Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 8.x: Настройка AnyConnect SSL VPN с помощью смарткарт CAC с поддержкой MAC-адресов

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (5 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации на устройстве адаптивной защиты Cisco (ASA) для удаленного доступа VPN AnyConnect для Поддержки MAC с картой общего доступа (CAC) для аутентификации.

Область этого документа должна покрыть конфигурацию Cisco ASA с Менеджером устройств адаптивной безопасности (ASDM) (ASDM), Cisco AnyConnect VPN Client и Microsoft Active Directory (AD) / Протокол LDAP.

Конфигурация в этом руководстве использует Microsoft AD/LDAP server. Этот документ также покрывает дополнительные характеристики, такие как OCSP, Карты атрибутов LDAP и Полицейские динамического доступа (DAP).

Предварительные условия

Требования

Основное понимание Cisco ASA, Клиента AnyConnect Cisco, Microsoft AD/LDAP и Инфраструктуры открытых ключей (PKI) выгодно в понимании завершенной настройки. Знакомство с AD составом группы, свойствами пользователя, а также LDAP возражает справке в корреляции процесса авторизации между атрибутами сертификата и объектами AD/LDAP.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройство адаптивной защиты Cisco серии 5500 (ASA), на котором установлена версия ПО 8.0(x) или более поздняя

  • Cisco Adaptive Security Device Manager (ASDM) версии 6.x для ASA 8.x

  • Cisco AnyConnect VPN Client 2.2 с поддержкой MAC

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Конфигурация Cisco ASA

Этот раздел покрывает конфигурацию Cisco ASA через ASDM. Это покрывает обязательные действия для развертывания туннеля удаленного доступа VPN через Соединение AnyConnect SSL. Сертификат CAC используется для аутентификации, и атрибут главного имени пользователя (UPN) в сертификате заполнен в Active Directory для авторизации.

Вопросы развертывания

  • Это руководство НЕ покрывает базовые конфигурации, такие как интерфейсы, DNS, NTP, маршрутизация, доступ к устройству, доступ ASDM и т.д. Предполагается то, что оператор сети знаком с этими конфигурациями.

    Обратитесь к Многофункциональным Устройствам безопасности для получения дополнительной информации.

  • Разделы, выделенные в КРАСНОМ, являются обязательными конфигурациями, необходимыми для основного доступа VPN. Например, VPN-туннель может быть настройкой с картой CAC, не делая проверок OCSP, сопоставлений LDAP и проверок политики динамического доступа (DAP). DoD передает под мандат проверку OCSP, но туннель работает без настроенного OCSP.

  • Разделы, выделенные в СИНЕМ, являются дополнительными характеристиками, которые могут быть включены для добавления большего количества безопасности к дизайну.

  • ASDM и VPN AnyConnect/SSL не могут использовать те же порты на том же интерфейсе. Рекомендуется изменить порты на одном или другом для получения доступа. Например, используйте порт 445 для ASDM и оставьте 443 для VPN AC/SSL. Доступ через URL ASDM изменился в 8. x . Используйте https://<ip_address>:<port>/admin.html.

  • Требуемый образ ASA является по крайней мере 8.0.2.19 и ASDM 6.0.2.

  • AnyConnect/CAC поддерживается с Vista.

  • Посмотрите Приложение A для LDAP и примеры сопоставления политики динамического доступа для дополнительной принудительной политики.

  • См. Приложение D о том, как проверить объекты LDAP в MS.

  • Посмотрите Дополнительные сведения для списка приложений порты для конфигурации межсетевого экрана.

Аутентификация, авторизация, бухгалтерская (AAA) конфигурация

Вы заверены с использованием сертификата в их карте общего доступа (CAC) через полномочия DISACertificate (CA) Сервер или сервер CA их собственной организации. Сертификат должен быть допустимым для удаленного доступа к сети. В дополнение к аутентификации вы должны также авторизоваться использовать объект Microsoft Active Directory или Протокола LDAP. Отдел защиты (DoD) требует использования атрибута главного имени пользователя (UPN) для авторизации, которая является частью раздела альтернативного имени субъекта (SAN) сертификата. UPN или EDI/PI должны быть в этом формате, 1234567890@mil. Эти конфигурации показывают, как настроить AAA-сервер в ASA с Сервером LDAP для авторизации. Посмотрите Приложение A для дополнительной настройки с сопоставлением объекта LDAP.

Настройте сервер LDAP

Выполните следующие действия:

  1. Выберите Remote Access VPN> AAA Setup> AAA Server Group.

  2. В таблице групп AAA-серверов нажмите Add 3.

  3. Введите имя серверной группы и выберите LDAP в кнопке с зависимой фиксацией протокола. (См. рис. 1).

  4. В Серверах в выбранной таблице группы нажмите Add. Удостоверьтесь, что сервер, который вы создали, выделен в предыдущей таблице.

  5. В окне для редактирования сервера AAA выполните эти шаги. (см. рис. 2).

    Примечание: Выберите Enable LDAP over SSL option, если LDAP/AD настроен для этого типа соединения.

    1. Выберите интерфейс, где расположен LDAP. Это руководство показывает в интерфейсе.

    2. Введите IP-адрес сервера.

    3. Введите порт сервера. Порт LDAP по умолчанию 389.

    4. Выберите Server Type.

    5. Введите Основной DN. Попросите у администратора AD/LDAP этих значений.

      Рис. 1

      cac-anyconnect-vpn-01.gif

    6. Под параметром диапазона выберите соответствующий ответ. Это зависит от основного DN. Попросите у администратора AD/LDAP ПОМОЩИ.

    7. В атрибуте обозначения введите userPrincipalName. Это - атрибут, который используется для авторизации пользователя в AD/СЕРРЕРЕ LDAP.

    8. В DN Входа в систему введите составное имя администратора.

      Примечание: У вас есть административные права или права просматривать/искать структуру LDAP, которая включает объекты пользователя и состав группы.

    9. В Пароле для входа введите пароль администратора.

    10. Оставьте атрибут LDAP ни одному.

      Рис. 2

      cac-anyconnect-vpn-02.gif

      Примечание: Вы используете эту опцию позже конфигурация для добавления другого объекта AD/LDAP для авторизации.

    11. Выберите OK.

  6. Выберите OK.

Управляйте сертификатами

Существует два шага для установки сертификатов на ASA. Во-первых, установите сертификаты CA (Корневой и Зависимый Центр сертификации) необходимый. Во-вторых, зарегистрируйте ASA к определенному CA и получите сертификат идентификации. PKI DoD использует эти сертификаты, Корневой CA2, Корень уровня 3, Промежуточное звено CA##, что ASA зарегистрирован с, сертификат ID ASA и сертификат OCSP. Но при выборе not to use OCSP сертификат OCSP не должен быть установлен.

Примечание: Свяжитесь с POC безопасности для получения корневых сертификатов, а также инструкций о том, как зарегистрироваться на сертификат идентификации для устройства. Сертификат SSL должен быть достаточным для ASA для удаленного доступа. Двойной SAN сертификат не требуется.

Примечание: Локальный компьютер также должен иметь DoD CA установленная цепочка. Сертификаты могут быть просмотрены в Microsoft Certificate Store с Internet Explorer. DoD произвел командный файл, который автоматически добавляет все CAs к машине. Спросите POC PKI для получения дополнительной информации.

Примечание: CA2 DoD и Корень уровня 3, а также ID ASA и CA промежуточное звено, которое выполнило свидетельство ASA, должны быть единственным CAs, необходимым для проверки подлинности пользователя. Все текущие промежуточные звенья CA подпадают под CA2 и цепочку Корня уровня 3 и доверяются пока CA2, и Корни уровня 3 добавлены.

Генерируйте ключи

Выполните следующие действия:

  1. Выберите Remote Access VPN> Certificate Management> Identity Certificate> Add.

  2. Выберите Add новый сертификат идентификатора и затем Новый опцией пары ключей.

  3. В окне Add Key Pair введите ключевое имя, DoD 1024. Щелкните по радио для добавления нового ключа. (См. рис. 3).

    Рис. 3

    cac-anyconnect-vpn-03.gif

  4. Выберите размер ключа.

  5. Поддержите использование к общей цели.

  6. Нажмите кнопку Generate Now.

    Примечание: Узел CA DoD 2 использования ключ на 2048 битов. Второй ключ, который использует пару ключей на 2048 битов, должен генерироваться, чтобы быть в состоянии использовать, это Приблизительно Завершает предыдущее выше шагов для добавления второго ключа.

Корневые сертификаты CA установки

Выполните следующие действия:

  1. Выберите Remote Access VPN> Certificate Management> CA Certificate> Add.

