Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Autenticación de usuario de VPN ASA contra el servidor de Windows 2008 NP (Active Directory) con el ejemplo de la configuración de RADIUS

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento explica cómo configurar un dispositivo de seguridad adaptante (ASA) para comunicar con un servidor de la política de red de Microsoft Windows 2008 (NP) con el protocolo RADIUS para autenticar el Cliente Cisco VPN de la herencia/los usuarios de WebVPN de AnyConnect/del clientless contra el Active Directory. Los NP son una de las Funciones del servidor ofrecidas por el servidor de Windows 2008. Es equivalente al servidor de Windows 2003, IAS (Internet Authentication Service), que es la implementación de un servidor de RADIUS para proporcionar la autenticación de usuario de acceso telefónico remoto. Semejantemente, en el servidor de Windows 2008, los NP son la implementación de un servidor de RADIUS. Básicamente, el ASA es un cliente RADIUS a un servidor de RADIUS NP. El ASA envía las peticiones de la autenticación de RADIUS en nombre de los usuarios de VPN y los NP los autentican contra el Active Directory.

Contribuido por Sunil Kumar S y rajá Periyasamy, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • ASA que funciona con la versión 9.1(4)
  • Servidor del r2 de Windows 2008 con los servicios de Active Directory y el papel NP instalados

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

Configuraciones

Configuración de ASDM

  1. Elija al grupo de túnel para quien se requiere la autenticación NP.
  2. El tecleo edita y elige básico.
  3. En la sección de la autenticación, el tecleo maneja.

  4. En la sección de los Grupos de servidores AAA, haga click en Add
  5. En el campo del Grupo de servidores AAA, ingrese el nombre del grupo de servidores (por ejemplo, los NP).
  6. De la lista desplegable del protocolo, elija el RADIUS.
  7. Haga clic en OK.

  8. En los servidores en la sección de grupo seleccionada, elija el Grupo de servidores AAA agregado y el haga click en Add
  9. En el campo Nombre del servidor o del IP Address, ingresa el dirección IP del servidor.
  10. En el campo clave del Secreto de servidor, ingrese la clave secreta.
  11. Deje el puerto de la autenticación de servidor y los campos de puerto de contabilidad de servidor en el valor predeterminado a menos que el servidor escuche en un diverso puerto.
  12. Haga clic en OK.
  13. Haga clic en OK.

  14. De la lista desplegable del Grupo de servidores AAA, elija el grupo (NP en este ejemplo) agregado en los pasos anteriores.
  15. Haga clic en OK.

Configuración de CLI

aaa-server NPS protocol radius
aaa-server NPS (inside) host 10.105.130.51
 key *****

tunnel-group TEST type remote-access
tunnel-group TEST general-attributes
 address-pool test
 authentication-server-group (inside) NPS
tunnel-group TEST webvpn-attributes
 group-alias TEST enable

ip local pool test 192.168.1.1-192.168.1.10 mask 255.255.255.0

Por abandono, el ASA utiliza el tipo de autenticación del protocolo de autenticación de la contraseña sin encripción (PAP). Esto no significa que el ASA envía la contraseña en el sólo texto cuando envía el paquete de PEDIDO DE RADIUS. Bastante, el contraseña de texto únicamente se cifra con el secreto compartido RADIUS.

Si habilitan a la administración de contraseñas bajo grupo de túnel, después el ASA utiliza el tipo de autenticación MSCHAP-v2 para cifrar el contraseña de texto únicamente. En tal caso, asegúrese de que la casilla de verificación capaz de Microsoft CHAPv2 esté llegada la ventana del servidor de AAA del editar configurada en la sección de Configuración de ASDM.

tunnel-group TEST general-attributes
address-pool test
authentication-server-group (inside) NPS
password-management

Nota: El comando authentication del AAA-servidor de la prueba utiliza siempre el PAP. Solamente cuando un usuario inicia una conexión al grupo de túnel con la administración de contraseñas habilitada hace el uso MSCHAP-v2 ASA. También, “la opción del [password-expire-in-days days] de la administración de contraseñas” se soporta solamente con el Lightweight Directory Access Protocol (LDAP). El RADIUS no proporciona esta característica. Usted verá la contraseña expirar opción cuando la contraseña se expira ya en el Active Directory.

Servidor de Windows 2008 con la configuración NP

La Función del servidor NP debe ser instalada y que se ejecuta en el servidor de Windows 2008. Si no, elija el Start (Inicio) > Administrative Tools (Herramientas administrativas) > las Funciones del servidor > Add de los servicios de función. Elija el servidor de la política de red y instale el software. Una vez que la Función del servidor NP está instalada, complete estos pasos para configurar los NP para validar y para procesar las peticiones de la autenticación de RADIUS del ASA:

  1. Agregue el ASA como cliente RADIUS en el servidor NP.
    1. Elija Administrative Tools > servidor de la política de red.
    2. Haga clic con el botón derecho del ratón a los clientes RADIUS y elija nuevo.

