Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

PIX/ASA 7.X : CAC - проверка подлинности смарт-карт для Cisco VPN Client

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (12 ноября 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации на устройстве адаптивной защиты Cisco (ASA) для сетевого удаленного доступа с картой общего доступа (CAC) для аутентификации.

Область этого документа покрывает конфигурацию Cisco ASA с Менеджером устройств адаптивной безопасности (ASDM) (ASDM), Cisco VPN Client и Microsoft Active Directory (AD) / Протокол LDAP.

Конфигурация в этом руководстве использует Microsoft AD/LDAP server. Этот документ также покрывает дополнительные характеристики, такие как OCSP и Карты атрибутов LDAP.

Предварительные условия

Требования

Базовые знания о Cisco ASA, Cisco VPN Client, Microsoft AD/LDAP и Инфраструктуре открытых ключей (PKI) выгодны для понимания завершенной настройки. Знакомство с AD составом группы и свойствами пользователя, а также объектами LDAP помогает коррелировать процесс авторизации между атрибутами сертификата и объектами AD/LDAP.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройство адаптивной защиты (ASA) серии 5500 Cisco, которое выполняет Версию программного обеспечения 7.2 (2)

  • Cisco Adaptive Security Device Manager (ASDM) версия 5.2 (1)

  • Cisco VPN Client 4. x

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Конфигурация Cisco ASA

Этот раздел покрывает конфигурацию Cisco ASA через ASDM. Это покрывает обязательные действия для развертывания туннеля удаленного доступа VPN посредством IP - безопасного соединения. Сертификат CAC используется для аутентификации, и атрибут главного имени пользователя (UPN) в сертификате заполнен в Active Directory для авторизации.

Вопросы развертывания

  • Это руководство НЕ покрывает базовые конфигурации, такие как интерфейсы, DNS, NTP, маршрутизация, доступ к устройству или доступ ASDM, и т.д. Предполагается, что оператор сети знаком с этими конфигурациями.

    Для получения дополнительной информации обратитесь к Многофункциональным Устройствам безопасности.

  • Некоторые разделы являются обязательными конфигурациями, необходимыми для основного доступа VPN. Например, VPN-туннель может быть настройкой с картой CAC без проверок OCSP, проверок сопоставлений LDAP. DoD передает под мандат проверку OCSP, но туннель работает без настроенного OCSP.

  • Основной требуемый образ ASA/PIX 7.2 (2) и ASDM 5.2 (1), но это руководство использует промежуточную конструкцию 7.2.2.10 и ASDM 5.2.2.54.

  • Никакое изменение схемы LDAP не необходимо.

  • Посмотрите Приложение A для LDAP и примеры сопоставления политики динамического доступа для дополнительной принудительной политики.

  • См. Приложение D о том, как проверить объекты LDAP в MS.

  • Посмотрите раздел "Дополнительных сведений" для списка RFC.

Аутентификация, авторизация, бухгалтерская (AAA) конфигурация

Пользователи заверены с сертификатом в их карте общего доступа (CAC) через Сервер Центра сертификации (CA) DISA или сервер CA их собственных организаций. Сертификат должен быть допустимым для удаленного доступа к сети. В дополнение к аутентификации пользователи должны также авторизоваться с объектом Microsoft Active Directory или Протокола LDAP. Отдел защиты (DoD) требует использования атрибута главного имени пользователя (UPN) для авторизации, которая является частью раздела альтернативного имени субъекта (SAN) сертификата. UPN или EDI/PI должны быть в этом формате – 1234567890@mil. Конфигурации ниже показа, как настроить AAA-сервер в ASA с Сервером LDAP для авторизации. Посмотрите Приложение A для дополнительных настроек с сопоставлением объекта LDAP.

Настройте сервер LDAP

Выполните следующие действия:

  1. Перейдите к VPN для удаленного доступа> Настройка AAA> Группа AAA-серверов.

  2. В таблице групп AAA-серверов нажмите Add.

  3. Введите имя серверной группы и выберите LDAP в кнопке с зависимой фиксацией протокола. (См. рис. 1).

  4. В Серверах в выбранной таблице группы нажмите Add. Удостоверьтесь, что сервер, который вы создаете, выделен в этой таблице.

  5. В окне для редактирования сервера AAA посмотрите рисунок 2.

