Технологии коммутируемого доступа в сеть : Устройства защиты Cisco PIX серии 500

PIX/ASA: Пример конфигурации аутентификации Kerberos и групп серверов авторизации LDAP для пользователей VPN с помощью ASDM/CLI

28 июля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (30 июля 2007) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Сопутствующие продукты
     Условные обозначения
Базовые сведения
Конфигурация аутентификации и авторизации для пользователей VPN с помощью ASDM
     Конфигурация серверов аутентификации и авторизации
     Конфигурация туннельной группы VPN для аутентификации и авторизации
Конфигурация аутентификации и авторизации для пользователей VPN с помощью CLI
Проверка
Поиск и устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе описано, как использовать диспетчер адаптивного устройства обеспечения безопасности (ASDM) для конфигурации аутентификации Kerberos и групп серверов авторизации LDAP на устройстве безопасности Cisco PIX серии 500. В данном примере политика туннельной группы VPN использует созданные группы серверов для аутентификации и авторизации входящих пользователей.

Предварительные условия

Требования

В данном документе предполагается, что PIX полностью функционален и настроен, чтобы разрешать ASDM выполнять изменения в конфигурации.

Примечание. Дополнительные сведения о том, как разрешить конфигурацию PIX с помощью ASDM, см. в разделе Разрешение HTTPS-доступа для ASDM.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • ПО Cisco PIX Security Appliance версии 7.x и более поздних версий

  • Cisco ASDM версии 5.x и более поздних версий

Данные для этого документа были получены при тестировании указанных устройств в специально созданных лабораторных условиях. Все устройства, описанные в данном документе, обладают ненастроенной (заданной по умолчанию) конфигурацией. При работе в действующей сети необходимо изучить все возможные последствия каждой команды.

Сопутствующие продукты

Данную конфигурацию также можно использовать с адаптивным устройством обеспечения безопасности Cisco ASA версии 7.x.

Условные обозначения

Подробные сведения о применяемых в документе обозначениях см. в разделе Условные обозначения, используемые в технической документации Cisco.

Базовые сведения

Не все возможные способы аутентификации и авторизации доступные в ПО PIX/ASA 7.x поддерживаются при взаимодействии с пользователями VPN. В следующей таблице отображены доступные способы для пользователей VPN.

 

Локальный

RADIUS

TACACS+

SDI

NT

Kerberos

LDAP

Аутентификация

Да

Да

Да

Да

Да

Да

Нет

Авторизация

Да

Да

Нет

Нет

Нет

Нет

Да

Примечание. В данном примере Kerberos используется для аутентификации, а LDAP – для авторизации пользователей VPN.

Настройка аутентификации и авторизации для пользователей VPN с помощью ASDM

Настройка серверов аутентификации и авторизации

Чтобы настроить группы серверов аутентификации и авторизации для пользователей VPN с помощью ASDM, выполните следующие действия.

  1. Выберите Configuration > Properties > AAA Setup > AAA Server Groups и нажмите Add.

    aa-svrgrps-asdm-1.gif

  2. Определите имя для новой группы серверов аутентификации и выберите протокол.

    Параметр Accounting Mode используется только для RADIUS и TACACS+. По окончании нажмите кнопку ОК.

    aa-svrgrps-asdm-2.gif

  3. Повторите шаги 1 и 2, чтобы создать новую группу серверов авторизации.

    aa-svrgrps-asdm-3.gif

  4. Нажмите Apply, чтобы отправить изменения на устройство.

    aa-svrgrps-asdm-4.gif

    Если устройство уже настроено, в нем предварительно можно просмотреть команды, которые добавляются к текущей конфигурации.

  5. Нажмите Send, чтобы отправить команды на устройство.

    aa-svrgrps-asdm-5.gif

    Новые обновленные группы серверов необходимо заполнить серверами аутентификации и авторизации.

  6. Выберите Configuration > Properties > AAA Setup > AAA Server Groups и нажмите Add.

    aa-svrgrps-asdm-6.gif

  7. Настройте сервер аутентификации. По окончании нажмите кнопку ОК.

    aa-svrgrps-asdm-7.gif

    • Server Group – выберите группу серверов аутентификации, настроенную в шаге 2.

    • Interface Name – выберите интерфейс, на котором находится сервер.

    • Server IP Address – указывает IP-адрес сервера аутентификации.

    • Timeout – указывает максимальное время ожидания ответа с сервера в секундах.

    • Параметры Kerberos:

      • Server Port – 88 – это стандартный порт для Kerberos.

      • Retry Interval – выберите необходимый интервал повтора.

      • Kerberos Realm – введите имя области Kerberos. Имя домена Windows зачастую пишется заглавными буквами.

