Безопасность : Сервер безопасного контроля доступа Cisco для Windows

Использование Cisco Secure ACS для Windows с концентратором VPN 3000 – IPSec

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ рекомендует самой простой конфигурации для сервера Cisco Secure Access Control Server (ACS) для Windows подтвердить подлинность пользователей, которые соединяются с VPN 3000 Concentrator. Группа на VPN 3000 Concentrator является набором пользователей, обработанным как единый объект. Конфигурация групп, в противоположность отдельным пользователям, может упростить управление системой и оптимизировать задачи конфигурации. В предыдущих версиях только идентичность, безопасность, доступ, производительность, DNS, WINS и протоколы туннелирования были настроены для групп.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Cisco Secure ACS для Windows RADIUS установлен и работает должным образом с другими устройствами.

  • Cisco VPN 3000 Concentrator настроен и может управляться с интерфейсом HTML.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco Secure ACS для версии 4.0 Windows RADIUS или позже.

  • Cisco VPN 3000 Concentrator версии 2.5 или выше.

С выпуском 3.0 Microsoft Windows и позже, можно настроить и выполнить эти функции на каждой группе по отдельности.

  • Аутентификация (RADIUS, домен NT, SDI или внутренний сервер.)*

  • Учет (учет ПОЛЬЗОВАТЕЛЯ RADIUS собирает данные по пользовательскому времени соединения и переданным пакетам.)

  • Пулы адресов (Позволяет вам назначать IP-адреса от внутренне настроенный пул.)

Примечание: * Основанная на группе аутентификация не поддерживает несколько серверовы SDI с идентификатора ошибки Cisco CSCdu57258 (только зарегистрированные клиенты)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Используйте группы на VPN 3000 Concentrator

Группы могут быть определены и для Cisco Secure ACS для Windows и для VPN 3000 Concentrator, но они используют группы несколько по-другому. Выполните эти задачи для упрощения вещей:

  • Настройте одиночную группу на VPN 3000 Concentrator для установления начального туннеля. Это обычно называют Туннельная группа, и она используется для того, чтобы установить зашифрованный ключ (IKE) для сессии обмена с VPN 3000 Concentrator при помощи заранее известного ключа (пароль группы). Это - то же имя группы и пароль, который должен быть настроен на всех VPN 3000 Client, которые хотят соединиться с Концентратором VPN.

  • Настройте группы на Cisco Secure ACS для Windows Server, которые используют стандартные атрибуты RADIUS и Определяемые поставщиком Атрибуты (VSA) для управления политиками. VSA, которые должны использоваться с VPN 3000 Concentrator, являются RADIUS (VPN 3000) атрибуты.

  • Настройте пользователей на Cisco Secure ACS для Сервера Windows Radius и назначьте их на одну из групп, настроенных на том же сервере. Пользователи наследовали атрибуты, определенные для их группы, и Cisco Secure ACS для Windows передает те атрибуты к Концентратору VPN, когда заверен пользователь.

Как концентратор VPN 3000 использует атрибуты группы и пользователя

После того, как VPN 3000 Concentrator подтверждает подлинность Туннельной группы с Концентратором VPN и пользователя с RADIUS, это должно организовать атрибуты, которые это получило. Концентратор использует атрибуты в этом заказе предпочтения, сделана ли аутентификация в Концентраторе VPN или с RADIUS:

  1. Атрибуты пользователя — Эти атрибуты всегда имеют приоритет по любым другим.

  2. Атрибуты Туннельной группы — Любые атрибуты, не возвращенные, когда пользователь был заверен, заполнены в атрибутами Туннельной группы.

  3. Атрибуты базовой группы — Любые атрибуты, отсутствующие от пользователя или атрибутов Туннельной группы, заполнены в Атрибутами базовой группы Концентратора VPN.

Настройте сервер RADIUS и VPN 3000 Concentrator

Выполните эти шаги для настройки сервера RADIUS и VPN 3000 Concentrator.

  1. Добавьте Cisco Secure ACS для Сервера Windows Radius к конфигурации VPN 3000 Concentrator.