    Примечание: Выберите Enable LDAP over SSL option, если LDAP/AD настроен для этого типа соединения.

    1. Выберите интерфейс, в котором расположен LDAP. Это руководство показывает внутренний интерфейс.

    2. Введите IP-адрес сервера.

    3. Введите Порт сервера. Порт LDAP по умолчанию 389.

    4. Выберите тип сервера.

    5. Введите Основной DN. Попросите у администратора AD/LDAP этих значений.

      Рис. 1: Добавьте группу серверов

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-1.gif

    6. Под Параметром диапазона выберите, какой бы ни является соответствующим. Это зависит от основного DN. Попросите у администратора AD/LDAP ПОМОЩИ.

    7. В поле Naming Attribute введите userPrincipalName. Этот атрибут используется для авторизации пользователя в AD/СЕРРЕРЕ LDAP.

    8. В поле Login DN введите составное имя администратора.

      Примечание: Пользователь требует административных прав или прав просматривать/искать структуру LDAP, которая включает объекты пользователя и состав группы.

    9. В поле Login Password введите пароль администратора.

    10. Оставьте атрибут LDAP ни одному.

      Рис. 2

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-2.gif

      Мы используем эту опцию позже конфигурация для добавления другого объекта AD/LDAP для авторизации.

    11. Нажмите кнопку ОК.

  6. Нажмите кнопку ОК.

Управляйте точками доверия

Существует два шага для установки сертификатов на ASA. Во-первых, установите сертификаты CA (Корневой и Зависимый Центр сертификации) необходимый. Во-вторых, зарегистрируйте ASA к определенному CA и получите сертификат идентификации. PKI DoD использует эти сертификаты: Корневой CA2, Корень уровня 3, Промежуточное звено CA##, с которым ASA зарегистрирован, сертификат ID ASA и сертификат OCSP. При выборе not to use OCSP сертификат OCSP не должен быть установлен.

Примечание: Свяжитесь с POC безопасности для получения корневых сертификатов, а также инструкций о том, как зарегистрироваться на сертификат идентификации для устройства. Сертификат SSL должен быть достаточным для ASA для удаленного доступа. Двойной SAN сертификат НЕ требуется.

Примечание: Локальный компьютер клиента также должен иметь DoD CA установленная цепочка. Сертификаты могут быть просмотрены в Microsoft Certificate Store через Internet Explorer. DoD произвел командный файл, который автоматически добавляет весь CAs к машине. Спросите POC PKI для получения дополнительной информации.

Примечание: CA2 DoD и Корень уровня 3 (а также ID ASA и CA промежуточное звено, которое выполнило сертификат ASA) обычно являются единственным CAs, необходимым для проверки подлинности пользователя. Все текущие промежуточные звенья CA подпадают под CA2 и цепочку Корня уровня 3 и доверяются пока CA2, и Корни уровня 3 добавлены.

Генерируйте ключи

Выполните следующие действия:

  1. Перейдите к VPN удаленного доступа> Управление сертификатами>, Сертификат идентификации> Добавляет.

  2. Выберите Add новый сертификат идентификатора, и затем выберите New опцией пары ключей.

  3. В окне Add Key Pair введите ключевое имя (DoD 1024); нажмите радио для добавления нового ключа. (См. рис. 3).

    Рис. 3

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-3.gif

  4. Выберите размер ключа.

  5. Поддержите Использование к Общей цели.

  6. Нажмите кнопку Generate Now.

    Примечание: Узел CA DoD 2 использования ключ на 2048 битов. Второй ключ, который использует пару ключей на 2048 битов, должен генерироваться, чтобы быть в состоянии использовать, это Приблизительно Выполняет вышеупомянутые действия для добавления второго ключа.

Установка CA точки доверия

Выполните следующие действия:

  1. Перейдите к Конфигурации> Свойства> Сертификат> Точка доверия> Конфигурация. (См. рис. 4.).

  2. Введите имя в Поле имени Точки доверия.

  3. Во вкладке Enrollment Settings выберите ключ, генерируемый в предыдущем шаге при нажатии стрелки. Выберите ключ 2048 года для Узла CA 2 точки доверия.

  4. В разделе Режима регистрации выберите Use Manual Enrollment, OK и Apply.