  8. Настройте сервер авторизации. По окончании нажмите ОК.

    aa-svrgrps-asdm-8.gif

    • Server Group – выберите группу серверов авторизации, настроенную в шаге 3.

    • Interface Name – выберите интерфейс, на котором находится сервер.

    • Server IP Address – указывает IP-адрес сервера авторизации.

    • Timeout – указывает максимальное время ожидания ответа с сервера в секундах.

    • Параметры LDAP.

      • Server Port – 389 – это порт по умолчанию для LDAP.

      • Base DN – введите местоположение в иерархии LDAP, где сервер начнет поиск, как только получит запрос об авторизации.

      • Scope – выберите пространство, где серверу необходимо начать поиск иерархии LDAP, как только он получит запрос об авторизации.

      • Naming Attribute(s) – введите атрибут(ы) относительного отличительного имени, по которым были определены записи на сервере LDAP. Общими атрибутами наименования являются общее имя (cn) и идентификатор пользователя (uid).

      • Login DN – для некоторых серверов LDAP, включая сервер активных каталогов Microsoft, необходимо установить подтверждение связи с помощью аутентифицированного связывания до того, как принять запросы для других операций LDAP. С помощью поля Login DN можно определить характеристики аутентификации устройства, которые должны соответствовать характеристикам пользователя с полномочиями администрирования. Например, cn=administrator. Для анонимного доступа оставьте данное поле пустым.

      • Login Password – введите пароль для Login DN.

      • Confirm Login Password – подтвердите пароль для Login DN.

  9. Нажмите Apply, чтобы отправить изменения на устройство после добавления серверов аутентификации и авторизации.

    Если PIX уже настроен, в нем предварительно можно просмотреть команды, которые добавляются к текущей конфигурации.

  10. Нажмите Send, чтобы отправить команды на устройство.

Конфигурация туннельной группы VPN для аутентификации и авторизации

Чтобы добавить только что настроенные группы серверов в туннельную группу VPN, выполните следующие действия.

  1. Выберите Configuration > VPN > Tunnel Group и нажмите Add, чтобы создать новую туннельную группу, или Edit, чтобы изменить существующую группу.

    aa-svrgrps-asdm-9.gif

  2. Откроется окно с вкладкой General. Выберите ранее настроенную группу серверов.

    aa-svrgrps-asdm-10.gif

  3. Дополнительно: Настройте оставшиеся параметры на других вкладках при добавлении новой туннельной группы.

  4. По окончании нажмите кнопку ОК.

  5. Нажмите Apply, чтобы отправить изменения на устройство после выполнения конфигурации туннельной группы.

    Если PIX уже настроен, в нем предварительно можно просмотреть команды, которые добавляются к текущей конфигурации.

  6. Нажмите Send, чтобы отправить команды на устройство.

Настройка аутентификации и авторизации для пользователей VPN с помощью CLI

Конфигурация CLI эквивалентна группе серверов аутентификации и авторизации для пользователей VPN.

Конфигурация устройства обеспечения безопасности CLI

pixfirewall#show run
: Saved
:
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.105 255.255.255.0
!
!--- Выходные данные команды подавляются.

!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-522.bin

!--- Выходные данные команды подавляются.


aaa-server my_authent_grp protocol kerberos
aaa-server my_authent_grp host 172.22.1.100
 kerberos-realm REALM.CISCO.COM
aaa-server my_author_grp protocol ldap
aaa-server my_author_grp host 172.22.1.101
 ldap-base-dn ou=cisco
 ldap-scope onelevel
 ldap-naming-attribute uid

http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

tunnel-group DefaultRAGroup general-attributes
 authentication-server-group my_authent_grp
 authorization-server-group my_author_grp

!
!--- Выходные данные команды подавляются.

Проверка

Чтобы проверить аутентификацию пользователей между серверами PIX/ASA и AAA, выполните следующие действия.

  1. Выберите Configuration > Properties > AAA Setup > AAA Server Groups и выберите группу серверов (my_authent_grp). Потом нажмите Test, чтобы проверить учетные записи пользователей.

    aa-svrgrps-asdm-11.gif

  2. Предоставьте имя пользователя и пароль (например имя пользователя: test и пароль: test) и нажмите OK, чтобы проверить.

    aa-svrgrps-asdm-12.gif

  3. Аутентификация выполнена успешно.

    aa-svrgrps-asdm-13.gif

Поиск и устранение неполадок

  1. Одной из наиболее частых причин ошибки аутентификации является потеря времени. Убедитесь, что часы на PIX или ASA и сервере конфигурации синхронизированы.

  2. Предварительную аутентификацию на активном каталоге (AD) необходимо отключить, или она может привести к ошибке аутентификации пользователя.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 68881