    1. Используйте web-браузер для соединения с VPN 3000 Concentrator путем ввода IP-адреса частного интерфейса в Расположении или строке адреса браузера.

    2. Войдите в систему Концентратора VPN (По умолчанию: Вход в систему = admin, пароль = admin).

    3. Выберите Configuration> System> Servers> Authentication и нажмите Add (из левого меню).

      /image/gif/paws/13874/CiscoSecure-11.gif

    4. Выберите тип сервера Radius и добавьте эти параметры для Cisco Secure ACS для Сервера Windows Radius. Оставьте все другие параметры в их состоянии по умолчанию.

      • Сервер проверки подлинности — Вводит IP-адрес Cisco Secure ACS для Сервера Windows Radius.

      • Секретный сервер — Вводит Секретный пароль сервера RADIUS. Это должно быть той же тайной, которую вы используете при настройке VPN 3000 Concentrator в Cisco Secure ACS для конфигурации Windows.

      • Проверка. пароль для подтверждения.

        Это добавляет сервер проверки подлинности в глобальной конфигурации VPN 3000 Concentrator. Этот сервер используется всеми группами за исключением того, когда был в частности определен сервер проверки подлинности. Если сервер проверки подлинности не настроен для группы, он возвращается к серверу глобальной аутентификации.

      /image/gif/paws/13874/CiscoSecure-1.gif

  2. Настройте туннельную группу на VPN 3000 Concentrator.

    1. Выберите Configuration > User Management > Groups (от левого меню) и щелкните Add.

    2. Измените или добавьте эти параметры во Вкладках конфигурация. Не нажимайте Apply, пока вы не измените все эти параметры:

      Примечание: Эти параметры являются минимумом, необходимым для соединений VPN для удаленного доступа. Эти параметры также предполагают, что не были изменены настройки по умолчанию в Базовой группе на VPN 3000 Concentrator.

      Identity

      • Имя группы — Тип имя группы. Например, IPsecUsers.

      • Password пароль для группы. Это - предварительный общий ключ для сеанса IKE.

      • Проверка. пароль для подтверждения.

      • Введите — Выход это как по умолчанию: Внутренний.

        /image/gif/paws/13874/CiscoSecure-2.gif

      IPSec

      • Тип туннеля — выбирает удаленный доступ.

      • Аутентификация — RADIUS. Это говорит концентратору VPN, какой метод нужно использовать для того чтобы опознать пользователя.

      • Настройка режима — Выбирает Флажок настройки режима.

      /image/gif/paws/13874/CiscoSecure-3.gif

    3. Нажмите кнопку Apply.

  3. Настройте серверы несколько серверов проверок подлинности на VPN 3000 Concentrator.

    1. Как только группа определена, выделите ту группу и нажмите Modify Auth. Servers. Даже если эти серверы не существуют в глобальных серверах, отдельные серверы проверки подлинности могут быть определены для каждой группы.

    2. Выберите тип сервера Radius и добавьте эти параметры для Cisco Secure ACS для Сервера Windows Radius. Оставьте все другие параметры в их состоянии по умолчанию.

      • Сервер проверки подлинности — Вводит IP-адрес Cisco Secure ACS для Сервера Windows Radius.

      • Секретный сервер — Вводит Секретный пароль сервера RADIUS. Это должно быть той же тайной, которую вы используете при настройке VPN 3000 Concentrator в Cisco Secure ACS для конфигурации Windows.

      • Проверка. пароль для подтверждения.

      /image/gif/paws/13874/CiscoSecure-4.gif

  4. Добавьте VPN 3000 Concentrator к Cisco Secure ACS для конфигурации Windows Server.

    1. Дважды нажмите значок ACS Admin для начала сеанса admin на ПК, который выполняет Cisco Secure ACS для Сервера Windows Radius. Войдите с правильным именем пользователя и паролем при необходимости.

    2. Выберите Network Configuration и нажмите Add Запись под Группой сетевых устройств.

      1. Создайте новое имя группы.

      2. Щелкните Submit (отправить). Новое имя группы появляется в списке Групп сетевых устройств.