    Рис. 4: Корневой сертификат установки

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-57.gif

    Примечание: Повторите шаги 1-4 для каждой точки доверия, которую вы хотите добавить. Нет никакого твердого количества для количества точек доверия, которые можно установить, так как это все на основе памяти в устройстве. PKI DoD требует точки доверия для каждого из них: Узел CA 2, Корень уровня 3, Промежуточное звено CA## и Сервер OCSP. Если вы не используете OCSP, точка доверия OCSP не необходима.

Корневые сертификаты установки

Выполните следующие действия:

  1. Перейдите к Конфигурации> Свойства> Сертификат> Аутентификация.

  2. В Поле имени Точки доверия выберите точку доверия, настроенную в предыдущем шаге.

  3. В текстовом разделе Сертификата, или импортировать сертификат с файлом или вырезать и вставить base64 закодировал текст (C контроля и V).

    Примечание: Импорт только принимает файлы .txt в этой версии кода, но файл, который вы получаете от администратора CA, находится в формате .cer. Можно также изменить расширение на .txt и открыться, файл тогда вырезал и вставить текст в текстовом поле.

    Рис. 5: Аутентификация CA

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-58.gif

  4. Нажмите Authenticate.

Зарегистрируйте ASA и установите сертификат идентификации

Выполните следующие действия:

  1. Перейдите к Конфигурации> Свойства> Сертификат> Регистрация.

  2. Выберите точку доверия. Нажмите стрелку вниз на кнопке с зависимой фиксацией для выбора промежуточной точки доверия, где требуется зарегистрировать устройство ASA.

  3. Нажмите кнопку Edit.

  4. В Окне конфигурации Точки доверия Редактирования нажмите Certificate Parameters.

  5. В Окне Parameters Сертификата выберите Use ни один опция для FQDN и нажмите Edit на подчиненном DN. (См. рис. 6.).

    Рис. 6: Параметры сертификата идентификации

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-7.gif

  6. В окне Certificate Subject DN введите информацию устройства. Посмотрите рисунок 7 для примера.

  7. Нажмите кнопку ОК.

    Рис. 7: Отредактируйте DN

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-8.gif

    Примечание: Удостоверьтесь, что вы используете имя хоста устройства, которое настроено в системе, когда вы добавляете подчиненный DN. POC PKI может сказать вам Обязательные поля, которые требуются.

  8. Нажмите OK на Окне Parameters Сертификата и нажмите OK на Окне конфигурации Точки доверия Редактирования.

  9. В окне enrollment нажмите Enroll.

  10. Вырежьте и вставить информацию из окна Enrollment Request; сохраните его к Блокноту и нажмите OK. Это - информация, которая должна быть передана администратору CA для запроса сертификата идентификации на ASA. (См. рис. 8.).

    Рис. 8: Запрос сертификата

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-10.gif

  11. Как только вы получаете сертификат от администратора CA, переходите к Конфигурации> Свойства> Сертификат> Сертификат импорта.

  12. В окне Import Certificate выберите точку доверия, где вы зарегистрировали устройство ASA.

  13. В тексте сертификата, или импортировать файл или вырезать и вставить base64 или DER закодировал файл, который вы получили от администратора CA. (См. рис. 9.).

    Рис. 9: Импортируйте сертификат

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-59.gif

    Примечание: Импорт только принимает файлы .txt в этой версии кода, но файл, который вы получаете от администратора CA, находится в формате .cer. Можно также изменить расширение на .txt, открыть файл, и затем вырезать и вставить текст в текстовом поле.

  14. Выберите Import.

    Примечание: Нажмите кнопку SAVE для сохранения конфигурации во флэш-памяти.

Конфигурация VPN

Это является дополнительным при использовании другого метода, такого как DHCP.

  1. Перейдите к Конфигурации> VPN> Управление IP-адресами> Пулы IP.

  2. Нажмите Add.

  3. В окне Add IP Pool введите имя пула IP, запускаясь и заканчивая IP-адреса, и выберите маску подсети. (См. рис. 10.).

    Рисунок 10: Добавьте пул IP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-13.gif

  4. Нажмите кнопку ОК.

  5. Перейдите к Конфигурации> VPN> Управление IP-адресами> Присвоение.

  6. Выберите соответствующий метод присвоения IP-адреса. Это руководство использует пулы внутреннего адреса. (См. рис. 11.).