  2. Выберите Install from File и передите к сертификату.

  3. Выберите Install Certificate.

    Рис. 4: Установка корневого сертификата

    cac-anyconnect-vpn-04.gif

  4. Это окно должно появиться. (См. рис. 5.).

    Рис. 5

    cac-anyconnect-vpn-05.gif

    Примечание: Повторите шаги 1 - 3 для каждого сертификата, который вы хотите установить. PKI DoD требует сертификата для каждого из них: Узел CA 2, Корень уровня 3, Промежуточное звено CA##, ID ASA и Сервер OCSP. Если вы не используете OCSP, сертификат OCSP не необходим.

    Рис. 6: Установка корневого сертификата

    cac-anyconnect-vpn-06.gif

Зарегистрируйте ASA и установите сертификат идентификации

  1. Выберите Remote Access VPN> Certificate Management> Identity Certificate> Add.

  2. Выберите Add новый сертификат идентификатора.

  3. Выберите DoD 1024 Key Pair. (См. рис. 7.)

    Рис. 7: Параметры сертификата идентификации

    cac-anyconnect-vpn-07.gif

  4. Перейдите к коробке DN предмета Сертификата и нажмите Select.

  5. В окне Certificate Subject DN введите информацию устройства. Посмотрите рисунок 8, например.

    Рис. 8: Отредактируйте DN

    cac-anyconnect-vpn-08.gif

  6. Выберите OK.

    Примечание: Удостоверьтесь, что вы используете имя хоста устройства, которое настроено в системе, когда вы добавляете подчиненный DN. POC PKI может сказать вам требуемые Обязательные поля.

  7. Выберите сертификат Add.

  8. Нажмите Browse для выбора каталога, где вы хотите сохранить запрос. (См. рис. 9.).

    Запрос сертификата рисунка 9

    cac-anyconnect-vpn-09.gif

  9. Откройте файл с Wordpad, скопируйте запрос к соответствующей документации и передайте к POC PKI. (См. рис. 10.).

    Рисунок 10: Запрос регистрации

    cac-anyconnect-vpn-10.gif

  10. Как только вы получили сертификат от администратора CA, выберите Remote Access VPN> Certificate Management> ID Certificate> Install. (См. рис. 11.).

    Рисунок 11: Импортирование сертификата идентификации

    cac-anyconnect-vpn-11.gif

  11. В окне сертификата Установки передите к свидетельству ID и chooseInstall Сертификату. Посмотрите рисунок 12, например.

    Рисунок 12: Установка сертификата идентификации

    cac-anyconnect-vpn-12.gif

    Примечание: Рекомендуется экспортировать точку доверия сертификата ID в ordewr для сохранения выполненного сертификата и пар ключей. Это позволяет администратору ASA импортировать сертификат и пары ключей к новому ASA в случае RMA или отказа оборудования. Обратитесь к Экспорту и Импортированию Точек доверия для получения дополнительной информации.

    Примечание: Нажмите SAVE для сохранения конфигурации во флэш-памяти.

Конфигурация VPN AnyConnect

Существует две опции для настройки параметров VPN в ASDM. Первый вариант должен использовать мастера VPN SSL. Это - простое программное средство для использования для пользователей, которые плохо знакомы с конфигурацией VPN. Вторая опция должна сделать это вручную и пройти через каждую опцию. Это руководство по конфигурации использует ручной способ.

Примечание: Существует два метода для получения AC-клиента пользователю:

  1. Можно загрузить клиент от Web - сайта Cisco и установить его на их машине.

  2. Пользователь может обратиться к ASA через web-браузер, и клиент может быть загружен.

Примечание: , Например, https://asa.test.com. Это руководство использует второй метод. Как только AC-клиент установлен на клиентском компьютере постоянно, вы просто запускаете AC-клиента из приложения.

Создайте пул IP-адреса

Это является дополнительным при использовании другого метода, такого как DHCP.

  1. Выберите Remote Access VPN> Network (Client) Access> Address Assignment> Address Pools.

  2. Нажмите Add.

  3. В окне Add IP Pool введите имя пула IP, запускаясь и заканчивая IP-адрес и выберите маску подсети. (См. рис. 13.).

    Рисунок 13: Добавление пула IP

    cac-anyconnect-vpn-13.gif

  4. Выберите Ok.

  5. Выберите Remote Access VPN> Network (Client) Access> Address Assignment> Assignment Policy.

  6. Выберите соответствующий метод присвоения IP-адреса. Это руководство использует пулы внутреннего адреса. (См. рис. 14.).

    Рисунок 14: Метод Присвоения IP-адреса

    cac-anyconnect-vpn-14.gif

  7. Нажмите кнопку Apply.

Создайте туннельную группу и групповую политику

Групповая политика

Примечание: Если вы не хотите создавать новую политику, можно использовать созданную политику круга лиц с общими интересами по умолчанию.

  1. Выберите Remote Access VPN-> Network (Client) Access-> Group Policies.

  2. Нажмите кнопку Add (Добавить) и выберите Internal Group Policy (Внутренняя групповая политика).

  3. В окне Add Internal Group Policy введите имя для Групповой политики в Текстовом поле для имени. Посмотрите рисунок 15.

    Рисунок 15: Добавление внутренней групповой политики

    cac-anyconnect-vpn-15.gif

    1. Во Вкладке Общие выберите SSL VPN Client в опции Tunneling Protocols, пока вы не используете другие протоколы, такие как Безклиентый SSL.

    2. В разделе Серверов снимите флажок с наследовать флажком и введите IP-адрес серверов WINS и DNS. Введите область DHCP если применимо.

    3. В разделе Серверов снимите наследовать флажок в Домене по умолчанию и введите соответствующее доменное имя.

    4. Во Вкладке Общие снимите наследовать флажок в пуле адресов, разделяют и добавляют пул адресов, созданный в предыдущем шаге. Если youuse другой метод присвоения IP-адреса, оставьте это, чтобы наследовать и внести соответствующее изменение.

    5. Все другие вкладки конфигурация оставляют настройкам по умолчанию.

      Примечание: Существует два метода для получения AC-клиента конечным пользователям. Один метод должен перейти к Cisco.com и загрузить AC-клиента. Когда пользователь пытается соединиться, второй метод должен иметь загрузки ASA клиент пользователю. Данный пример показывает последний метод.

  4. Затем, выберите Advanced> SSL VPN Client> Login Settings. Посмотрите рисунок 16.

    Рисунок 16: Добавление внутренней групповой политики

    cac-anyconnect-vpn-16.gif

    1. Снимите флажок Inherit.

    2. Выберите соответствующий Почтовый Вход в систему, Устанавливающий, который соответствует среде.

    3. Выберите соответствующий Почтовый Выбор Входа в систему По умолчанию, который соответствует среде.

    4. Выберите OK.

Интерфейс туннельной группы и настройки образа

Примечание: Если вы не хотите создавать новую группу, можно использовать встроенную группу по умолчанию.

  1. Выберите Remote Access VPN> Network (Client) Access> SSL VPN Connection Profile.

  2. Выберите Enable Cisco AnyConnect Client … ….

  3. Диалоговое окно появляется с вопросом Would you like to designate an SVC image?

  4. Нажмите кнопку"Да".

  5. Если уже существует образ, выберите образ для использования с Флэшем Обзора. Если образ не доступен, выберите Upload и передите для файла на локальном компьютере. Посмотрите рисунок 17. Файлы могут быть загружены от Cisco.com; существует Windows, MAC и файл Linux.

    Рисунок 17: Добавьте образ VPN-клиента SSL (SVC)

    cac-anyconnect-vpn-17.gif

  6. Затем включите, Предоставляют Доступ, Требуют Клиентского Свидетельства и дополнительно Включают DTLS. Посмотрите рисунок 18.

    Рисунок 18: Включение доступа

    cac-anyconnect-vpn-18.gif

  7. Нажмите кнопку Apply.

  8. Затем, создайте Профиль подключения / Туннельная группа. Выберите Remote Access VPN> Network (Client) Access> SSL VPN Connection Profile.

  9. В разделе Профилей подключения нажмите Add.

    Рисунок 19: Добавление профиля подключения

    cac-anyconnect-vpn-19.gif

    1. Назовите группу.

    2. Выберите Certificate в методе аутентификации.

    3. Выберите групповую политику, созданную ранее.

    4. Гарантируйте, что включен VPN-клиент SSL (SVC).

    5. Оставьте другие опции как по умолчанию.

  10. Затем, chooseAdvanced> Авторизация. Посмотрите рисунок 20

    Рис. 20: Авторизация

    cac-anyconnect-vpn-20.gif

    1. Выберите созданную на предыдущем этапе группу AD LDAP.

