alista.

  10. Corte y pegar la información de la ventana de la petición de la inscripción; sálvela a una libreta, y haga clic la AUTORIZACIÓN. Ésta es la información que necesita ser enviada al administrador de CA para pedir un certificado de identidad para el ASA. Véase el cuadro 8.

    Figura 8: Pedido de certificado

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-10.gif

  11. Una vez que usted recibe el certificado del administrador de CA, vaya a la configuración > a las propiedades > al certificado > Import Certificate (Importar certificado).

  12. En Import Certificate (Importar certificado) la ventana, elija el trustpoint donde usted alistó el dispositivo ASA.

  13. En el texto del certificado, importe el archivo o corte y pegar el base64 o el archivo codificado DER que usted recibió de su administrador de CA. Véase el cuadro 9.

    Figura 9: Importe el certificado

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-59.gif

    Nota: La importación valida solamente los archivos de .txt en esta versión del código, pero el archivo que usted recibe de su administrador de CA está en el formato de .cer. Usted puede también cambiar la extensión a .txt, abre el archivo, y después corta y pegar el texto en el cuadro de texto.

  14. Elija la importación.

    Nota: Haga clic el botón Save Button para salvar la configuración en memoria flash.

Configuración VPN

Esto es opcional si usted utiliza otro método, tal como DHCP.

  1. Vaya a la configuración > al VPN > a la administración de IP Address > a las agrupaciones IP.

  2. Haga clic en Add (Agregar).

  3. En la ventana de la agrupación IP del agregar, ingrese el nombre de la agrupación IP, comenzando y terminando los IP Addresses, y elija a una máscara de subred. Véase el cuadro 10.

    Figura 10: Agregue a la agrupación IP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-13.gif

  4. Haga clic en OK.

  5. Vaya a la configuración > al VPN > a la administración de IP Address > a la asignación.

  6. Elija el método de asignación apropiado de la dirección IP. Esta guía utiliza a los pools de la dirección interna. Véase el cuadro 11.

    Cuadro 11: Método de asignación de la dirección IP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-12.gif

  7. Haga clic en Apply (Aplicar).

Cree la directiva del grupo de túnel y del grupo

Nota: Antes de que usted cree una directiva del grupo de túnel y del grupo, vaya a la configuración > al VPN > a las opciones del general > del sistema VPN y aseegurese que el cuadro está marcado para saber si hay la opción del permiso IPSec entrante….

Agrupe la directiva

Nota: Si usted no quiere crear una nueva directiva, usted puede utilizar el valor por defecto construido en la directiva del grupo.

  1. Vaya a la configuración > al VPN > a la directiva del general > del grupo.

  2. El tecleo agrega, y elige el Internal group policy (política grupal interna).

  3. En la ventana del Internal group policy (política grupal interna) del agregar, ingrese el nombre para la directiva del grupo en el cuadro de texto del nombre. Véase el cuadro 12.

    Cuadro 12: Agregue el Internal group policy (política grupal interna)

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-60.gif

    1. En la ficha general, elija el IPSec en la opción de los protocolos de túneles.

    2. En los servidores seccione, desmarque la casilla de verificación de la herencia y ingrese el IP Address del DNS y GANA los servidores. Ingrese el alcance de DHCP, si procede.

    3. En la lengueta del IPSec, déjelos todos en las configuraciones predeterminadas: Herede. Realice cualquier cambio apropiado, en caso necesario.

    4. En la lengueta de la configuración del cliente, en general Client Parameters, desmarque la casilla de verificación de la herencia en el Default Domain, y ingrese el Domain Name apropiado.

    5. En la lengueta de la configuración del cliente, en general Client Parameters, desmarque la casilla de verificación de la herencia en la sección de la agrupación de direcciones y agregue a la agrupación de direcciones creada en el paso anterior. Haga clic el nombre de la agrupación de direcciones, y entonces el haga click en Add Si usted utiliza otro método de asignación de la dirección IP, deje esto como heredan, y realice el cambio apropiado.

    6. El resto de la ficha de configuración se deja en las configuraciones predeterminadas.

  4. Haga clic en OK.

Interfaz y configuraciones de imagen del grupo de túnel

Nota: Si usted no quiere crear a un nuevo grupo, usted puede utilizar al grupo incorporado predeterminado.

  1. Vaya a la configuración > al VPN > al general > al grupo de túnel. Ver Figura 13.

    Cuadro 13: Agregue al grupo de túnel

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-61.gif

    Nota: El ASDM configura automáticamente el local como la opción para autenticación si no se elige ninguno. Usted ve un mensaje cuando usted golpear OK en el final de esta configuración.

    ERROR: The authentication-server-group none command has been
    			 deprecated. 

    Nota: El comando none del isakmp ikev1-user-authentication en los IPSec-atributos debe ser utilizado en lugar de otro. Fije al modo de autenticación a ningunos. Véase el cuadro 14.

  2. El tecleo agrega y elige el IPSec para el Acceso Remoto.

  3. En la ventana del perfil del agregar, ingrese un nombre para el grupo de túnel en el cuadro de texto del nombre.

  4. En la ventana de grupo de túnel del agregar, elija la ficha general > lengueta básica, y elija la directiva del grupo creada en el paso anterior.