    Рисунок 11: Метод присвоения IP-адреса

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-12.gif

  7. Нажмите кнопку Apply.

Создайте туннельную группу и групповую политику

Примечание: Прежде чем вы создадите туннельную группу и групповую политику, перейдете к Конфигурации> VPN> Общий> Опции Системы VPN и удостоверитесь, что флажок установлен для Разрешать входящих подключений IPSec … опция.

Групповая политика

Примечание: Если вы не хотите создавать новую политику, можно использовать по умолчанию, созданный в групповой политике.

  1. Перейдите к Конфигурации> VPN> Общий> Групповая политика.

  2. Нажмите кнопку Add (Добавить) и выберите Internal Group Policy (Внутренняя групповая политика).

  3. В окне Add Internal Group Policy введите имя для Групповой политики в Текстовом поле для имени. (См. рис. 12.).

    Рисунок 12: Добавьте внутреннюю групповую политику

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-60.gif

    1. Во Вкладке Общие выберите IPsec в опции Tunneling Protocols.

    2. В разделе Серверов снимите флажок с флажком Inherit и введите IP-адрес серверов WINS и DNS. Введите область DHCP, если применимо.

    3. Во вкладке IPSec оставьте их всех в настройках по умолчанию: Наследоваться. Внесите любые соответствующие изменения, при необходимости.

    4. Во вкладке Конфигурации клиента, в общих Клиентских Параметрах, сняли флажок с флажком Inherit в Домене по умолчанию и вводят соответствующее доменное имя.

    5. Во вкладке Конфигурации клиента, в общих Клиентских Параметрах, сняли флажок с флажком Inherit в Пуле адресов, разделяют и добавляют пул адресов, созданный в предыдущем шаге. Нажмите название пула адресов, и затем нажмите Add. При использовании другой метод присвоения IP-адреса, оставляете это, как Наследовались и вносят соответствующее изменение.

    6. Всю другую вкладку конфигурация оставляют при настройках по умолчанию.

  4. Нажмите кнопку ОК.

Интерфейс туннельной группы и настройки образа

Примечание: Если вы не хотите создавать новую группу, можно использовать встроенную группу по умолчанию.

  1. Перейдите к Конфигурации> VPN> Общий> Туннельная группа. (См. рис. 13.).

    Рисунок 13: Добавьте туннельную группу

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-61.gif

    Примечание: ASDM автоматически настраивает локальный как параметр для аутентификации, если ни один не выбран. Когда вы совершаете нападки ОК в конце этой конфигурации, вы видите сообщение.

    ERROR: The authentication-server-group none command has been
    			 deprecated. 

    Примечание: Команда isakmp ikev1-user-authentication none в атрибутах IPSec должна использоваться вместо этого. Установите режим аутентификации ни в один. (См. рис. 14.).

  2. Нажмите Add и выберите IPSec для удаленного доступа.

  3. В окне Add Profile введите имя для туннельной группы в Текстовом поле для имени.

  4. В окне Add Tunnel Group выберите Вкладку Общие> вкладка Basic и выберите групповую политику, созданную в предыдущем шаге.

  5. Нажмите вкладку Authentication и оставьте все в параметрах по умолчанию.

  6. В окне Add Tunnel Group нажмите вкладку IPSec.

    Рисунок 14: Режим аутентификации IPSec

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-62.gif

  7. В опции Trustpoint Name выберите точку доверия, созданную в предыдущем разделе.

  8. Установите Режим аутентификации ни в один, как упомянуто в примечании выше. (См. рис. 14.).

  9. Нажмите кнопку ОК.

  10. Нажмите вкладку Authorization. В Группе серверов авторизации выберите группу Сервера LDAP, созданную в более ранних шагах, и установите флажок для Пользователей, должен существовать в базе данных авторизации для соединения.

    Рисунок 15: Конфигурация UPN

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-63.gif

  11. Выберите UPN в первичном DN поле и ни один в дополнительном DN поле. Посмотрите рисунок 15.

  12. Нажмите кнопку ОК.

Примечание: Нажмите кнопку Save для сохранения конфигурации во флэш-памяти.

Настройте IKE/п¦р¦метры ISAKMP

Выполните следующие действия:

  1. Перейдите к Конфигурации> VPN> IKE> глобальные параметры.