    3. Ingrese un nombre cómodo, un direccionamiento (IP o DNS), y un secreto compartido configurado en el ASA.

    4. Haga clic en la ficha Advanced (Opciones avanzadas).
    5. De la lista desplegable del nombre del proveedor, elija la norma RADIUS.
    6. Haga clic en OK.

  2. Cree una directiva de la petición de nueva conexión para los usuarios de VPN. El propósito de la directiva del pedido de conexión es especificar si las peticiones de los clientes RADIUS deben ser procesadas localmente o ser remitidas a los servidores RADIUS remotos.
    1. Bajo los NP > las directivas, hacen clic con el botón derecho del ratón las directivas del pedido de conexión y crean una nueva directiva.
    2. De la lista desplegable del servidor de acceso del tipo de red, elija sin especificar.

    3. Haga clic la lengueta de las condiciones.
    4. Haga clic en Add (Agregar).
    5. Ingrese el IP Address ASA como “condición del direccionamiento del IPv4 del cliente”.

    6. Haga clic la lengueta de las configuraciones.
    7. Conforme al pedido de conexión de la expedición, elija la autenticación. Asegúrese que las peticiones de la autenticidad en este botón de radio del servidor estén elegidas.
    8. Haga clic en OK.

  3. Agregue una política de red donde usted puede especificar se permite a qué usuarios autenticar.

    Por ejemplo, usted puede agregar los grupos de usuarios del Active Directory como condición. Solamente autentican a esos usuarios que pertenecen a un grupo especificado de Windows bajo esta directiva.

    1. Bajo los NP, elija las directivas.
    2. Haga clic con el botón derecho del ratón la política de red y cree una nueva directiva.
    3. Asegúrese que el botón de radio del acceso de Grant esté elegido.
    4. De la lista desplegable del servidor de acceso del tipo de red, elija sin especificar.

    5. Haga clic la lengueta de las condiciones.
    6. Haga clic en Add (Agregar).
    7. Ingrese el IP Address ASA como una condición del direccionamiento del IPv4 del cliente.
    8. Ingrese el grupo de usuarios del Active Directory que contiene a los usuarios de VPN.

    9. Haga clic la lengueta de los apremios.
    10. Elija los métodos de autentificación.
    11. Asegúrese que la casilla de verificación Unencrypted de la autenticación (PAP, SPAP) esté marcada.
    12. Haga clic en OK.

Pase el atributo de la Grupo-directiva (atributo 25) del servidor de RADIUS NP

Si la grupo-directiva necesita ser asignada al usuario dinámicamente con el servidor de RADIUS NP, el atributo de RADIUS de la grupo-directiva (atributo 25) puede ser utilizado.

Complete estos pasos para enviar el atributo de RADIUS 25 para la asignación dinámica de una grupo-directiva al usuario.

  1. Después de que se agregue la política de red, haga clic con el botón derecho del ratón la directiva de la red requerida y haga clic la lengueta de las configuraciones.

  2. Elija los atributos de RADIUS > el estándar. Haga clic en Add (Agregar). Deje el tipo de acceso como todos.

  3. En los atributos encajone, elija la clase y el haga click en Add Ingrese el valor de atributo, es decir, el nombre de la grupo-directiva como cadena. Recuerde que una grupo-directiva con este nombre tiene que ser configurada en el ASA. Esto es de modo que el ASA lo asigne a la sesión de VPN después de que reciba este atributo en la respuesta RADIUS.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Debugs ASA

Radio todo del debug del permiso en el ASA.

ciscoasa# test aaa-server authentication NPS host 10.105.130.51 username vpnuser password
INFO: Attempting Authentication test to IP address <10.105.130.51> (timeout: 12 seconds)
radius mkreq: 0x80000001
alloc_rip 0x787a6424
    new request 0x80000001 --> 8 (0x787a6424)
got user 'vpnuser'
got password
add_req 0x787a6424 session 0x80000001 id 8
RADIUS_REQUEST
radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 65).....
01 08 00 41 c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f    |  ...A.....~m...
40 50 a8 36 01 09 76 70 6e 75 73 65 72 02 12 28    |  @P.6..vpnuser..(
c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43 04    |  .h.........Z.oC.
06 0a 69 82 de 05 06 00 00 00 00 3d 06 00 00 00    |  ..i........=....
05                                                 |  .