  5. Haga clic la lengueta de la autenticación, y deje todo en las opciones predeterminadas.

  6. En la ventana de grupo de túnel del agregar, haga clic la lengueta del IPSec.

    Figura 14: Modo de la Autenticación IPSec

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-62.gif

  7. En la opción del nombre del trustpoint, elija el trustpoint creado en la sección anterior.

  8. Fije al modo de autenticación a ningunos como se menciona en la nota arriba. Véase el cuadro 14.

  9. Haga clic en OK.

  10. Haga clic la lengueta de la autorización. En el grupo de servidor de autorización, elija al grupo de servidor LDAP creado en los pasos anteriores, y marque el cuadro para los usuarios debe existir en la base de datos de la autorización para conectar.

    Figura 15: Configuración del UPN

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-63.gif

  11. Elija el UPN en el campo y ninguno del DN primario en el campo del DN secundario. Véase el cuadro 15.

  12. Haga clic en OK.

Nota: Haga clic el botón Save Button para salvar la configuración en memoria flash.

Configure los parámetros IKE/ISAKMP

Siga estas instrucciones:

  1. Vaya a la configuración > al VPN > al IKE > a los Parámetros globales.

  2. En la sección del permiso IKE, aseegurese que la interfaz exterior muestra los YE en la columna habilitada. Si no, resalte la interfaz exterior, haga clic el permiso, y deje todo lo demás como valor por defecto.

  3. Vaya a la configuración > al IKE > a las directivas.

  4. Haga clic en Add (Agregar). Ingrese 10 para el número de prioridad, elija el 3DES para el cifrado, el sha para el hash, el RSA-SIG para la autenticación, y 2 para el DH-grupo; deje el curso de la vida en el valor por defecto. Véase el cuadro 16 para un ejemplo.

  5. Haga clic en OK.

    Figura 16: Agregue la directiva IKE/ISAKMP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-19.gif

    Nota: Usted puede agregar las directivas múltiples IKE/ISAKMP, si es necesario.

  6. Va a la configuración > al VPN > al IKE > al grupo del certificado que corresponde con > la directiva. Véase el cuadro 17.

  7. En la sección Política, desmarque todas las casillas de verificación a excepción del uso las reglas configuradas para hacer juego un certificado a un grupo.

  8. Van a la configuración > al VPN > al IKE > al grupo del certificado que corresponde con > las reglas.

  9. El tecleo agrega en la tabla superior.

    Figura 17: Directiva que corresponde con del grupo del certificado

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-64.gif

  10. En la ventana de la regla del certificado del agregar que corresponde con, siga estas instrucciones:

    1. Mantenga la correspondencia existente DefaultCertificateMap la sección de la correspondencia.

    2. Guarde 10 como la prioridad de la regla.

    3. Bajo grupo asociado, elija al grupo de túnel creado en la sección anterior cuando usted hace clic abajo el botón de radio. Véase el cuadro 18.

    4. Haga clic en OK.

      Figura 18: Agregue la regla que corresponde con del certificado

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-21.gif

  11. El tecleo agrega en la tabla inferior.

  12. En del agregar que corresponde con de la ventana del certificado el criterio de regla, siga estas instrucciones:

    Figura 19: Criterio de regla que corresponde con del certificado

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-22.gif

    1. Mantenga la columna del campo fijada para sujetar.

    2. Mantenga la columna componente fijada al campo entero.

    3. Cambie al operador que la columna no iguala.

    4. En la columna de valor, ingrese dos comillas dobles (“").

    5. El Haga Click en OK y se aplica. Véase el cuadro 19 para un ejemplo.

Configure los parámetros de IPSec

Siga estas instrucciones:

  1. Vaya a la configuración > al VPN > al IPSec > a las reglas del IPSec.

  2. Haga clic en Add (Agregar).

  3. En la ventana de la regla del IPSec del crear, en la lengueta básica, siga estas instrucciones:

    1. Elija afuera para la interfaz.

    2. Elija dinámico para el tipo de la directiva.

    3. Ingrese un número de prioridad.

    4. Elija un transforme el conjunto y el haga click en Add Esta guía utiliza ESP-AES-256-SHA. Usted puede agregar el transforme el conjunto múltiple, si es necesario.

  4. Haga clic la lengueta de la selección del tráfico.

  5. En la sección de la interfaz y de la acción, elija afuera para la interfaz y proteja para la acción.

  6. En la sección de la fuente, elija ningunos.

  7. En la sección del destino, elija la dirección IP del orany anterior creada pool.

  8. Haga clic en OK.

  9. Haga clic en Apply (Aplicar).

    Figura 20: Agregue la regla del IPSec

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-65.gif

Configuración OCSP

Certificado del respondedor de la configuración OCSP

La configuración OCSP puede variar al dependiente sobre el vendedor del respondedor OCSP. Lea el manual del vendedor para más información.

  1. Obtenga un certificado uno mismo-generado del respondedor OCSP.

  2. Siga los procedimientos mencionados previamente y instale un certificado para el servidor OCSP.

    Nota: Aseegurese que el revocación-control está fijado a ningunos. Los controles OCSP no necesitan suceder en el servidor real OCSP.