    2. Проверьте, что Пользователи должны существовать … .to подключение.

    3. В полях сопоставления выберите UPN для основного и ни один для вторичного устройства.

  11. Выберите раздел VPN SSL меню.

  12. В разделе Псевдонимов соединения выполните эти шаги:

    Рис. 21: Псевдонимы соединения

    cac-anyconnect-vpn-21.gif

    1. Выберите Add.

    2. Введите псевдоним группы, который вы хотите использовать.

    3. Гарантируйте, что Включил, проверен. (См. рис. 21.).

  13. Нажмите кнопку ОК.

Примечание: Нажмите Save для сохранения конфигурации во флэш-памяти.

Сертификат, Совпадающий с Правилами (Если OCSP будет использоваться),

  1. Выберите Remote Access VPN> Advanced> Certificate to SSL VPN Connection Profile Maps. (См. рис. 22.).

    1. Выберите Add в Сертификате к разделу Карт Профиля подключения.

    2. Можно поддержать существующую карту, поскольку DefaultCertificateMap в карте разделяют или создают новую, если вы уже используете карты свидетельства для IPSec.

    3. Поддержите приоритет правила.

    4. Под сопоставленной группой уезжайте как - Не Сопоставленный-. (См. рис. 22.).

      Рисунок 22: Добавление сертификата, совпадающего с правилом

      /image/gif/paws/107051/cac-anyconnect-vpn-22.gif

    5. Нажмите кнопку ОК.

  2. Нажмите Add на нижней таблице.

  3. В Добавить окне Matching Rule Criterion сертификата выполните эти шаги:

    Рис. 23: Сертификат, совпадающий с критерием правила

    /image/gif/paws/107051/cac-anyconnect-vpn-23.gif

    1. Поддержите столбец Field для Подчинения.

    2. Поддержите столбец Component к Целому Полю.

    3. Изменитесь столбец Operator к Не Равняется.

    4. В Столбце значений введите два двойных кавычек “”.

    5. Нажмите кнопку OK и Apply. Посмотрите рисунок 23, например.

Настройте OCSP

Конфигурация OCSP может варьироваться и зависит от поставщика респондента OCSP. Считайте руководство уличного торговца для получения дополнительной информации.

Настройте сертификат OCSP Responder

  1. Получите самогенерируемый сертификат от респондента OCSP.

  2. Завершите процедуры, упомянутые ранее, и установите сертификат для сервера OSCP.

    Примечание: Удостоверьтесь, что не проверяют, что сертификаты для аннулирования выбраны для точки доверия сертификата OCSP.

Настройте CA для использования OCSP

  1. Выберите Remote Access VPN> Certificate Management> CA Certificates.

  2. Выделите OCSP для выбора CA для настройки для использования OCSP.

  3. Нажмите Edit.

  4. Гарантируйте, что проверен сертификат Проверки для аннулирования.

  5. В разделе Методов Аннулирования добавьте OCSP. (См. рис. 24.).

    Проверка аннулирования OCSP

    cac-anyconnect-vpn-24.gif

  6. Убедитесь Рассматривают Сертификат, допустимый … не может быть получен, неконтролируем, если вы хотите придерживаться строгой проверки OCSP.

Примечание: Настраивайте/Редактируйте весь сервер CA, который использует OCSP для аннулирования.

Настройте правила OCSP

Примечание: Проверьте, что Certificate Group, Совпадающая с Политикой, создана, и респондент OCSP настроен, прежде чем вы выполните эти шаги.

Примечание: В некоторых реализациях OCSP DNS A и запись PTR может быть необходим для ASA. Эта проверка сделана, чтобы проверить, что ASA от .mil сайта.

  1. Выберите Remote Access VPN> Certificate Management> CA Certificates 2.

  2. Выделите OCSP для выбора CA для настройки для использования OCSP.

  3. Выберите Edit.

  4. Нажмите вкладку OCSP Rule.

  5. Нажмите кнопку Add.

  6. В окне Add OCSP Rule выполните эти шаги. (См. рис. 25.).

    Рисунок 25: Добавление правила OCSP

    cac-anyconnect-vpn-25.gif

    1. В опции Certificate Map выберите DefaultCertificateMap или карту, созданную ранее.

    2. В опции Certificate выберите респондента OCSP.

    3. В индексной опции войдите 10.

    4. В опции URL введите IP-адрес или имя хоста респондента OCSP. При использовании имени хоста удостоверьтесь, что сервер DNS настроен на ASA.

    5. Нажмите кнопку ОК.

    6. Нажмите кнопку Apply.

Конфигурация клиента AnyConnect Cisco

Этот раздел покрывает конфигурацию Клиента AnyConnect VPN Client Cisco.

Предположения — приложение Cisco AnyConnect VPN Client и промежуточного программного обеспечения уже установлено в ПК хоста. Золото ActivCard и ActivClient были протестированы.

Примечание: Это руководство использует метод URL группы для начальной установки AC-клиента только. Как только AC-клиент установлен, вы запускаете приложение AC точно так же, как Клиент IPSEC.

Примечание: Цепочка сертификатов DoD должна быть установлена на локальном компьютере. Сверьтесь с POC PKI для получения сертификатов/командного файла.

Примечание: Драйвер картридера для MAC OSX уже установлен и совместим с текущей Версией операционной системы, которую вы используете.

Загрузка клиента AnyConnect VPN Client Cisco – Mac OS X

  1. Запустите веб - сеанс к ASA через Safari. Адрес должен быть в формате https://Outside-Interface., Например, https://172.18.120.225.

  2. Всплывающее окно просит проверять сертификат ASA. Нажмите кнопку Continue.

  3. Другое всплывающее окно появляется для разблокирования цепочки для ключей CAC. Введите номер разъема. (См. рисунок 31.).

    Рисунок 31: введите PIN-код

    cac-anyconnect-vpn-31.gif

  4. После того, как веб-страница сервиса VPN SSL появляется, нажмите Continue.

  5. После разблокирования цепочки для ключей браузер побуждает вас при доверии сертификату от ASA. Нажмите доверие.

  6. Введите пароль при загрузке для разблокирования цепочки для ключей, чтобы установить безопасное соединение, и затем нажать Ok.

  7. Выберите сертификат, чтобы использовать для аутентификации клиента, и затем нажать Ok.

  8. Браузер тогда просит root/пароль пользователя для получения возможности загрузки клиентов AnyConnect.

  9. Если заверено, клиент AnyConnect начинает загружать. См. рис. 32.

    Рис. 32: Загрузки AnyConnect

    cac-anyconnect-vpn-32.gif

  10. После того, как приложение загружено, браузер побуждает вас принимать сертификат ASA. Нажать кнопку Принять.

  11. Соединение установлено. Рис. 33.

    Рис. 33: Связанный AnyConnect

    cac-anyconnect-vpn-33.gif

Запустите Cisco AnyConnect VPN Client – Mac OS X

От Средства поиска — Приложения> Cisco AnyConnect VPN Client

Примечание: См. приложение E для дополнительной настройки профиля клиента AnyConnect.

Новое соединение

Окно AC появляется. (См. рисунок 37.).

Рисунок 37: новое VPN-подключение

cac-anyconnect-vpn-37.gif

  1. Выберите соответствующий хост, если AC автоматически не пробует соединение.

  2. Введите PIN-код, когда предложено. Посмотрите рисунок 38.

    Рисунок 38: введите PIN-код

    cac-anyconnect-vpn-38.gif

Запустите удаленный доступ

  1. Выберите группу и хост, с которым вы хотите соединиться.

  2. Так как сертификаты используются, выбирают Connect для установления VPN. Посмотрите рисунок 39.

    Примечание: Так как соединение использует сертификаты, не требуется для ввода имени пользователя и пароля.

    Рисунок 39: соединение

    cac-anyconnect-vpn-39.gif

    Примечание: См. приложение E для дополнительной настройки профиля клиента AnyConnect.

Приложение A – сопоставление LDAP и DAP

В выпуске 7.1 (x) ASA/PIX и позже, звонила функция, сопоставление LDAP было представлено. Это - мощная функция, которая предоставляет сопоставление между атрибутом Cisco и объектами/атрибутом LDAP, который инвертирует потребность в изменении схемы LDAP. Для реализации аутентификации CAC это может поддержать дополнительную принудительную политику на соединении удаленного доступа. Это примеры сопоставления LDAP. Знайте, что вы требуете прав администратора для внесения изменений в AD/СЕРРЕРЕ LDAP. В ASA 8.x программное обеспечение, была представлена функция политики динамического доступа (DAP). DAP может работать в сочетании с CAC для рассмотрения множественных AD групп, а также политики толчка, ACL и т.д.