        Вместо того, чтобы создать новую группу, можно нажать Не Назначенную группу и добавить Концентратор VPN как клиент AAA. Но Cisco не рекомендует создать новую группу.

      3. Нажмите Новую группу и нажмите Add Запись при клиентах AAA.

        Примечание: В контексте Cisco Secure ACS клиент AAA является любым сетевым устройством, которое предоставляет функциональность клиента AAA и поддерживает протокол безопасности AAA, который также поддерживается Cisco Secure ACS. Это включает Серверы доступа Cisco, Межсетевые экраны Cisco PIX, концентраторы Cisco VPN серии 3000, концентраторы Cisco VPN серии 5000, Cisco маршрутизаторы IOS�, точка доступа Cisco Aironet 340 и 350 устройств и некоторые коммутаторы Cisco Catalyst.

      4. Добавьте эти параметры для VPN 3000 Concentrator:

      • Имя хоста для клиента AAA — Вводит имя хоста VPN 3000 Concentrator (для Разрешения DNS).

      • IP-адрес клиента AAA — Вводит IP-адрес VPN 3000 Concentrator.

      • Ключ — Вводит Секретный пароль сервера RADIUS. Это должно быть той же тайной, которую вы настроили, когда вы добавили Сервер проверки подлинности на Концентраторе VPN в шаге 1.

      • Группа сетевых устройств — От списка, выберите группу сетевых устройств, которой принадлежит Концентратор VPN.

      • Используемая аутентификация — Выбирает RADIUS (Cisco VPN 3000/ASA/PIX 7.x и позже). Это позволяет VSA VPN 3000 отображаться в окне Конфигурации группы.

      CiscoSecure-6.gif

    3. Щелкните Submit (отправить).

    4. Выберите Interface Configuration, нажмите RADIUS Cisco VPN 3000/ASA/PIX 7.x и позже и проверьте Группу [26] определяемый поставщиком.

      Примечание: 'Атрибут RADIUS 26' обращается ко всем определяемым поставщиком атрибутам. Например, выберите Interface Configuration> RADIUS (Cisco VPN 3000/ASA/PIX 7.x и позже) и посмотрите, что все доступные атрибуты запускаются с 026. Это показывает, что все эти определяемые поставщиком атрибуты подпадают под РАДИУС IETF 26 стандартов. Эти атрибуты не обнаруживаются в Пользователе или Настройке групп по умолчанию. Для разоблачения в Настройке групп создайте клиента AAA (в этом VPN 3000 Concentrator случая), который подтверждает подлинность с RADIUS в конфигурации сети. Затем проверьте атрибуты, которые должны появиться в Настройке пользователя, Настройке групп или обоих от Конфигурации интерфейса.

      Документ описывает доступные атрибуты и его Атрибуты RADIUS использования.

    5. Щелкните Submit (отправить).

  5. Добавьте группы к Cisco Secure ACS для конфигурации Windows.

    1. Выберите Group Setup, затем выберите одну из групп шаблона (например, Группа 0), и нажмите Rename Group.

      /image/gif/paws/13874/CiscoSecure-13.gif

      Измените имя на что-то соответствующее организации. Например, Разработка, Продажи или Маркетинг. Так как пользователи добавлены к этим группам, заставьте имя группы отразить фактическую цель той группы. Если все пользователи помещены в ту же группу, можно назвать ее VPN Users Group.

    2. Нажмите Edit Settings для редактирования параметров в недавно переименованной группе.

    3. Нажмите Cisco VPN 3000 RADIUS/ASA/PIX 7.x и позже и настройте эти рекомендуемые атрибуты. Это позволяет пользователям, назначенным на эту группу наследовать атрибуты RADIUS Cisco VPN 3000, который позволяет вам централизовать политику для всех пользователей в Cisco Secure ACS для Windows.

      Примечание: Технически, VPN Cisco 3000/ASA/PIX 7.x и более поздние атрибуты RADIUS не требуется, чтобы быть настроенной, пока Туннельная группа установлена, как шаг 2 рекомендует, и Базовая группа в Концентраторе VPN не изменяется от исходных настроек по умолчанию.

      Рекомендуемые атрибуты VPN 3000:

      • Основной DNS — Вводит IP-адрес Основного сервера DNS.