Configuración CA para utilizar OCSP

Siga estas instrucciones:

  1. Vaya a la configuración > a las propiedades > al certificado > al trustpoint > a la configuración.

  2. Elija CA para configurar para utilizar OCSP cuando usted lo resalta en la tabla.

  3. Haga clic en Editar.

  4. Haga clic la lengueta del control de la revocación, resalte el OCSP en el método de la revocación, y entonces el haga click en Add En los métodos de la revocación seccione, agregue OCSP. Consulte la Figura 21.

  5. Asegúrese de que el certificado de la consideración válido… no se pueda extraer esté desmarcado si usted quiere seguir marcar estricto OCSP.

    Cuadro 21: Control de la revocación OCSP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-66.gif

    Nota: Configure/edite todos los servidores de CA que utilizan OCSP para la revocación.

  6. Deje todas las opciones predeterminadas en estas lenguetas: Política de recuperación de CRL, método de la extracción CRL, y reglas OCSP.

  7. Haga clic en la ficha Advanced (Opciones avanzadas).

    1. Desmarque la actualización siguiente del aplicar CRL en las opciones CRL.

    2. Deje la extensión del nonce de la neutralización desmarcada.

    3. Deje todas las otras opciones marcadas.

  8. Haga clic en OK.

Reglas de la configuración OCSP

Nota: Verifique que una directiva que corresponde con del grupo del certificado esté creada y configuran al respondedor OCSP antes de que usted siga estos procedimientos.

Nota: Aseegurese que todos los CA están configurados con las reglas a excepción del servidor OCSP sí mismo OCSP.

Nota:  En las implementaciones algún OCSP, un expediente DNS y PTR es necesario para el ASA. Este control se hace para verificar que el ASA es de un sitio .mil.

  1. Vaya a la configuración > a las propiedades > al certificado > al trustpoint > a la configuración.

  2. Elija un trustpoint para configurar para utilizar OCSP cuando usted lo resalta en la tabla.

  3. Haga clic en Editar.

  4. Haga clic la lengueta de la regla OCSP.

  5. Haga clic en Add (Agregar).

  6. En la ventana de la regla del agregar OCSP, siga estas instrucciones: Véase el cuadro 22.

    Cuadro 22: Agregue las reglas OCSP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-25.gif

    1. En la opción del mapa del certificado, elija la correspondencia creada en la sección de los parámetros IKE/ISAKMP: DefaultCertificateMap.

    2. En la opción del certificado, elija al respondedor OCSP.

    3. En la opción de índice, ingrese 10.

    4. En la opción URL, ingrese el IP Address o el nombre de host del respondedor OCSP. Si usted utiliza el nombre de host, aseegurese que configuran al servidor DNS en el ASA.)

    5. Haga clic en OK.

    6. Haga clic en Apply (Aplicar).

Configuración de Cliente Cisco VPN

Esta sección cubre la configuración del Cliente Cisco VPN.

Suposiciones La aplicación del Cliente Cisco VPN y del software intermediario está instalada ya en el host PC. El Cliente Cisco VPN soporta estas aplicaciones del software intermediario: Gemplus (puesto de trabajo 2.0 del GemSAFE o más adelanteleavingcisco.com ), Activcard (versión 2.0.1 o posterior del oro de Activcardleavingcisco.com ), y Aladdin (eToken la versión 2.6 o posterior del entorno de tiempo de ejecución (RTE)leavingcisco.com ).

Comience al Cliente Cisco VPN

Del host PC, haga clic el Start (Inicio) > Programs (Programas) > Cisco Systems VPN Client (VPN Client de Cisco Systems) > al cliente VPN.

Nueva conexión

Siga estas instrucciones:

  1. Haga clic las entradas de la conexión.

  2. Haga clic nuevo y después ingrese la descripción de la conexión y el IP Address o el nombre de host del servidor VPN. Véase el cuadro 23.

  3. Bajo lengueta de la autenticación, elija la autenticación certificada.

  4. En la opción del nombre, elija su certificado de la firma y el control envía el encadenamiento del certificado de CA. (Generalmente el certificado predeterminado que es trabajos elegidos, solamente usted puede intentar los otros Certificados si falla.)

  5. Haga clic en Save (Guardar).

    Figura 23: Cree la nueva conexión VPN

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-26.gif

Comience el Acceso Remoto

Siga estas instrucciones:

  1. Haga doble clic la entrada creada en el paso anterior.

  2. Ingrese su número de pin.

  3. Haga clic en OK.

Apéndice A – Sincronización LDAP

Con ASA/PIX la versión 7.1(x), una característica llamada sincronización LDAP fue introducida. Ésta es una característica potente que proporciona una asignación entre un atributo y los objetos/atributo de Cisco LDAP, que niega la necesidad del cambio del esquema LDAP. Para la implementación de la autenticación CAC, esto puede soportar la aplicación de políticas adicional en la conexión de acceso remoto. Abajo están los ejemplos de la sincronización LDAP. Sea consciente que usted necesita las derechas del administrador de realizar los cambios en el servidor AD/LDAP.