Сценарий 1: Реализация Active Directory с помощью Коммутации разрешений удаленного доступа – Разрешает/Запрещает Доступ

Данный пример сопоставляет AD атрибут msNPAllowDailin с CVPN3000-протоколом-туннелирования атрибута Cisco-.

  • AD значение атрибута: ИСТИННЫЙ = Позволяют; ЛОЖЬ = Запрещает

  • Значение атрибута Cisco: 1 = ЛОЖЬ, 4 (IPSec) или 20 (4 IPSEC + 16 WebVPN) = ПРАВДА,

Для ПОЗВОЛЯЮТ условие, вы сопоставляете:

  • ИСТИННЫЙ = 20

Для ЗАПРЕЩАЮТ условие наборного (телефонный) доступа, вы сопоставляете:

  • ЛОЖЬ = 1

Примечание: Удостоверьтесь, что ИСТИНА И ЛОЖЬ находится всеми заглавными буквами. Обратитесь к Настройке Внешний сервер для Авторизации пользователя на устройстве безопасности для получения дополнительной информации.

Настройка Active Directory

  1. В Сервере Active Directory нажмите Start> Run.

  2. В открытом текстовом поле введите dsa.msc, тогда нажимают Ok. Это запускает консоль управления Active Directory.

  3. В консоли управления Active Directory нажмите знак "плюс" для расширения Пользователей и компьютеров Active Directory.

  4. Нажмите знак "плюс" для расширения доменного имени.

  5. Если вам создали OU для пользователей, разворачиваете OU для просмотра всех пользователей; если вы имеете всех пользователей, назначенных в Папке Пользователи, разворачиваете ту папку для просмотра их. Посмотрите рисунок A1.

    Рисунок A1: консоль управления Active Directory

    /image/gif/paws/107051/cac-anyconnect-vpn-40.gif

  6. Двойное нажатие на пользователе, которого вы хотите отредактировать.

    Щелкните по Вкладке наборный (телефонный) доступ на странице свойств пользователя и щелкните, позволяют или запрещают. Посмотрите рисунок A2.

    Рисунок A2: свойства пользователя

    cac-anyconnect-vpn-41.gif

  7. Затем нажмите кнопку ОК.

Конфигурация ASA

  1. В ASDM выберите Remote Access VPN> AAA Setup> LDAP Attribute Map.

  2. Нажмите Add.

  3. В окне Add LDAP Attribute Map выполните эти шаги. Посмотрите рисунок A3.

    Рисунок A3: добавление карты атрибутов LDAP

    cac-anyconnect-vpn-42.gif

    1. Введите имя в текстовом поле Name.

    2. Во Вкладке имени карты введите msNPAllowDialin в Текстовом поле для имени заказчика.

    3. Во Вкладке имени карты выберите Tunneling-Protocols в выпадающей опции на Название Cisco.

    4. Нажмите Add.

    5. Выберите вкладку Map Value.

    6. Нажмите Add.

    7. В окне Add Attribute LDAP Map Value введите ИСТИННЫЙ в Текстовом поле для имени заказчика и введите 20 в текстовом поле значения Cisco.

    8. Нажмите Add.

    9. Введите ЛОЖЬ в Текстовом поле для имени заказчика и введите 1 в текстовом поле значения Cisco. Посмотрите рисунок A4.

      /image/gif/paws/107051/cac-anyconnect-vpn-43.gif

    10. Нажмите кнопку ОК.

    11. Нажмите кнопку ОК.

    12. Нажмите кнопку Apply.

    13. Конфигурация должна быть похожей на рисунок A5.

      Рисунок A5: конфигурация Карты атрибутов LDAP

      /image/gif/paws/107051/cac-anyconnect-vpn-44.gif

  4. Выберите Remote Access VPN> AAA Setup> AAA Server Groups. Посмотрите рисунок A6.

    Рисунок A6: группы AAA-серверов

    cac-anyconnect-vpn-45.gif

  5. Щелкните по группе серверов, которую вы хотите отредактировать. В Серверах в Выбранном групповом разделе выберите IP-адрес сервера или имя хоста, и затем нажмите Edit.

  6. В Окне для редактирования сервера AAA, в текстовом поле Карты атрибутов LDAP, выбирают Карту атрибутов LDAP, созданную в раскрывающемся меню. Посмотрите рисунок A7

    Рисунок A7: добавление карты атрибутов LDAP

    cac-anyconnect-vpn-46.gif

  7. Нажмите кнопку ОК.

Примечание: Включите отладку LDAP, в то время как вы тестируете, чтобы проверить, работают ли привязка LDAP и сопоставление атрибута должным образом. Посмотрите C Приложения для команд устранения проблем.

Сценарий 2: Реализация Active Directory с помощью Состава группы для Разрешения Доступа

Данный пример использует атрибут LDAP memberOf для сопоставления с атрибутом Протокола туннелирования для установления состава группы как условия. Для этой политики для работы у вас должны быть эти условия:

  • Используйте группу, которая уже существует, или создайте новую группу для пользователей VPN ASA, чтобы быть участником для, ПОЗВОЛЯЮТ условия.

  • Используйте группу, которая уже существует, или создайте новую группу для пользователей ASA non, чтобы быть участником для, ЗАПРЕЩАЮТ условия.

  • Удостоверьтесь, что зарегистрировались в средстве просмотра LDAP, что у вас есть правильный DN для группы. См. приложение D. Если DN является неправильным, сопоставление не работает должным образом.

Примечание: Знайте, что ASA может только считать первую строку атрибута memeberOf в этом выпуске. Удостоверьтесь, что новая созданная группа находится на вершине списка. Другая опция должна поместить специальный символ перед названием, поскольку AD посмотрел на специальные символы сначала. Для обхождения этого предупреждения используйте DAP в 8.x программное обеспечение для рассмотрения множественных групп.

Примечание: Удостоверьтесь, что пользователь является частью запрещать группы или по крайней мере одной другой группы так, чтобы memberOf всегда передали обратно ASA. Вы не должны указывать, что ЛОЖЬ запрещает условие, но оптимальный метод для этого. Если название существующей группы или имя группы содержат пространство, введите атрибут в этот способ:

CN=Backup Operators,CN=Builtin,DC=ggsgseclab,DC=org

Примечание: DAP позволяет ASA посмотреть на множественные группы в атрибуте memberOf и основной авторизации от групп. Посмотрите раздел DAP.

СОПОСТАВЛЕНИЕ

  • AD значение атрибута:

    • memberOf CN=ASAUsers, CN=Users, DC=ggsgseclab, DC=org

    • memberOf CN=TelnetClients, CN=Users, DC=labrat, DC=com

  • Значение атрибута Cisco: 1 = ЛОЖЬ, 20 = ПРАВДА,

Для ПОЗВОЛЯЮТ условие, вы сопоставляете:

  • memberOf CN=ASAUsers, CN=Users, DC=ggsgseclab, DC=org = 20

Для ЗАПРЕЩАЮТ условие, вы сопоставляете:

  • memberOf CN=TelnetClients, CN=Users, DC=ggsgseclab, DC=org = 1

Примечание: В будущем выпуске существует атрибут Cisco, чтобы позволить и запретить соединение. Обратитесь к Настройке Внешний сервер для Авторизации пользователя на устройстве безопасности для получения дополнительной информации об атрибутах Cisco.

Настройка Active Directory

  1. В Сервере Active Directory выберите Start> Run.

  2. В открытом текстовом поле введите dsa.msc, и затем нажмите Ok. Это запускает консоль управления Active Directory.

  3. В консоли управления Active Directory нажмите знак "плюс" для расширения Пользователей и компьютеров Active Directory. Посмотрите рисунок A8

    Рисунок A8: группы Active Directory

    cac-anyconnect-vpn-47.gif

  4. Нажмите знак "плюс" для расширения доменного имени.

  5. Щелкните правой кнопкой мыши на Папке Пользователи и выберите New> Group.

  6. Введите имя группы. Например: : ASAUsers.

  7. Нажмите кнопку ОК.

  8. Щелкните по Папке Пользователи, и затем дважды нажмите на группе, которую вы просто создали.

  9. Выберите вкладку Members, и затем нажмите Add.

  10. Введите Имя пользователя, вы хотите добавить, и затем нажать Ok.

Конфигурация ASA

  1. В ASDM выберите Remote Access VPN> AAA Setup> LDAP Attribute Map.

  2. Нажмите Add.

  3. В окне Add LDAP Attribute Map выполните эти шаги. Посмотрите рисунок A3.

    1. Введите имя в текстовом поле Name.