  2. В Разрешать разделе IKE удостоверьтесь, что внешний интерфейс показывает YES во включенном столбце. В противном случае выделите внешний интерфейс, нажмите Enable и оставьте все остальное как по умолчанию.

  3. Перейдите к Конфигурации> IKE> Политика.

  4. Нажмите Add. Войдите 10 для указателя приоритета, выберите 3DES для шифрования, sha для хэша, rsa-сигнала для аутентификации, и 2 для DH группы; оставьте срок действия в по умолчанию. Посмотрите рисунок 16 для примера.

  5. Нажмите кнопку ОК.

    Рисунок 16: Добавьте IKE/ПОЛИТИКУ ISAKMP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-19.gif

    Примечание: Можно добавить множественный IKE/ПОЛИТИКУ ISAKMP в случае необходимости.

  6. Перейдите к Конфигурации> VPN> IKE> Соответствие Certificate Group> Политика. Посмотрите рисунок 17.

  7. В разделе политики снимите флажок со всеми флажками за исключением Использования настроенные правила для соответствия с сертификатом группе.

  8. Перейдите к Конфигурации> VPN> IKE> Соответствие Certificate Group> Правила.

  9. Нажмите Add на главной таблице.

    Рисунок 17: Certificate Group, совпадающая с политикой

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-64.gif

  10. В окне Add Certificate Matching Rule следуйте этим инструкциям:

    1. Поддержите существующую карту DefaultCertificateMap в разделе карты.

    2. Поддержите 10 как приоритет правила.

    3. Под сопоставленной группой выберите туннельную группу, созданную в более раннем разделе, когда вы нажмете вниз кнопка с зависимой фиксацией. Посмотрите рисунок 18.

    4. Нажмите кнопку ОК.

      Рисунок 18: Добавьте сертификат, совпадающий с правилом

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-21.gif

  11. Нажмите Add на нижней таблице.

  12. В окне Add Certificate Matching Rule Criterion следуйте этим инструкциям:

    Рисунок 19: Сертификат, совпадающий с критерием правила

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-22.gif

    1. Поддержите набор столбца Field для Подчинения.

    2. Поддержите набор столбца Component к Целому Полю.

    3. Изменитесь столбец Operator к Не Равняется.

    4. В Столбце значений введите два двойных кавычек (“”).

    5. Нажмите кнопку OK и Apply. Посмотрите рисунок 19 для примера.

Настройте параметры IPSec

Выполните следующие действия:

  1. Перейдите к Конфигурации> VPN> IPSec> Правила IPSec.

  2. Нажмите Add.

  3. В окне Create IPSec Rule, во вкладке Basic, следуют этим инструкциям:

    1. Выберите снаружи для интерфейса.

    2. Выберите динамичный для типа политики.

    3. Введите указатель приоритета.

    4. Выберите transform-set и нажмите Add. Это руководство использует ESP-AES-256-SHA. Можно добавить множественный transform-set в случае необходимости.

  4. Нажмите вкладку Traffic Selection.

  5. В разделе Интерфейса и Действия выберите снаружи для Интерфейса и Защитите для Действия.

  6. В Исходном разделе выберите любого.

  7. В Целевом разделе выберите, IP-адрес пула создал более ранний orany.

  8. Нажмите кнопку ОК.

  9. Нажмите кнопку Apply.

    Рис. 20: Добавьте правило IPSec

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-65.gif

Настройте OCSP

Настройте сертификат OCSP Responder

Конфигурация OCSP может варьироваться зависящая от поставщика респондента OCSP. Считайте руководство поставщика для получения дополнительной информации.

  1. Получите самогенерируемый сертификат от респондента OCSP.

  2. Выполните процедуры, упомянутые ранее, и установите сертификат для сервера OCSP.

    Примечание: Удостоверьтесь, что revocation-check не установлен ни в один. Проверки OCSP не должны происходить на фактическом сервере OCSP.

Настройте CA для Использования OCSP

Выполните следующие действия:

  1. Перейдите к Конфигурации> Свойства> Сертификат> Точка доверия> Конфигурация.

  2. Выберите CA для настройки для использования OCSP при выделении его в таблице.

  3. Нажмите Edit.

  4. Нажмите вкладку Revocation Check, выделите OCSP в Методе Аннулирования, и затем нажмите Add. В разделе Методов Аннулирования добавьте OCSP. (См. рис. 21.).