Escenario 1: Aplicación del Active Directory con el dial-in del Permiso de acceso remoto – Permita/niegue el acceso

Este ejemplo asocia el msNPAllowDailin del atributo AD al atributo cVPN3000-Tunneling-Protocol de Cisco.

  • El valor de atributo AD: VERDAD = permita; FALSO = niegue

  • El valor de atributo de Cisco: 1 = FALSO, 4 (IPSec) o 20 (4 IPSec + 16 WebVPN) = VERDAD

Para la condición ALLOW, asociamos

  • VERDAD = 20

Para la condición del dial-in DENY, asociamos

  • = 1 FALSO

Nota: Aseegurese que VERDAD y FALSO esté en todos los casquillos. Para más información sobre los atributos de Cisco, refiera a configurar a un servidor externo para la autorización de usuario del dispositivo de seguridad.

Configuración del Active Directory

Siga estas instrucciones:

  1. En el servidor Active Directory, haga clic el Start (Inicio) > Run (Ejecutar).

  2. En el cuadro de texto abierto, el tipo dsa.msc y entonces hace clic la AUTORIZACIÓN. Esto enciende la consola de administración del Active Directory.

  3. En la consola de administración del Active Directory, haga clic el signo más para ampliar a los usuarios de directorio activo y computadora.

  4. Haga clic el signo más para ampliar el Domain Name.

  5. Si usted tiene un OU creado para sus usuarios, amplíe el OU para ver a todos los usuarios; si usted tiene todos los usuarios asignados en la carpeta del usuario, amplíe esa carpeta para verlos. Vea la figura A1.

    Figura A1: Consola de administración del Active Directory

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-40.gif

  6. Haga doble clic al usuario que usted quiere editar.

    Haga clic el dial-in tab en la página de las propiedades del usuario y el tecleo permite o niega. Vea la figura a2.

    Figura a2: Propiedades del usuario

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-41.gif

  7. Haga clic en OK.

Configuración ASA

Siga estas instrucciones:

  1. En el ASDM, va a la configuración > a las propiedades >AAA > el mapa del atributo LDAP.

  2. Haga clic en Add (Agregar).

  3. En la ventana del mapa del atributo del agregar LDAP, siga estas instrucciones: Vea la figura A3.

    Figura A3: Agregue el mapa del atributo LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-42.gif

    1. Ingrese un nombre en el cuadro de texto del nombre.

    2. En la lengueta del nombre de asignación, teclee el msNPAllowDialin en el cuadro de texto del nombre del cliente.

    3. En la lengueta del nombre de asignación, elija los protocolos de túneles en la opción del descenso-abajo en el nombre de Cisco.

    4. Haga clic en Add (Agregar).

    5. Haga clic la lengueta del valor del mapa.

    6. Haga clic en Add (Agregar).

    7. En la ventana del valor del mapa del atributo LDAP del agregar, teclee VERDAD en el cuadro de texto del nombre del cliente, y el tipo 20 en el cuadro de texto del valor de Cisco.

    8. Haga clic en Add (Agregar).

    9. Teclee FALSO en el cuadro de texto del nombre del cliente, y el tipo 1 en el cuadro de texto del valor de Cisco. Vea la figura A4.

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-43.gif

    10. Haga clic en OK.

    11. Haga clic en OK.

    12. Haga clic en Apply (Aplicar).

    13. La configuración parece la figura A5.

      Figura A5: Configuración de asignación del atributo LDAP

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-67.gif

  4. Vaya a la configuración > a las propiedades >AAA ponen >AAA a los grupos de servidores. Vea la figura A6.

    Figura A6: Grupos de servidores AAA

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-68.gif

  5. Haga clic al grupo de servidores que usted quiere editar. En los servidores de la sección de grupo seleccionada, elija el dirección IP del servidor o el nombre de host y después haga clic editan.

  6. En edite la ventana del servidor de AAA, en el cuadro de texto del mapa del atributo LDAP, eligen el mapa del atributo LDAP creado en el botón del descenso-abajo. Vea la figura A7.

    Figura A7: Agregue el mapa del atributo LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-46.gif

  7. Haga clic en OK.

Nota: Gire el debugging LDAP mientras que usted prueba para verificar si el atascamiento LDAP y la asignación del atributo trabajan correctamente. Vea el C del apéndice para los comandos de Troubleshooting.

Escenario 2: La aplicación del Active Directory con la membresía del grupo a permitir/niega el acceso

Este ejemplo utiliza el memberOf del atributo LDAP para asociar al Tunneling Protocol de Cisco el atributo para establecer una membresía del grupo como condición. Para que esta directiva trabaje, usted debe tener estas condiciones:

  • Utilice a un grupo existente o cree a un nuevo grupo para los usuarios de VPN ASA para las condiciones ALLOW.

  • Utilice a un grupo existente o cree a un nuevo grupo para los usuarios NON-ASA para las condiciones DENY.

  • Aseegurese al incorporar el Visualizador LDAP que usted tiene el DN correcto para el grupo. Ver Apéndice D. Si el DN es incorrecto, la asignación no trabaja correctamente.