    2. Во Вкладке имени карты введите memberOf в Текстовом поле для имени заказчика c.

    3. Во Вкладке имени карты выберите Tunneling-Protocols в выпадающей опции на Название Cisco.

    4. Выберите Add.

    5. Нажмите вкладку Map Value.

    6. Выберите Add.

    7. В окне Add Attribute LDAP Map Value введите CN=ASAUsers, CN=Users, DC=ggsgseclab, DC=org в Текстовом поле для имени заказчика и введите 20 в текстовом поле значения Cisco.

    8. Нажмите Add.

    9. Введите CN=TelnetClients, CN=Users, DC=ggsgseclab, DC=org в Текстовом поле для имени заказчика и введите 1 в текстовом поле значения Cisco. Посмотрите рисунок A4.

    10. Нажмите кнопку ОК.

    11. Нажмите кнопку ОК.

    12. Нажмите кнопку Apply.

    13. Конфигурация должна быть похожей на рисунок A9.

    Карта атрибутов LDAP рисунка A9

    cac-anyconnect-vpn-48.gif

  4. Выберите Remote Access VPN> AAA Setup> AAA Server Groups.

  5. Щелкните по группе серверов, которую вы хотите отредактировать. В Серверах в Выбранном групповом разделе выберите IP-адрес сервера или имя хоста, и затем нажмите Edit

    cac-anyconnect-vpn-49.gif

  6. В Окне для редактирования сервера AAA, в текстовом поле Карты атрибутов LDAP, выбирают Карту атрибутов LDAP, созданную в раскрывающемся меню.

  7. Нажмите кнопку ОК.

Примечание: Включите отладку LDAP, в то время как вы тестируете для подтверждения привязки LDAP, и сопоставления атрибута работают должным образом. Посмотрите C Приложения для команд устранения проблем.

Сценарий 3: Политика динамического доступа для Множественных Атрибутов memberOf

Данный пример использует DAP для рассмотрения множественных атрибутов memberOf для предоставления доступа, основанного прочь членства в Группе Active Directory. До 8.x, ASA только считал первый атрибут memberOf. С 8.x и позже, ASA может посмотреть на все атрибуты memberOf.

  • Используйте группу, которая уже существует, или создайте новую группу (или множественные группы) для пользователей VPN ASA, чтобы быть участником для ПОЗВОЛЯЮТ условия.

  • Используйте группу, которая уже существует, или создайте новую группу для пользователей ASA non, чтобы быть участником для, ЗАПРЕЩАЮТ условия.

  • Удостоверьтесь, что зарегистрировались в средстве просмотра LDAP, что у вас есть правильный DN для группы. См. приложение D. Если DN является неправильным, сопоставление не работает должным образом.

Конфигурация ASA

  1. В ASDM выберите Remote Access VPN> Network (Client) Access> Dynamic Access Policies.

  2. Нажмите Add.

  3. В Добавить политике динамического доступа выполните эти шаги:

    1. Введите имя в текстовом поле b Name.

    2. В приоритетном разделе войдите 1, или количество, больше, чем 0.

    3. В Условиях выбора нажмите Add.

    4. В Добавить AAA Attribute выберите LDAP.

    5. В разделе ID атрибута введите memberOf.

    6. В разделе значения выберите = и введите AD имя группы. Повторите этот шаг для каждой группы, на которую вы хотите сослаться. Посмотрите рисунок A10.

      Карта AAA Attribute рисунка A10

      cac-anyconnect-vpn-50.gif

    7. Нажмите кнопку ОК.

    8. В разделе Атрибутов Политики доступа, chooseContinue. Посмотрите рисунок A11.

      Рисунок A11 добавляет динамическую политику

      cac-anyconnect-vpn-51.gif

  4. В ASDM выберите Remote Access VPN> Network (Client) Access> Dynamic Access Policies.

  5. Выберите Default Access Policy и выберите Edit.

  6. Действие по умолчанию должно собираться Завершиться. Посмотрите рисунок A12.

    Рисунок A12 редактирует динамическую политику

    cac-anyconnect-vpn-52.gif

  7. Нажмите кнопку ОК.

Примечание: Если Оконечный не выбран, вам позволяют войти, даже если не в любых группах, потому что должен Продолжиться по умолчанию.

Приложение B – настройка интерфейса командной строки ASA

ASA 5510
ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname asa80
domain-name army.mil
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address x.x.x.x 255.255.255.128
!
interface GigabitEthernet0/1
nameif inside
security-level 100
no ip address
!
boot system disk0:/asa802-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name army.mil
!
--------------ACL's-------------------------------------------------
access-list out extended permit ip any any
--------------------------------------------------------------------
pager lines 24
logging console debugging
mtu outside 1500
!
---------------VPN Pool---------------------------------------------
ip local pool CAC-USERS 192.168.1.1-192.168.1.254 mask 255.255.255.0
--------------------------------------------------------------------
!
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
access-group out in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.120.129 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat
0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect
0:02:00
timeout uauth 0:05:00 absolute
!
--------------------------LDAP Maps & DAP---------------------------
ldap attribute-map memberOf
map-name memberOf Tunneling-Protocols
March 11, 2008 ASA – CAC Authentication for AnyConnect VPN Access
Company Confidential. A printed copy of this document is considered uncontrolled.
49
map-value memberOf CN=_ASAUsers,CN=Users,DC=ggsgseclab,DC=org 20
ldap attribute-map msNPAllowDialin
map-name msNPAllowDialin Tunneling-Protocols
map-value msNPAllowDialin FALSE 1
map-value msNPAllowDialin TRUE 20
dynamic-access-policy-record CAC-USERS
description "Multi-Group Membership Check"
priority 1
dynamic-access-policy-record DfltAccessPolicy
action terminate
--------------------------------------------------------------------
!
--------------------LDAP Server-------------------------------------
aaa-server AD-LDAP protocol ldap
aaa-server AD-LDAP (outside) host 172.18.120.160
ldap-base-dn CN=Users,DC=ggsgseclab,DC=org
ldap-scope onelevel
ldap-naming-attribute userPrincipalName
ldap-login-password *
ldap-login-dn CN=Administrator,CN=Users,DC=ggsgseclab,DC=org
--------------------------------------------------------------------
!
aaa authentication http console LOCAL
http server enable 445
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!
----------------CA Trustpoints--------------------------------------
crypto ca trustpoint ASDM_TrustPoint0
revocation-check ocsp
enrollment terminal
keypair DoD-1024
match certificate DefaultCertificateMap override ocsp trustpoint
ASDM_TrustPoint5 10 url http://ocsp.disa.mil
crl configure
crypto ca trustpoint ASDM_TrustPoint1
revocation-check ocsp
enrollment terminal
fqdn asa80
subject-name CN=asa80,OU=PKI,OU=DoD,O=U.S. Government,C=US
keypair DoD-1024
match certificate DefaultCertificateMap override ocsp trustpoint
ASDM_TrustPoint5 10 url http://ocsp.disa.mil
no client-types
crl configure
crypto ca trustpoint ASDM_TrustPoint2
revocation-check ocsp
enrollment terminal
keypair DoD-2048
match certificate DefaultCertificateMap override ocsp trustpoint
ASDM_TrustPoint5 10 url http://ocsp.disa.mil
no client-types
crl configure
crypto ca trustpoint ASDM_TrustPoint3
revocation-check ocsp none
enrollment terminal
crl configure
!
-------------------Certificate Map-------------------------------
crypto ca certificate map DefaultCertificateMap 10
subject-name ne ""
--------------------CA Certificates (Partial Cert is Shown)------------
crypto ca certificate chain ASDM_TrustPoint0
certificate ca 37
3082044c 30820334 a0030201 02020137 300d0609 2a864886 f70d0101
05050030
60310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53
2e20476f
7665726e 6d656e74 310c300a 06035504 0b130344 6f44310c 300a0603
55040b13
03504b49 311b3019 06035504 03131244 6f44204a 49544320 526f6f74
crypto ca certificate chain ASDM_TrustPoint1
certificate 319e
30820411 3082037a a0030201 02020231 9e300d06 092a8648 86f70d01
01050500
305c310b 30090603 55040613 02555331 18301606 0355040a 130f552e
532e2047
6f766572 6e6d656e 74310c30 0a060355 040b1303 446f4431 0c300a06
0355040b
crypto ca certificate chain ASDM_TrustPoint2
certificate ca 37
3082044c 30820334 a0030201 02020137 300d0609 2a864886 f70d0101
05050030
60310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53
2e20476f
7665726e 6d656e74 310c300a 06035504 0b130344 6f44310c 300a0603
55040b13
f766e045 f15ddb43 9549d1e9 a0ea6814 b64bcece 089e1b6e 1be959a5
6fc20a76
crypto ca certificate chain ASDM_TrustPoint3
certificate ca 05
30820370 30820258 a0030201 02020105 300d0609 2a864886 f70d0101
05050030
5b310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53
2e20476f
7665726e 6d656e74 310c300a 06035504 0b130344 6f44310c 300a0603
55040b13
03504b49 31163014 06035504 03130d44 6f442052 6f6f7420 43412032
301e170d
30343132 31333135 30303130 5a170d32 39313230 35313530 3031305a
305b310b
30090603 55040613 02555331 18301606 0355040a 130f552e 532e2047
6f766572
6e6d656e 74310c30 0a060355 040b1303 446f4431 0c300a06 0355040b
1303504b
49311630 14060355 0403130d 446f4420 526f6f74 20434120 32308201
crypto ca certificate chain ASDM_TrustPoint4
certificate ca 04
30820267 308201d0 a0030201 02020104 300d0609 2a864886 f70d0101
05050030
61310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53
2e20476f
7665726e 6d656e74 310c300a 06035504 0b130344 6f44310c 300a0603
55040b13
03504b49 311c301a 06035504 03131344 6f442043 4c415353 20332052
6f6f7420
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
!
-------------------------SSL/WEBVPN------------------------------------
ssl certificate-authentication interface outside port 443
webvpn
enable outside
svc image disk0:/anyconnect-win-2.0.0343-k9.pkg 1
svc enable
tunnel-group-list enable
--------------------------------------------------------------------
-----------------------VPN Group/Tunnel Policy--------------------
group-policy CAC-USERS internal
ggroup-policy AC-USERS internal
group-policy AC-USERS attributes
vpn-tunnel-protocol svc
address-pools value CAC-USERS
webvpn
svc ask none default svc
tunnel-group AC-USERS type remote-access
tunnel-group AC-USERS general-attributes
authorization-server-group AD-LDAP
default-group-policy AC-USERS
authorization-required
authorization-dn-attributes UPN
tunnel-group AC-USERS webvpn-attributes
authentication certificate
group-alias AC-USERS enable
tunnel-group-map enable rules
no tunnel-group-map enable ou
no tunnel-group-map enable ike-id
no tunnel-group-map enable peer-ip
--------------------------------------------------------------------
prompt hostname context