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 8 (0x08)
Radius: Length = 65 (0x0041)
Radius: Vector: C41BAB1AE37E6D12DA876F7F4050A836
Radius: Type = 1 (0x01) User-Name
Radius: Length = 9 (0x09)
Radius: Value (String) =
76 70 6e 75 73 65 72                               |  vpnuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
28 c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43    |  (.h.........Z.oC
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 10.105.130.52 (0x0A6982DE)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x0
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 10.105.130.51/1645
rip 0x787a6424 state 7 id 8
rad_vrfy() : response message verified
rip 0x787a6424
 : chall_state ''
 : state 0x7
 : reqauth:
     c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f 40 50 a8 36
 : info 0x787a655c
     session_id 0x80000001
     request_id 0x8
     user 'vpnuser'
     response '***'
     app 0
     reason 0
     skey 'cisco'
     sip 10.105.130.51
     type 1

RADIUS packet decode (response)

--------------------------------------
Raw packet data (length = 78).....
02 08 00 4e e8 88 4b 76 20 b6 aa d3 0d 2b 94 37    |  ...N..Kv ....+.7
bf 9a 6c 4c 07 06 00 00 00 01 06 06 00 00 00 02    |  ..lL............
19 2e 9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a    |  .........7.....j
2c bf 00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf    |  ,.....<..n...@..
1e 3a 18 6f 05 81 00 00 00 00 00 00 00 03          |  .:.o..........

Parsed packet data.....
Radius: Code = 2 (0x02)
Radius: Identifier = 8 (0x08)
Radius: Length = 78 (0x004E)
Radius: Vector: E8884B7620B6AAD30D2B9437BF9A6C4C
Radius: Type = 7 (0x07) Framed-Protocol
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x1
Radius: Type = 6 (0x06) Service-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x2
Radius: Type = 25 (0x19) Class
Radius: Length = 46 (0x2E)
Radius: Value (String) =
9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a 2c bf    |  .......7.....j,.
00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf 1e 3a    |  ....<..n...@...:
18 6f 05 81 00 00 00 00 00 00 00 03                |  .o..........
rad_procpkt: ACCEPT
RADIUS_ACCESS_ACCEPT: normal termination
RADIUS_DELETE
remove_req 0x787a6424 session 0x80000001 id 8
free_rip 0x787a6424
radius: send queue empty
INFO: Authentication Successful

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

  • Asegúrese que la Conectividad entre el ASA y el servidor NP sea buena.

    Aplique a las capturas de paquetes para asegurarse que el pedido de autenticación sale de la interfaz ASA (de donde está accesible el servidor). Confirme que los dispositivos en la trayectoria no bloquean el puerto 1645 (puerto de autenticación UDP del RADIUS predeterminado) para asegurarlo alcanzan el servidor NP. Más información sobre las capturas de paquetes en el ASA se puede encontrar en ASA/PIX/FWSM: Paquete que captura usando el CLI y el ejemplo de la Configuración de ASDM.

  • Si la autenticación todavía falla, mire en el visor de eventos en las ventanas NP. Bajo el visor de eventos > los registros de Windows, elija la Seguridad. Busque los eventos asociados a los NP alrededor de la época del pedido de autenticación.

    Una vez que usted abre las propiedades del evento, usted debe poder ver la razón para el error tal y como se muestra en del ejemplo. En este ejemplo, el PAP no fue elegido como el tipo de autenticación bajo política de red. Por lo tanto, el pedido de autenticación falla.

     Log Name:      Security
    Source:        Microsoft-Windows-Security-Auditing
    Date:          2/10/2014 1:35:47 PM
    Event ID:      6273
    Task Category: Network Policy Server
    Level:         Information
    Keywords:      Audit Failure
    User:          N/A
    Computer:      win2k8.skp.com
    Description:
    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
        Security ID:            SKP\vpnuser
        Account Name:            vpnuser
        Account Domain:            SKP
        Fully Qualified Account Name:    skp.com/Users/vpnuser

    Client Machine:
        Security ID:            NULL SID
        Account Name:            -
        Fully Qualified Account Name:    -
        OS-Version:            -
        Called Station Identifier:        -
        Calling Station Identifier:        -

    NAS:
        NAS IPv4 Address:        10.105.130.69
        NAS IPv6 Address:        -
        NAS Identifier:            -
        NAS Port-Type:            Virtual
        NAS Port:            0

    RADIUS Client:
        Client Friendly Name:        vpn
        Client IP Address:            10.105.130.69

    Authentication Details:
        Connection Request Policy Name:    vpn
        Network Policy Name:        vpn
        Authentication Provider:        Windows
        Authentication Server:        win2k8.skp.com
        Authentication Type:        PAP
        EAP Type:            -
        Account Session Identifier:        -
        Logging Results:            Accounting information was written to the local log file.
        Reason Code:            66
        Reason:                The user attempted to use an authentication method that is
    not enabled on the matching network policy.


Document ID: 117641