Nota: Sea consciente que el ASA puede leer solamente la primera cadena del atributo del memberOf en esta versión. Aseegurese que el nuevo grupo creado está en la cima de la lista. La otra opción es poner un carácter especial delante del nombre puesto que el AD mira los caracteres especiales primero. Para conseguir alrededor de esta advertencia, utilice el DAP en el software 8.x para mirar a los múltiples grupos.

Nota: Aseegurese que un usuario es parte del grupo de la negación o por lo menos otro grupo para devolver el memberOf siempre al ASA. Usted no tiene que especificar el FALSO niega la condición, pero la mejor práctica es hacer tan. Si el nombre del grupo existente o el nuevo nombre del grupo contiene un espacio, ingrese el atributo de este modo: “Operadores de CN=Backup, CN = accesorio, DC=ggsgseclab, DC=org”.

EL ASOCIAR

  • El valor de atributo AD

    • memberOf CN=ASAUsers, cn=Users, DC=ggsgseclab, DC=org

    • memberOf CN=TelnetClients, cn=Users, DC=labrat, dc=com

  • Valor de atributo de Cisco: 1 = FALSO, 20 = VERDAD

Para la condición de la PERMIT, correspondencia

  • memberOf CN=ASAUsers, cn=Users, DC=ggsgseclab, DC=org= 20

Para la condición de la NEGACIÓN, correspondencia

  • memberOf CN=TelnetClients, cn=Users, DC=ggsgseclab, DC=org = 1

Nota: En una futura versión, hay un atributo de Cisco para permitir y para negar la conexión. Para más información sobre el atributo de Cisco, refiera a configurar a un servidor externo para la autorización de usuario del dispositivo de seguridad.

Configuración del Active Directory

Siga estas instrucciones:

  1. En el servidor Active Directory, haga clic el Start (Inicio) > Run (Ejecutar).

  2. En el cuadro de texto, el tipo dsa.msc y la AUTORIZACIÓN abiertos del tecleo. Esto enciende la consola de administración del Active Directory.

  3. En la consola de administración del Active Directory, haga clic el signo más para ampliar a los usuarios de directorio activo y computadora. Vea la figura A8.

    Figura A8: Grupos del Active Directory

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-47.gif

  4. Haga clic el signo más para ampliar el Domain Name.

  5. Haga clic con el botón derecho del ratón la carpeta del usuario y elija nuevo > grupo.

  6. Ingrese un nombre del grupo, por ejemplo: ASAUsers.

  7. Haga clic en OK.

  8. Haga clic la carpeta del usuario, y después haga doble clic al grupo que usted acaba de crear.

  9. Haga clic la lengueta de los miembros, y entonces el haga click en Add

  10. Teclee el nombre del usuario que usted quiere agregar, y después haga clic la AUTORIZACIÓN.

Configuración ASA

Siga estas instrucciones:

  1. En el ASDM, va a la configuración > a las propiedades >AAA > el mapa del atributo LDAP.

  2. Haga clic en Add (Agregar).

  3. En la ventana del mapa del atributo del agregar LDAP, siga estas instrucciones: Vea la figura A9.

    1. Ingrese un nombre en el cuadro de texto del nombre.

    2. En la lengueta del nombre de asignación, teclee el memberOf en el cuadro de texto C. del nombre del cliente.

    3. En la lengueta del nombre de asignación, elija los protocolos de túneles en la opción del descenso-abajo en el nombre de Cisco.

    4. Haga clic en Add (Agregar).

    5. Haga clic la lengueta del valor del mapa.

    6. Haga clic en Add (Agregar).

    7. En la ventana del valor del mapa del atributo LDAP del agregar, el tipo CN=ASAUsers, cn=Users, DC=ggsgseclab, DC=org en el cuadro de texto del nombre del cliente, y el tipo 20 en el cuadro de texto del valor de Cisco.

    8. Haga clic en Add (Agregar).

    9. Teclee CN=TelnetClients, cn=Users, DC=ggsgseclab, DC=org en el cuadro de texto del nombre del cliente, y el tipo 1 en el cuadro de texto del valor de Cisco. Vea la figura A9.

    10. Haga clic en OK.

    11. Haga clic en OK.

    12. Haga clic en Apply (Aplicar).

    13. La configuración parece la figura A9.

      Figura A9: Mapa del atributo LDAP

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-55.gif

  4. Vaya a la configuración > a las propiedades >AAA ponen >AAA a los grupos de servidores.

  5. Haga clic al grupo de servidores que usted quiere editar. En los servidores de la sección de grupo seleccionada, elija el dirección IP del servidor o el nombre de host, y después haga clic editan.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-49.gif

  6. En edite la ventana del servidor de AAA, en el cuadro de texto del mapa del atributo LDAP, eligen el mapa del atributo LDAP creado en el botón del descenso-abajo.

  7. Haga clic en OK.

Nota: Gire el debugging LDAP mientras que usted prueba para verificar que el atascamiento LDAP y las asignaciones del atributo trabajan correctamente. Vea el C del apéndice para los comandos de Troubleshooting.