Приложение устранение проблем C-

Устранение проблем AAA и LDAP

  • debug ldap 255 — Обмены LDAP Показов

  • debug aaa общие 10 — Отображает обмены AAA

Пример 1 : Позволенное Соединение с корректным сопоставлением атрибута

Данный пример показывает выходные данные ldap отладки и debug aaa, распространенного во время успешного подключения со сценарием 2, показанным в Приложение A.

Рисунок C1: LDAP отладки и debug aaa общие выходные данные – корректное сопоставление
AAA API: In aaa_open
AAA session opened: handle = 39
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction
Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:
[78] Session Start
[78] New request Session, context 0x26f1c44, reqType = 0
[78] Fiber started
[78] Creating LDAP context with uri=ldap:// 172.18.120.160:389
[78] Binding as administrator
[78] Performing Simple authentication for Administrator to
172.18.120.160
[78] Connect to LDAP server: ldap:// 172.18.120.160, status =
Successful
[78] LDAP Search:
Base DN = [CN=Users,DC=ggsgseclab,DC=org]
Filter = [userPrincipalName=1234567890@mil]
Scope = [SUBTREE]
[78] Retrieved Attributes:
[78] objectClass: value = top
[78] objectClass: value = person
[78] objectClass: value = organizationalPerson
[78] objectClass: value = user
[78] cn: value = Ethan Hunt
[78] sn: value = Hunt
[78] userCertificate: value =
0..50........../........60...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[78] userCertificate: value =
0..'0........../..t.....50...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[78] givenName: value = Ethan
[78] distinguishedName: value = CN=Ethan
Hunt,OU=MIL,DC=labrat,DC=com
[78] instanceType: value = 4
[78] whenCreated: value = 20060613151033.0Z
[78] whenChanged: value = 20060622185924.0Z
[78] displayName: value = Ethan Hunt
[78] uSNCreated: value = 14050
[78] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[78] mapped to cVPN3000-Tunneling-Protocols: value = 20
[78] uSNChanged: value = 14855
[78] name: value = Ethan Hunt
[78] objectGUID: value = ..9...NJ..GU..z.
[78] userAccountControl: value = 66048
[78] badPwdCount: value = 0
[78] codePage: value = 0
[78] countryCode: value = 0
[78] badPasswordTime: value = 127954717631875000
[78] lastLogoff: value = 0
[78] lastLogon: value = 127954849209218750
[78] pwdLastSet: value = 127946850340781250
[78] primaryGroupID: value = 513
[78] objectSid: value = ................q......mY...
[78] accountExpires: value = 9223372036854775807
[78] logonCount: value = 25
[78] sAMAccountName: value = 1234567890
[78] sAMAccountType: value = 805306368
[78] userPrincipalName: value = 1234567890@mil
[78] objectCategory: value =
[78] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
[78] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[78] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(CAC-USERS)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USER
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status =
ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes:
1 Tunnelling-Protocol(4107) 20 20
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10
"CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (39)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop
CAC-Test#

Пример 2: Позволенное Соединение с неверном настроенным сопоставление атрибута Cisco

Данный пример показывает выходные данные ldap отладки и debug aaa, распространенного во время позволенного соединения со сценарием 2, показанным в Приложение A.

Рисунок C2: LDAP отладки и debug aaa общие выходные данные – неверное отображение
AAA API: In aaa_open
AAA session opened: handle = 41
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction
Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:
[82] Session Start
[82] New request Session, context 0x26f1c44, reqType = 0
[82] Fiber started
[82] Creating LDAP context with uri=ldap://172.18.120.160:389
[82] Binding as administrator
[82] Performing Simple authentication for Administrator to
172.18.120.160
[82] Connect to LDAP server: ldap:// 172.18.120.160:389, status =
Successful
[82] LDAP Search:
Base DN = [CN=Users,DC=ggsgseclab,DC=org]
Filter = [userPrincipalName=1234567890@mil]
Scope = [SUBTREE]
[82] Retrieved Attributes:
[82] objectClass: value = top
[82] objectClass: value = person
[82] objectClass: value = organizationalPerson
[82] objectClass: value = user
[82] cn: value = Ethan Hunt
[82] sn: value = Hunt
[82] userCertificate: value =
0..50........../........60...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] userCertificate: value =
0..'0........../..t.....50...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] givenName: value = Ethan
[82] distinguishedName: value = CN=Ethan
Hunt,OU=MIL,DC=labrat,DC=com
[82] instanceType: value = 4
[82] whenCreated: value = 20060613151033.0Z
[82] whenChanged: value = 20060622185924.0Z
[82] displayName: value = Ethan Hunt
[82] uSNCreated: value = 14050
[82] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] mapped to cVPN3000-Tunneling-Protocols: value =
CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] uSNChanged: value = 14855
[82] name: value = Ethan Hunt
[82] objectGUID: value = ..9...NJ..GU..z.
[82] userAccountControl: value = 66048
[82] badPwdCount: value = 0
[82] codePage: value = 0
[82] countryCode: value = 0
[82] badPasswordTime: value = 127954717631875000
[82] lastLogoff: value = 0
[82] lastLogon: value = 127954849209218750
[82] pwdLastSet: value = 127946850340781250
[82] primaryGroupID: value = 513
[82] objectSid: value = ................q......mY...
[82] accountExpires: value = 9223372036854775807
[82] logonCount: value = 25
[82] sAMAccountName: value = 1234567890
[82] sAMAccountType: value = 805306368
[82] userPrincipalName: value = 1234567890@mil
[82] objectCategory: value =
CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org
[82] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
[82] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[82] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(USAFE)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USERS
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status =
ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes:
1 Tunnelling-Protocol(4107) 20 0
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10
"CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (41)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

Устранение проблем DAP

  • отладьте dap ошибки — Отображает ошибки DAP

  • отладьте след dap — след функции Displays DAP

Пример 1 : Позволенное соединение с DAP

Данный пример показывает выходные данные отладки dap ошибки и отладка dap след во время успешного подключения со сценарием 3, показанным в Приложение A. Заметьте множественные атрибуты memberOf. Можно принадлежать и _ASAUsers и VPNUsers или tp любая группа, которая зависит от config ASA.