  5. Гарантируйте, что Рассматривать Сертификат, допустимый … не может быть получен, неконтролируем, если вы хотите придерживаться строгой проверки OCSP.

    Рис. 21: Проверка аннулирования OCSP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-66.gif

    Примечание: Настраивайте/редактируйте все серверы CA, которые используют OCSP для аннулирования.

  6. Оставьте все параметры по умолчанию в этих вкладках: Политика извлечения CRL, Метод поиска CRL и Правила OCSP.

  7. Щелкните вкладку Advanced ("Дополнительно").

    1. Анчек Принуждение Следующего Обновления CRL в Параметрах CRL.

    2. Оставьте Запрещать расширение параметра неконтролируемым.

    3. Оставьте все другие опции проверенными.

  8. Нажмите кнопку ОК.

Настройте правила OCSP

Примечание: Проверьте, что Certificate Group, Совпадающая с Политикой, создана, и респондент OCSP настроен перед выполнением этих процедур.

Примечание: Удостоверьтесь, что все CAs настроены с правилами OCSP за исключением самого сервера OCSP.

Примечание: В некоторых реализациях OCSP DNS и запись PTR необходимы для ASA. Эта проверка сделана, чтобы проверить, что ASA от .mil сайта.

  1. Перейдите к Конфигурации> Свойства> Сертификат> Точка доверия> Конфигурация.

  2. Выберите точку доверия для настройки для использования OCSP при выделении его в таблице.

  3. Нажмите Edit.

  4. Нажмите вкладку OCSP Rule.

  5. Нажмите Add.

  6. В окне Add OCSP Rule следуйте этим инструкциям: (См. рис. 22.).

    Рисунок 22: Добавьте правила OCSP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-25.gif

    1. В опции Certificate Map выберите карту, созданную в разделе IKE/п¦р¦метрор ISAKMP: DefaultCertificateMap.

    2. В опции Certificate выберите респондента OCSP.

    3. В индексной опции войдите 10.

    4. В опции URL введите IP-адрес или имя хоста респондента OCSP. При использовании имени хоста удостоверьтесь, что сервер DNS настроен на ASA.)

    5. Нажмите кнопку ОК.

    6. Нажмите кнопку Apply.

Настройка VPN-клиента Cisco VPN Client

Этот раздел покрывает конфигурацию клиента Cisco VPN.

Предположения: Cisco VPN Client и приложение промежуточного программного обеспечения уже установлены в ПК хоста. Клиент Cisco VPN поддерживает эти приложения промежуточного программного обеспечения: GemPLUS (Рабочая станция GemSAFE 2.0 или позже leavingcisco.com), Activcard (Версия 2.0.1 Золота Activcard или позже leavingcisco.com), и Аладдин (Среда выполнения eToken (RTE) Версия 2.6 или позже leavingcisco.com).

Запустите Cisco VPN Client

От ПК хоста нажмите Start> Programs> Cisco Systems VPN Client> VPN Client.

Новое соединение

Выполните следующие действия:

  1. Нажмите Connection Entries.

  2. Нажмите New и затем введите описание соединения и IP-адрес или имя хоста сервера VPN. (См. рис. 23.).

  3. Под вкладкой Authentication выберите Certificate Authentication.

  4. В опции Name выберите сертификат подписи, и проверка Передают Цепочку Сертификата CA. (Обычно сертификат по умолчанию, который выбран, работает, но можно попробовать другие сертификаты, если он отказывает.)

  5. Нажмите Save.

    Рис. 23: Создайте новое VPN-подключение

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-26.gif

Запустите удаленный доступ

Выполните следующие действия:

  1. Дважды нажмите запись, созданную в предыдущем шаге.

  2. Введите Номер разъема.

  3. Нажмите кнопку ОК.

Приложение A – сопоставление LDAP

С выпуском 7.1 (x) ASA/PIX звонила функция, сопоставление LDAP было представлено. Это - мощная функция, которая предоставляет сопоставление между атрибутом Cisco и объектами/атрибутом LDAP, который инвертирует потребность в изменении схемы LDAP. Для реализации аутентификации CAC это может поддержать дополнительную принудительную политику на соединении удаленного доступа. Ниже примеры сопоставления LDAP. Знайте, что вы требуете прав администратора внести изменения в AD/СЕРРЕРЕ LDAP.