Apéndice B – Configuración CLI ASA

ASA 5510
ciscoasa#show running-config
ASA Version 7.2(2)10
!
hostname lab-asa
domain-name lab.army.mil
names
dns-guard
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.18.120.224 255.255.255.128
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
boot system disk0:/asa722-10-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name lab.army.mil
--------------ACL's-------------------------------------------------
access-list out extended permit ip any any
--------------------------------------------------------------------
---------------VPN Pool---------------------------------------------
ip local pool CAC-USERS 192.168.1.1-192.168.1.254 mask 255.255.255.0
--------------------------------------------------------------------
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
asdm image disk0:/asdm522-54.bin
no asdm history enable
arp timeout 14400
access-group out in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.120.129 1
!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
--------------------------LDAP Maps ---------------------------
ldap attribute-map memberOf
map-name memberOf cVPN3000-Tunneling-Protocols
map-value memberOf CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org 20
map-value memberOf CN=TelnetClinets,CN=Users,DC=ggsgseclab,DC=org 1
ldap attribute-map msNPAllowDialin
map-name msNPAllowDialin cVPN3000-Tunneling-Protocols
map-value msNPAllowDialin FALSE 1
map-value msNPAllowDialin TRUE 20
--------------------------------------------------------------------
--------------------LDAP Server-------------------------------------
aaa-server AD-LDAP protocol ldap
aaa-server AD-LDAP (outside) host 172.18.120.160
ldap-base-dn CN=Users,DC=ggsgseclab,DC=org
ldap-scope onelevel
ldap-naming-attribute userPrincipalName
ldap-login-password *
ldap-login-dn CN=Administrator,CN=Users,DC=ggsgseclab,DC=org
-----------------------VPN Policy------------------------------------
group-policy CAC-USERS internal
group-policy CAC-USERS attributes
vpn-tunnel-protocol IPSec
address-pools value CAC-USERS
--------------------------------------------------------------------
!
---------------------IPsec------------------------------------------
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set 
   ESP-DES-SHA ESP-3DES-MD5 ESP-AES-192-SHA ESP-AES-256-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
--------------------------------------------------------------------
----------------CA Trustpoints--------------------------------------
crypto ca trustpoint CA-13-JITC
revocation-check ocsp
enrollment terminal
fqdn none
subject-name CN=lab-asa,OU=PKI,OU=DoD,O=U.S. Government,C=US
keypair DoD-1024
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint Class3Root
revocation-check ocsp
enrollment terminal
keypair DoD-1024
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint DoD-CA2
revocation-check ocsp
enrollment terminal
keypair DoD-2048
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint DISA-OCSP
enrollment terminal
keypair DoD-1024
crl configure
no enforcenextupdate
--------------------------------------------------------------------
-------------------Certificate Map-------------------------------
crypto ca certificate map DefaultCertificateMap 10
subject-name ne ""
--------------------CA Certificates (Partial Cert is Shown)------------
crypto ca certificate chain CA-13-JITC
certificate 311d
308203fd 30820366 a0030201 02020231 1d300d06 092a8648 86f70d01 01050500
305c310b 30090603 55040613 02555331 18301606 0355040a 130f552e 532e2047
6f766572 6e6d656e 74310c30 0a060355 040b1303 446f4431 0c300a06 0355040b
certificate ca 37
3082044c 30820334 a0030201 02020137 300d0609 2a864886 f70d0101 05050030
60310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
crypto ca certificate chain Class3Root
certificate ca 04
30820267 308201d0 a0030201 02020104 300d0609 2a864886 f70d0101 05050030
61310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
crypto ca certificate chain DoD-CA2
certificate ca 05
30820370 30820258 a0030201 02020105 300d0609 2a864886 f70d0101 05050030
5b310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
c3ad60a4
crypto ca certificate chain DISA-OCSP
certificate ca 00
30820219 30820182 a0030201 02020100 300d0609 2a864886 f70d0101 05050030
3a310b30 09060355 04061302 7573310d 300b0603 55040a13 0441726d 79310d30
-------------------------ISAKMP-------------------------------------
crypto isakmp enable outside
crypto isakmp policy 10
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
-----------------------VPN Group/Tunnel Policy--------------------
tunnel-group CAC-USERS type ipsec-ra
tunnel-group CAC-USERS general-attributes
authorization-server-group AD-LDAP
default-group-policy CAC-USERS
authorization-required
authorization-dn-attributes UPN
tunnel-group CAC-USERS ipsec-attributes
trust-point CA-13-JITC
isakmp ikev1-user-authentication none
tunnel-group-map enable rules
no tunnel-group-map enable ou
no tunnel-group-map enable ike-id
no tunnel-group-map enable peer-ip
tunnel-group-map DefaultCertificateMap 10 CAC-USERS
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
!
service-policy global_policy global
prompt hostname context

Troubleshooting del apéndice c

Resolver problemas el AAA y el LDAP

  • ldap 255 del debug – intercambios de las visualizaciones LDAP

  • campo común 10 aaa del debug – intercambios de las visualizaciones AAA

Ejemplo 1: Conexión permitida con la asignación correcta del atributo

El ejemplo abajo muestra la salida del ldap y del debug aaa del debug comunes dentro de una conexión satisfactoria con el escenario 2 mostrado en el Apéndice A.