Рисунок C3: DAP отладки
#debug dap errors
debug dap errors enabled at level 1
#debug dap trace
debug dap trace enabled at level 1
#
The DAP policy contains the following attributes for user:
1241879298@mil
-----------------------------------------------------------------------
---
1: action = continue
DAP_TRACE: DAP_open: C8EEFA10
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.1 = top
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.2 = person
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.3 =
organizationalPerson
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.4 = user
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.cn = 1241879298
DAP_TRACE: Username: 1241879298@mil,
aaa.ldap.physicalDeliveryOfficeName = NETADMIN
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.givenName = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.distinguishedName =
CN=1241879298,CN=Users,DC=ggsgseclab,DC=org
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.instanceType = 4
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.whenCreated =
20070626163734.0Z
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.whenChanged =
20070718151143.0Z
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.displayName = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.uSNCreated = 33691
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.memberOf.1 = VPNUsers
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.memberOf.2 = _ASAUsers
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.uSNChanged = 53274
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.department = NETADMIN
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.name = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectGUID =
....+..F.."5....
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userAccountControl =
328192
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.badPwdCount = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.codePage = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.countryCode = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.badPasswordTime = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.lastLogoff = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.lastLogon = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.pwdLastSet =
128273494546718750
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.primaryGroupID = 513
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userParameters = m:
d.
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectSid = ..
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.accountExpires =
9223372036854775807
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.logonCount = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.sAMAccountName =
1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.sAMAccountType =
805306368
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userPrincipalName =
1241879298@mil
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectCategory =
CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.msNPAllowDialin = TRUE
DAP_TRACE: Username: 1241879298@mil, aaa.cisco.username =
1241879298@mil
DAP_TRACE: Username: 1241879298@mil, aaa.cisco.tunnelgroup = CAC-USERS
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["1"] = "top";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["2"] =
"person";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["3"] =
"organizationalPerson";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["4"] =
"user";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["cn"] = "1241879298";
DAP_TRACE:
dap_add_to_lua_tree:aaa["ldap"]["physicalDeliveryOfficeName"] =
"NETADMIN";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["givenName"] = "1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["distinguishedName"] =
"CN=1241879298,CN=Users,DC=ggsgseclab,DC=org";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["instanceType"] = "4";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["whenCreated"] =
"20070626163734.0Z";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["whenChanged"] =
"20070718151143.0Z";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["displayName"] =
"1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["uSNCreated"] = "33691";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["memberOf"]["1"] =
"VPNUsers";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["memberOf"]["2"] =
"_ASAUsers";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["uSNChanged"] = "53274";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["department"] = "NETADMIN";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["name"] = "1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectGUID"] contains
binary data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userAccountControl"] =
"328192";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["badPwdCount"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["codePage"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["countryCode"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["badPasswordTime"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["lastLogoff"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["lastLogon"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["pwdLastSet"] =
"128273494546718750";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["primaryGroupID"] = "513";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userParameters"] contains
binary data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectSid"] contains binary
data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["accountExpires"] =
"9223372036854775807";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["logonCount"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["sAMAccountName"] =
"1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["sAMAccountType"] =
"805306368";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userPrincipalName"] =
"1241879298@mil";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectCategory"] =
"CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["msNPAllowDialin"] = "TRUE";
DAP_TRACE: dap_add_to_lua_tree:aaa["cisco"]["username"] =
"1241879298@mil";
DAP_TRACE: dap_add_to_lua_tree:aaa["cisco"]["tunnelgroup"] = "CACUSERS";
DAP_TRACE: dap_add_to_lua_tree:endpoint["application"]["clienttype"] =
"IPSec";
DAP_TRACE: Username: 1241879298@mil, Selected DAPs: CAC-USERS
DAP_TRACE: dap_request: memory usage = 33%
DAP_TRACE: dap_process_selected_daps: selected 1 records
DAP_TRACE: Username: 1241879298@mil, dap_aggregate_attr: rec_count = 1
DAP_TRACE: Username: 1241879298@mil, DAP_close: C8EEFA10
d.

Пример 2: Запрещенное соединение с DAP

Пример Thia показывает выходные данные отладки dap ошибки и отладка dap след во время неуспешного соединения со сценарием 3, показанным в Приложение A.

Рисунок C4: DAP отладки
#debug dap errors
debug dap errors enabled at level 1
#debug dap trace
debug dap trace enabled at level 1
#
The DAP policy contains the following attributes for user:
1241879298@mil
-----------------------------------------------------------------------
---
1: action = terminate
DAP_TRACE: DAP_open: C91154E8
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.1 = top
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.2 = person
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.3 =
organizationalPerson
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectClass.4 = user
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.cn = 1241879298
DAP_TRACE: Username: 1241879298@mil,
aaa.ldap.physicalDeliveryOfficeName = NETADMIN
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.givenName = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.distinguishedName =
CN=1241879298,CN=Users,DC=ggsgseclab,DC=org
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.instanceType = 4
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.whenCreated =
20070626163734.0Z
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.whenChanged =
20070718151143.0Z
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.displayName = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.uSNCreated = 33691
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.memberOf = DnsAdmins
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.uSNChanged = 53274
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.department = NETADMIN
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.name = 1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectGUID =
....+..F.."5....
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userAccountControl =
328192
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.badPwdCount = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.codePage = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.countryCode = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.badPasswordTime = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.lastLogoff = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.lastLogon = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.pwdLastSet =
128273494546718750
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.primaryGroupID = 513
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userParameters = m:
d.
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectSid = ..
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.accountExpires =
9223372036854775807
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.logonCount = 0
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.sAMAccountName =
1241879298
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.sAMAccountType =
805306368
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.userPrincipalName =
1241879298@mil
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.objectCategory =
CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org
DAP_TRACE: Username: 1241879298@mil, aaa.ldap.msNPAllowDialin = TRUE
DAP_TRACE: Username: 1241879298@mil, aaa.cisco.username =
1241879298@mil
DAP_TRACE: Username: 1241879298@mil, aaa.cisco.tunnelgroup = CAC-USERS
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["1"] = "top";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["2"] =
"person";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["3"] =
"organizationalPerson";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectClass"]["4"] =
"user";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["cn"] = "1241879298";
DAP_TRACE:
dap_add_to_lua_tree:aaa["ldap"]["physicalDeliveryOfficeName"] =
"NETADMIN";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["givenName"] = "1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["distinguishedName"] =
"CN=1241879298,CN=Users,DC=ggsgseclab,DC=org";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["instanceType"] = "4";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["whenCreated"] =
"20070626163734.0Z";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["whenChanged"] =
"20070718151143.0Z";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["displayName"] =
"1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["uSNCreated"] = "33691";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["memberOf"] = "DnsAdmins";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["uSNChanged"] = "53274";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["department"] = "NETADMIN";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["name"] = "1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectGUID"] contains
binary data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userAccountControl"] =
"328192";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["badPwdCount"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["codePage"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["countryCode"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["badPasswordTime"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["lastLogoff"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["lastLogon"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["pwdLastSet"] =
"128273494546718750";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["primaryGroupID"] = "513";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userParameters"] contains
binary data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectSid"] contains binary
data
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["accountExpires"] =
"9223372036854775807";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["logonCount"] = "0";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["sAMAccountName"] =
"1241879298";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["sAMAccountType"] =
"805306368";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["userPrincipalName"] =
"1241879298@mil";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["objectCategory"] =
"CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org";
DAP_TRACE: dap_add_to_lua_tree:aaa["ldap"]["msNPAllowDialin"] = "TRUE";
DAP_TRACE: dap_add_to_lua_tree:aaa["cisco"]["username"] =
"1241879298@mil";
DAP_TRACE: Username: 1241879298@mil, Selected DAPs:
DAP_TRACE: dap_request: memory usage = 33%
DAP_TRACE: dap_process_selected_daps: selected 0 records
DAP_TRACE: Username: 1241879298@mil, dap_aggregate_attr: rec_count = 1

Устранение проблем центра сертификации / OCSP

  • debug crypto ca 3

  • В режиме конфигурации — регистрация класса приблизительно консоль (или буфер) отладка

Эти примеры показывают успешное подтверждение сертификата с респондентом OCSP и отказавшей группой сертификата соответствующая политика.

Рисунок C3 показывает выходные данные отладки, которые имеют проверенный сертификат и группу рабочего диплома, совпадающую с Политикой.

Рисунок C4 показывает выходные данные отладки группы сертификата неверна настроенного соответствующая политика.

Рисунок C5 показывает выходные данные отладки пользователя с отозванным сертификатом.