Сценарий 1: Реализация Active Directory с коммутацией разрешений удаленного доступа – разрешает/Запрещает доступ

Данный пример сопоставляет AD атрибут msNPAllowDailin с CVPN3000-протоколом-туннелирования атрибута Cisco.

  • AD значение атрибута: ИСТИННЫЙ = Позволяют; ЛОЖЬ = Запрещает

  • Значение атрибута Cisco: 1 = ЛОЖЬ, 4 (IPSec) или 20 (4 IPSec + 16 WebVPN) = ИСТИННЫЙ

Для ПОЗВОЛЯЮТ условие, мы сопоставляем

  • ИСТИННЫЙ = 20

Для ЗАПРЕЩАЮТ условие наборного (телефонный) доступа, мы сопоставляем

  • ЛОЖЬ = 1

Примечание: Удостоверьтесь, что ИСТИНА И ЛОЖЬ находится всеми заглавными буквами. Для получения дополнительной информации об атрибутах Cisco обратитесь к Настройке Внешний сервер для Авторизации пользователя на устройстве безопасности.

Настройка Active Directory

Выполните следующие действия:

  1. В Сервере Active Directory нажмите Start> Run.

  2. В открытом текстовом поле введите dsa.msc и затем нажмите OK. Это запускает консоль управления Active Directory.

  3. В консоли управления Active Directory нажмите знак "плюс" для расширения Пользователей и компьютеров Active Directory.

  4. Нажмите знак "плюс" для расширения доменного имени.

  5. Если вам создали OU для пользователей, разворачиваете OU для просмотра всех пользователей; если вы имеете всех пользователей, назначенных в Папке Пользователи, разворачиваете ту папку для просмотра их. Посмотрите рисунок A1.

    Рисунок A1: консоль управления Active Directory

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-40.gif

  6. Дважды нажмите пользователя, которого вы хотите отредактировать.

    Нажмите Вкладку наборный (телефонный) доступ на странице свойств пользователя, и щелчок позволяют или запрещают. Посмотрите рисунок A2.

    Рисунок A2: свойства пользователя

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-41.gif

  7. Нажмите кнопку ОК.

Конфигурация ASA

Выполните следующие действия:

  1. В ASDM перейдите к Конфигурации> Свойства> AAA> Карта атрибутов LDAP.

  2. Нажмите кнопку Add.

  3. В окне Add LDAP Attribute Map следуйте этим инструкциям: Посмотрите рисунок A3.

    Рисунок A3: добавьте карту атрибутов LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-42.gif

    1. Введите имя в Текстовом поле для имени.

    2. Во Вкладке имени карты введите msNPAllowDialin в Текстовом поле для имени заказчика.

    3. Во Вкладке имени карты выберите Tunneling-Protocols в выпадающей опции на Название Cisco.

    4. Нажмите Add.

    5. Нажмите вкладку Map Value.

    6. Нажмите Add.

    7. В окне Add Attribute LDAP Map Value введите ИСТИННЫЙ в Текстовом поле для имени заказчика и введите 20 в текстовом поле значения Cisco.

    8. Нажмите Add.

    9. Введите ЛОЖЬ в Текстовом поле для имени заказчика и введите 1 в текстовом поле значения Cisco. Посмотрите рисунок A4.

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-43.gif

    10. Нажмите кнопку ОК.

    11. Нажмите кнопку ОК.

    12. Нажмите кнопку Apply.

    13. Конфигурация похожа на рисунок A5.

      Рисунок A5: конфигурация карты атрибутов LDAP

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-67.gif

  4. Перейдите к Конфигурации> Свойства> Настройка AAA> Группы AAA-серверов. Посмотрите рисунок A6.

    Рисунок A6: группы AAA-серверов

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-68.gif

  5. Нажмите группу серверов, которую вы хотите отредактировать. В Серверах Выбранного группового раздела выберите IP-адрес сервера или имя хоста и затем нажмите Edit.

  6. В Окне для редактирования сервера AAA, в текстовом поле Карты атрибутов LDAP, выбирают LDAP Attribute Map, созданный в кнопке раскрытия списка. Посмотрите рисунок A7.

    Рисунок A7: добавьте карту атрибутов LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-46.gif

  7. Нажмите кнопку ОК.