Nota: Configuran al grupo que hace un túnel para permitir SOLAMENTE conexión IPSec. El agrupar/asignación del miembro en el LDAP se asocia al valor de 4, que es IPSec. Esta asignación es qué le da una condición de la PERMIT. Para una condición de la negación, ese valor es 1 para el PPTP.

Figura c1: haga el debug del LDAP y haga el debug de la salida común aaa – asignación correcta
AAA API: In aaa_open
AAA session opened: handle = 39
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction

Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:
[78] Session Start
[78] New request Session, context 0x26f1c44, reqType = 0
[78] Fiber started
[78] Creating LDAP context with uri=ldap:// 172.18.120.160:389
[78] Binding as administrator
[78] Performing Simple authentication for Administrator to 172.18.120.160
[78] Connect to LDAP server: ldap:// 172.18.120.160, status = Successful
[78] LDAP Search:
     Base DN = [CN=Users,DC=ggsgseclab,DC=org]
     Filter = [userPrincipalName=1234567890@mil]
     Scope = [SUBTREE]
[78] Retrieved Attributes:
[78] objectClass: value = top
[78] objectClass: value = person
[78] objectClass: value = organizationalPerson
[78] objectClass: value = user
[78] cn: value = Ethan Hunt
[78] sn: value = Hunt
[78] userCertificate: value = 0..50........../........60...*.
H........0@1.0.....&...,d....com1.0.....&...,d...
[78] userCertificate: value = 0..'0........../..t.....50...*.
H........0@1.0.....&...,d....com1.0.....&...,d...
[78] givenName: value = Ethan
[78] distinguishedName: value = CN=Ethan Hunt,OU=MIL,DC=labrat,DC=com
[78] instanceType: value = 4
[78] whenCreated: value = 20060613151033.0Z
[78] whenChanged: value = 20060622185924.0Z
[78] displayName: value = Ethan Hunt
[78] uSNCreated: value = 14050 
[78] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[78] mapped to cVPN3000-Tunneling-Protocols: value = 20
[78] uSNChanged: value = 14855
[78] name: value = Ethan Hunt
[78] objectGUID: value = ..9...NJ..GU..z.
[78] userAccountControl: value = 66048
[78] badPwdCount: value = 0
[78] codePage: value = 0
[78] countryCode: value = 0
[78] badPasswordTime: value = 127954717631875000
[78] lastLogoff: value = 0
[78] lastLogon: value = 127954849209218750
[78] pwdLastSet: value = 127946850340781250
[78] primaryGroupID: value = 513
[78] objectSid: value = ................q......mY...
[78] accountExpires: value = 9223372036854775807
[78] logonCount: value = 25
[78] sAMAccountName: value = 1234567890
[78] sAMAccountType: value = 805306368
[78] userPrincipalName: value = 1234567890@mil
[78] objectCategory: value =
[78] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
[78] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[78] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, 
user pol = , tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(CAC-USERS)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USER
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, 
user pol = , tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes: 1 Tunnelling-Protocol(4107) 20 20
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10 "CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (39)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

CAC-Test#

Ejemplo 2: Conexión permitida con la asignación mal configurado del atributo de Cisco

El ejemplo abajo muestra la salida del ldap y del debug aaa del debug comunes dentro de una conexión permitida con el escenario 2 mostrado en el Apéndice A.

Observe que la asignación para ambos atributos hace juego el mismo valor, que es incorrecto.

Figura C2: haga el debug del LDAP y haga el debug de la salida común aaa – mapeo incorrecto
AAA API: In aaa_open
AAA session opened: handle = 41
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction

Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:

[82] Session Start
[82] New request Session, context 0x26f1c44, reqType = 0
[82] Fiber started
[82] Creating LDAP context with uri=ldap://172.18.120.160:389
[82] Binding as administrator
[82] Performing Simple authentication for Administrator to
172.18.120.160

[82] Connect to LDAP server: ldap:// 172.18.120.160:389, status =
Successful
[82] LDAP Search:
   Base DN = [CN=Users,DC=ggsgseclab,DC=org]
   Filter = [userPrincipalName=1234567890@mil]
   Scope = [SUBTREE]

[82] Retrieved Attributes:
[82] objectClass: value = top
[82] objectClass: value = person
[82] objectClass: value = organizationalPerson
[82] objectClass: value = user
[82] cn: value = Ethan Hunt
[82] sn: value = Hunt
[82] userCertificate: value =
0..50........../........60...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] userCertificate: value =
0..'0........../..t.....50...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] givenName: value = Ethan
[82] distinguishedName: value = CN=Ethan
Hunt,OU=MIL,DC=labrat,DC=com
[82] instanceType: value = 4
[82] whenCreated: value = 20060613151033.0Z
[82] whenChanged: value = 20060622185924.0Z
[82] displayName: value = Ethan Hunt
[82] uSNCreated: value = 14050
[82] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] mapped to cVPN3000-Tunneling-Protocols: value =
CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] uSNChanged: value = 14855
[82] name: value = Ethan Hunt
[82] objectGUID: value = ..9...NJ..GU..z.
[82] userAccountControl: value = 66048
[82] badPwdCount: value = 0
[82] codePage: value = 0
[82] countryCode: value = 0
[82] badPasswordTime: value = 127954717631875000
[82] lastLogoff: value = 0
[82] lastLogon: value = 127954849209218750
[82] pwdLastSet: value = 127946850340781250
[82] primaryGroupID: value = 513
[82] objectSid: value = ................q......mY...
[82] accountExpires: value = 9223372036854775807
[82] logonCount: value = 25
[82] sAMAccountName: value = 1234567890
[82] sAMAccountType: value = 805306368
[82] userPrincipalName: value = 1234567890@mil
[82] objectCategory: value =
CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org
[82] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
[82] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[82] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(USAFE)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USERS
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status =
ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes:
1 Tunnelling-Protocol(4107) 20 0
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10
"CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (41)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