Рисунок C5: OCSP, отлаживающий – успешное подтверждение сертификата
CRYPTO_PKI: Found a suitable authenticated trustpoint
ASDM_TrustPoint11.
CRYPTO_PKI: Allocated OCSP data handle 0xca2d27b8
CRYPTO_PKI: Certificate validation: Successful, status: 0. Attempting
to retrieve revocation status if necessary
CRYPTO_PKI: status = 0: poll revocation status
CRYPTO_PKI: Attempting to find OCSP override for peer cert: serial
number: 0F192B, subject name:
cn=MCGINTY.JIMMY.1160139435,ou=USN,ou=PKI,ou=DoD,o=U.S.
Government,c=US, issuer_name: cn=DOD JITC EMAIL CA-
15,ou=PKI,ou=DoD,o=U.S. Government,c=US.
CRYPTO_PKI: Processing map rules for SSL.
CRYPTO_PKI: Processing map SSL sequence 20...
CRYPTO_PKI: Match of subject-name field to map PASSED. Peer cert field:
= cn=MCGINTY.JIMMY.1160139435,ou=USN,ou=PKI,ou=DoD,o=U.S.
Government,c=US, map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: SSL sequence: 20.
CRYPTO_PKI: Found OCSP override match. Override URL:
http://198.154.68.90, Override trustpoint: ASDM_TrustPoint12
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Destroying OCSP data handle 0xca2d27b8
Crypto CA thread sleeps!
CRYPTO_PKI: Attempting to find tunnel group for cert with serial
number: 0F192B, subject name:
cn=MCGINTY.JIMMY.1160139435,ou=USN,ou=PKI,ou=DoD,o=U.S.
Government,c=US, issuer_name: cn=DOD JITC EMAIL CA-
15,ou=PKI,ou=DoD,o=U.S. Government,c=US.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. Peer cert field:
= cn=MCGINTY.JIMMY.1160139435,ou=USN,ou=PKI,ou=DoD,o=U.S.
Government,c=US, map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
sequence: 10.
CRYPTO_PKI: Ignoring match on map DefaultCertificateMap, index 10 for
WebVPN group map processing. No tunnel group is configured.
CRYPTO_PKI: Peer cert could not be authorized with map:
DefaultCertificateMap.
CRYPTO_PKI: Processing map rules for SSL.
CRYPTO_PKI: Processing map SSL sequence 20...
CRYPTO_PKI: Match of subject-name field to map PASSED. Peer cert field:
= cn=MCGINTY.JIMMY.1160139435,ou=USN,ou=PKI,ou=DoD,o=U.S.
Government,c=US, map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: SSL sequence: 20.
CRYPTO_PKI: Ignoring match on map SSL, index 20 for WebVPN group map

Рисунок C5: Выходные данные отказавшей группы сертификата соответствующая политика

Рисунок C5: Выходные данные отозванного сертификата
n %PI=X-3-7E17t02h7a Certinf icaHtue cnhta,in faioled uvalidation=.
CMertifiIcLa,ted ccha=inl ais eibtrhaer tin,valdid cor =noct
oamuthori,zed.
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. Attempting
to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert: serial
number: 2FB5FC74000000000035, subject name: cn=Ethan
Hunt,ou=MIL,dc=ggsgseclab,dc=org, issuer_name:
cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. Peer cert field:
= cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, map rule: subject-name
ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL:
http://ocsp.disa.mil, Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
ERROR: Certificate validation failed, Certificate is revoked, serial
number: 2FB5FC74000000000035, subject name: cn=Ethan
Hunt,ou=MIL,dc=ggsgseclab,dc=org
CRYPTO_PKI: Certificate not validated

Приложение D – проверяет объекты LDAP в MS

В CD сервера Microsoft 2003 года существуют дополнительные программные средства, которые могут быть установлены для просмотра структуры LDAP, а также объектов/атрибутов LDAP. Для установки этих программных средств перейдите к каталогу Support в CD и затем Программных средствах. Установка SUPTOOLS.MSI.

Средство просмотра LDAP

  • После установки выберите Start> Run.

  • Введите ldp, затем нажмите Ok. Это запускает средство просмотра LDAP.

  • Выберите Connection> Connect.

  • Введите имя сервера и затем нажмите Ok.

  • Выберите Connection> Bind.

  • Введите имя пользователя и пароль.

    Примечание: Вы требуете прав администратора.

  • Нажмите кнопку ОК.

  • Обзорные объекты LDAP. Посмотрите рисунок D1.

    Рисунок D1: средство просмотра LDAP

    cac-anyconnect-vpn-53.gif

Редактор интерфейса Active Directory Services

  • В Сервере Active Directory выберите Start> Run.

  • Введите adsiedit.msc. Это запускает редактора.

  • Щелкните правой кнопкой по объекту и нажмите Properties.

Это программное средство показывает все атрибуты для конкретных объектов. Посмотрите рисунок D2.

Рисунок D2: ADSI редактирует

cac-anyconnect-vpn-54.gif

Приложение E

Профиль AnyConnect может быть создан и добавлен к рабочей станции. Профиль может сослаться на различные значения, такие как хосты ASA или сертификат соответствующие параметры, такие как составное имя или отправитель. Профиль сохранен как файл .xml и может быть изменен с Блокнотом. Файл может быть добавлен к каждому клиенту вручную или выдвинут от ASA до групповой политики. Файл хранится в:

C:\Documents and Settings\All Users\Application Data\Cisco\Cisco
AnyConnect VPN Client\Profile

Выполните следующие действия:

  1. Выберите AnyConnectProfile.tmpl и откройте файл с Блокнотом.

  2. Сделайте соответствующие модификации к файлу, такие как отправитель или IP - адрес хоста. Посмотрите рисунок F1, например.

  3. По окончании сохраните файл как .xml.

Это - выборка XML-файла Профиля Cisco AnyConnect VPN Client.

Сошлитесь на документацию AnyConnect Cisco в отношении управления профиля. Короче говоря:

  • Профиль должен быть уникально назван по имени Компании. Пример: CiscoProfile.xml

  • Имя профиля должно быть тем же даже если другой для отдельной группы в компании.

Этот файл предназначен, чтобы быть поддержанным администратором Защищенного шлюза и затем распределенным с клиентским программным обеспечением. Профиль на основе этого XML может быть распределен клиентам в любое время. Поддерживаемые механизмы распределения как связанный файл с распространением программного обеспечения или как часть автоматического механизма загрузок. Автоматический механизм загрузок, только доступный с определенными, некоторый Шлюзами продукт Cisco Secure.

Примечание: Администраторы строго поощрены проверить профиль XML, который они создают с использованием онлайнового программного средства проверки или через функциональность импорта профиля в ASDM. Проверка может быть выполнена с AnyConnectProfile.xsd, найденным в этом каталоге. AnyConnectProfile является корневым элементом, который представляет Профиль Клиента AnyConnect.

xml version="1.0" encoding="UTF-8" 
- - <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/
AnyConnectProfile.xsd">

!--- The ClientInitialization section represents global settings
!---  for the client. In some cases, for example, BackupServerList, host specific 
!--- overrides are possible.
!--

-->
- <ClientInitialization>

!--- The Start Before Logon feature can be used to activate 
!--- the VPN as part of the logon sequence.
!--- UserControllable: Does the administrator of this profile allow the user 
!--- to control this attribute for their own use. Any user setting 
!--- associated with this attribute is stored elsewhere.


-->
<UseStartBeforeLogon UserControllable="false">false</UseStartBeforeLogon>

!--- This control enables an administrator to have a one time 
!--- message displayed prior to a users first connection attempt. As an
!--- example, the message can be used to remind a user to insert their smart
!--- card into its reader.
!--- The message to be used with this control is localizable and can be
!--- found in the AnyConnect message catalog.
!--- (default: "This is a pre-connect reminder message.")




<ShowPreConnectMessage>false</ShowPreConnectMessage>

!-- This section enables the definition of various attributes 
!--- that can be used to refine client certificate selection.


-->
- <CertificateMatch>

!--- Certificate Distinguished Name matching allows for exact
!--- match criteria in the choosing of acceptable client
!--- certificates.


- <DistinguishedName>
- <DistinguishedNameDefinition Operator="Equal" Wildcard="Disabled">
<Name>ISSUER-CN</Name>
<Pattern>DoD-Issuer-ABC</Pattern>
</DistinguishedNameDefinition>
</DistinguishedName>
</CertificateMatch>
</ClientInitialization>
- 
!-- This section contains the list of hosts from which 
!---  the user is able to select.

- <ServerList>



!--- This is the data needed to attempt a connection to a specific
!--- host.

-->
- <HostEntry>
<HostName>host-02</HostName>
<HostAddress>host-02.dod.gov</HostAddress>
</HostEntry>
- <HostEntry>
<HostName>host-01</HostName>
<HostAddress>192.168.1.1</HostAddress>
</HostEntry>
</ServerList>
</AnyConnectProfile>

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 107051