      • Вторичный DNS — Вводит IP-адрес Дополнительного DNS - сервера.

      • Основной WINS — Вводит IP-адрес Основного сервера WINS.

      • Вторичный WINS — Вводит IP-адрес дополнительного сервера WINS.

      • Протоколы туннелирования — Выбирают IPSec. Это позволяет только соединения Клиента IPSEC. PPTP или L2TP не позволены.

      • АССОЦИАЦИЯ СЕК. IPSEC — Введите ESP-3DES-MD5. Это гарантирует все подключение Клиентов IPSEC доступным шифрованием с наивысшей стойкостью.

      • IPsec-Allow-Password-Store — Выберите Disallow, таким образом, пользователям не разрешают сохранить их пароль в Клиенте VPN.

      • IPsec-Banner — Введите заголовок с приветственным сообщением, который будет представлен пользователю на соединение. Например, "Добро пожаловать в доступ VPN сотрудника MyCompany!"

      • Домен по умолчанию IPSec — Вводит доменное имя компании. Например, "mycompany.com".

      /image/gif/paws/13874/CiscoSecure-7.gif

      Этот набор атрибутов не необходим. Но если вы не уверены, если Атрибуты базовой группы VPN 3000 Concentrator изменились, то Cisco рекомендует настроить эти атрибуты:

      • Одновременные входы в систему — Вводят число раз, в которое вы позволяете пользователю одновременно входить с том же имя пользователя. Рекомендация равняется 1 или 2.

      • Назначение карты SEP — выбирает Any-SEP.

      • Mode-Config IPSec — выбирает ON.

      • IPSEC ЧЕРЕЗ NAT — Выбирает OFF, пока вы не хотите, чтобы пользователи в этой группе подключили IPSec использования по протоколу UDP. При выборе ON VPN Client все еще имеет возможность локально отключить IPSec через NAT и подключение обычно.

      • IPsec-Through-NAT-Port — Выберите Номер порта UDP в диапазоне 4001 - 49151. Это используется, только если идет IPSEC ЧЕРЕЗ NAT.

      Следующий набор атрибутов требует, чтобы вы настроили что-то на Концентраторе VPN сначала, прежде чем можно будет использовать их. Это только рекомендуется для опытных пользователей.

      • Пункты меню Access Hours (Часы доступа) — Это требует, чтобы вы установили диапазон Пунктов меню Access Hours (Часы доступа) на VPN 3000 Concentrator под Configuration> Policy Management. Вместо этого используйте Пункты меню Access Hours (Часы доступа), доступные в Cisco Secure ACS для Windows для управления этим атрибутом.

      • IPsec-Split-Tunnel-List — Это требует, чтобы вы установили Список сети на Концентраторе VPN под Configuration> Policy Management> Traffic Management. Это - список сетей, передаваемых вниз клиенту, которые говорят клиенту шифровать данные к только тем сетям в списке.

    4. Выберите Submit> Restart, чтобы сохранить конфигурацию и активировать новую группу.

    5. Повторите эти шаги для добавления больших групп.

  6. Настройте пользователей на Cisco Secure ACS для Windows.

    1. Выберите User Setup, введите имя пользователя и нажмите Add/Edit.

      CiscoSecure-12.gif

    2. Настройте эти параметры под разделом настройки пользователя:

      • Проверка подлинности с помощью пароля — выбирает базу данных Cisco Secure.

      • PAP Cisco Secure - Пароль — Вводит пароль для пользователя.

      • PAP Cisco Secure - Подтверждает, что Пароль — Повторно вводит пароль для нового пользователя.

      • Группа, на которую пользователю назначают — Выбирает название группы, которую вы создали в предыдущем шаге.

      /image/gif/paws/13874/CiscoSecure-8.gif

    3. Нажмите Submit, чтобы сохранить и активировать параметры пользователя.

    4. Повторите эти шаги для добавления дополнительных пользователей.

  7. Тестовая аутентификация.

    Выберите Configuration> System> Servers> Authentication> Test на VPN 3000 Concentrator.