Resolver problemas el Certificate Authority/OCSP

  • debug crypto ca 3

  • En el modo de configuración, debugging de registración de la consola de la clase Ca (o buffer)

Los ejemplos abajo muestran una validación de certificado acertada con el respondedor OCSP y una directiva que corresponde con fallada del grupo del certificado.

La figura c3 muestra la salida de los debugs que tiene un certificado validado y una directiva que corresponde con de trabajo del grupo del certificado.

La figura C4 muestra la salida de los debugs de una directiva que corresponde con del grupo mal configurado del certificado.

La figura C5 muestra la salida de los debugs de un usuario con un certificado revocado.

Figura c3: Debugging OCSP – Validación de certificado acertada
CRYPTO_PKI: Attempting to find tunnel group for cert with serial number:
 2FB5FC74000000000035,
 subject name: cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=com, issuer_name: 
cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, 
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap 
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. Attempting 
to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert: 
serial number: 2FB5FC74000000000035, subject name: 
cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, issuer_name: cn=ggsgseclab,
dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,
dc=org, map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
 sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://ocsp.disa.mil,
 Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match CRYPTO_PKI:Certificate validated.
serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,
dc=ggsgseclab,dc=org.
CRYPTO_PKI: Certificate validated
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=

Figura C4: Salida de una directiva que corresponde con fallada del grupo del certificado

Figura C4: Salida de una directiva que corresponde con fallada del grupo del certificado
CRYPTO_PKI: Attempting to find tunnel group for cert with serial number: 
2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,
dc=org, issuer_name: cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map FAILED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, 
map rule: subject-name eq "".
CRYPTO_PKI: Peer cert could not be authorized with map: DefaultCertificateMap.
No Tunnel Group Match for peer certificate.
Unable to locate tunnel group map

Figura C5: Salida de un certificado revocado
n %PI=X-3-7E17t02h7a Certinf icaHtue cnhta,in faioled 
uvalidation=. CMertifiIcLa,ted ccha=inl ais eibtrhaer tin,valdid cor =noct 
oamuthori,zed.
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap 
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. 
Attempting to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert:
 serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,
ou=MIL,dc=ggsgseclab,dc=org, issuer_name: cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, map rule: 
subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
 sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://ocsp.disa.mil, 
Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
ERROR: Certificate validation failed, Certificate is revoked, 
serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,
dc=ggsgseclab,dc=org
CRYPTO_PKI: Certificate not validated

Resolver problemas el IPSEC

  • isakmp del debug crypto – fase de negociación de las visualizaciones IKE/ISAKMP

  • IPSec del debug crypto – fase del IPSec Negotiation de las visualizaciones

  • motor del debug crypto – mensajes de IPSec de las visualizaciones

  • mensajes del debug crypto ca – mensajes de las visualizaciones PKI

  • transacciones del debug crypto ca – transacciones de las visualizaciones PKI

Apéndice D – Verifique los objetos LDAP en el MS

En el CD del servidor de Microsoft 2003, hay las herramientas adicionales que se pueden instalar para ver la estructura LDAP, así como los objetos LDAP/los atributos. Para instalar estas herramientas, vaya al directorio del soporte en el CD y entonces las herramientas. Instale SUPTOOLS.MSI.

Visualizador LDAP

Siga estas instrucciones:

  1. Después de la instalación, vaya al Start (Inicio) > Run (Ejecutar).

  2. Teclee el ldp y después haga clic la AUTORIZACIÓN. Esto enciende el Visualizador LDAP.

  3. La conexión del tecleo > conecta.

  4. Ingrese Nombre del servidor, y después haga clic la AUTORIZACIÓN.

  5. Haga clic la conexión > el lazo.

  6. Ingrese un nombre de usuario y contraseña.

    Nota: Usted necesita las derechas del administrador.

  7. Haga clic en OK.

  8. Objetos de la visión LDAP. Vea la figura D1.

    Figura D1: Visualizador LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-56.gif

Editor de la interfaz de los servicios de Active Directory

  • En el servidor Active Directory, vaya al Start (Inicio) > Run (Ejecutar).

  • Teclee adsiedit.msc. Esto comienza el editor.

  • Haga clic con el botón derecho del ratón un objeto, y haga clic las propiedades.

Esta herramienta le muestra todos los atributos para los objetos específicos. Vea la figura D2.

Figura D2: El ADSI edita

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-54.gif

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 107273