    /image/gif/paws/13874/CiscoSecure-5.gif

    Тестовая аутентификация от Концентратора VPN до Cisco Secure ACS для Windows Server путем ввода имени пользователя и пароля вы настроили в Cisco Secure ACS для Windows.

    CiscoSecure-9.gif

    На успешной проверке подлинности Концентратор VPN показывает Сообщение "authentication successful".

    /image/gif/paws/13874/CiscoSecure-10.gif

    Если существуют сбои в Cisco Secure ACS для Windows, меню Cisco Secure ACS for Windows Reports и Activity> Failed Attempts показывает сбои. В установке по умолчанию эти сообщения о неисправности находятся на диске в c:\Program Files\CiscoSecure ACS v2.5\Logs\Failed Attempts.

    Примечание: Когда Тестовая аутентификация используется, Cisco VPN 3000 Concentrator только использует Протокол аутентификации пароля (PAP).

  8. Соединитесь с VPN 3000 Concentrator.

    Теперь можно соединиться с VPN 3000 Concentrator с помощью клиента. Убедитесь, что Клиент VPN настроен для использования того же имени группы и пароля, настроенного в шаге 2.

Добавление учета

После того, как аутентификация работает, можно добавить учет.

На VPN 3000 выберите Configuration> System> Servers> Accounting.

CiscoSecure-15.gif

Нажмите Add для добавления Cisco Secure ACS для Windows Server.

/image/gif/paws/13874/CiscoSecure-14.gif

Можно добавить отдельные учетные серверы к каждой группе при выборе Configuration> User Management> Groups. Выделите группу и нажмите Modify Acct. Серверы.

/image/gif/paws/13874/CiscoSecure-16.gif

Введите IP-адрес Учетного сервера с Секретным сервером.

/image/gif/paws/13874/CiscoSecure-17.gif

В Cisco Secure ACS для Windows учетные записи появляются как показано в выходных данных ниже:

Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,
  Acct-Session-Id, Acct-Session-Time,Service-Type,Framed-Protocol,
  Acct-Input-Octets, Acct-Output-Octets, Acct-Input-Packets,
  Acct-Output-Packets,Framed-IP-Address,NAS-Port, 
  NAS-IP-Address03/23/2000,14:04:10, csntuser,3000,,Start,7ED00001,,Framed, 
  PPP,,,,,10.99.99.1,1009,172.18.124.133 03/23/2000,14:07:01,csntuser,3000,,
  Stop,7ED00001,171,Framed,PPP,5256,0,34,0,10.99.99.1, 1009,172.18.124.133

Задайте пулы отдельного IP для каждой группы

Можно задать пулы отдельного IP каждой группе. Пользователю назначают IP-адрес от пула, настроенного для группы. Если пул не определен для конкретной группы, пользователю назначают IP-адрес от глобального пула. Выберите Configuration> User Management> Groups для настройки отдельных пулов для каждой группы.

/image/gif/paws/13874/CiscoSecure-16.gif

Выделите группу и нажмите Modify Address Pool. Нажмите Add для добавления пула IP. Пул IP-адресов, определенных здесь, может быть подмножеством глобального пула.

/image/gif/paws/13874/CiscoSecure-18.gif

Отладка

Если соединения не работают, можно добавить AUTH, IKE и классы События IPSec к Концентратору VPN при выборе Configuration> System> Events> Classes> Modify (Severity to Log=1-9, Severity to Console=1-3). AUTHDBG, AUTHDECODE, IKEDBG, IKEDECODE, IPSECDBG и IPSECDECODE также доступны, но могут предоставить слишком много информации. Если подробные сведения необходимы на атрибутах, которые переданы от сервера RADIUS, AUTHDECODE, IKEDECODE, и IPSECDECODE предоставляет это при Степенях серьезности ошибки к Log=1-13 уровню.

/image/gif/paws/13874/CiscoSecure-19.gif

Получите журнал событий от Monitoring> Filterable Event Log.

/image/gif/paws/13874/CiscoSecure-20.gif

Cisco Secure ACS для сбоев Windows найдены в Отчётах и Действии> Неудачные попытки> active.csv.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13874