Примечание: Включите отладку LDAP, в то время как вы тестируете, чтобы проверить, работают ли привязка LDAP и сопоставление атрибута должным образом. Посмотрите C Приложения для команд устранения проблем.

Сценарий 2: Реализация Active Directory с составом группы для разрешения доступа

Данный пример использует атрибут LDAP memberOf для сопоставления с атрибутом Протокола туннелирования Cisco для установления состава группы как условия. Для этой политики для работы у вас должны быть эти условия:

  • Используйте существующую группу или создайте новую группу для пользователей VPN ASA для, ПОЗВОЛЯЮТ условия.

  • Используйте существующую группу или создайте новую группу для пользователей не-ASA для, ЗАПРЕЩАЮТ условия.

  • Удостоверьтесь, что зарегистрировались в средстве просмотра LDAP, что у вас есть корректный DN для группы. См. приложение D. Если DN является неправильным, сопоставление не работает должным образом.

Примечание: Знайте, что ASA может только считать первую строку атрибута memberOf в этом выпуске. Удостоверьтесь, что новая созданная группа наверху списка. Другая опция должна поместить специальный символ перед названием, так как AD посмотрел на специальные символы сначала. Для обхождения этого предупреждения используйте DAP в 8.x программное обеспечение для рассмотрения множественных групп.

Примечание: Удостоверьтесь, что пользователь является частью запрещать группы или по крайней мере одной другой группы так, чтобы memberOf всегда передали обратно ASA. Вы не должны указывать, что ЛОЖЬ запрещает условие, но оптимальный метод для этого. Если существующее имя группы или новое имя группы содержат пространство, введите атрибут в этот способ: “Операторы CN=Backup, CN=Builtin, DC=ggsgseclab, DC=org”.

СОПОСТАВЛЕНИЕ

  • AD значение атрибута

    • memberOf CN=ASAUsers, CN=Users, DC=ggsgseclab, DC=org

    • memberOf CN=TelnetClients, CN=Users, DC=labrat, DC=com

  • Значение атрибута Cisco: 1 = ЛОЖЬ, 20 = ИСТИННЫЙ

Для ПОЗВОЛЯТЬ условия, карты

  • memberOf CN=ASAUsers, CN=Users, DC=ggsgseclab, DC=org = 20

Для ЗАПРЕЩАТЬ условия, карты

  • memberOf CN=TelnetClients, CN=Users, DC=ggsgseclab, DC=org = 1

Примечание: В будущем выпуске существует атрибут Cisco, чтобы позволить и запретить соединение. Для получения дополнительной информации об атрибуте Cisco обратитесь к Настройке Внешний сервер для Авторизации пользователя на устройстве безопасности.

Настройка Active Directory

Выполните следующие действия:

  1. В Сервере Active Directory нажмите Start> Run.

  2. В открытом текстовом поле введите dsa.msc и нажмите OK. Это запускает консоль управления Active Directory.

  3. В консоли управления Active Directory нажмите знак "плюс" для расширения Пользователей и компьютеров Active Directory. Посмотрите рисунок A8.

    Рисунок A8: группы Active Directory

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-47.gif

  4. Нажмите знак "плюс" для расширения доменного имени.

  5. Щелкните правой кнопкой мыши Папку Пользователи и выберите New> Group.

  6. Введите Имя группы, например: ASAUsers.

  7. Нажмите кнопку ОК.

  8. Нажмите Папку Пользователи, и затем дважды нажмите группу, которую вы просто создали.

  9. Нажмите вкладку Members, и затем нажмите Add.

  10. Введите имя пользователя, вы хотите добавить, и затем нажать OK.

Конфигурация ASA

Выполните следующие действия:

  1. В ASDM перейдите к Конфигурации> Свойства> AAA> Карта атрибутов LDAP.

  2. Нажмите Add.

  3. В окне Add LDAP Attribute Map следуйте этим инструкциям: Посмотрите рисунок A9.

    1. Введите имя в Текстовом поле для имени.

    2. Во Вкладке имени карты введите memberOf в Текстовом поле для имени заказчика c.

    3. Во Вкладке имени карты выберите Tunneling-Protocols в выпадающей опции на Название Cisco.

    4. Нажмите кнопку Add.

    5. Нажмите вкладку Map Value.

    6. Нажмите Add.

    7. В окне Add Attribute LDAP Map Value введите CN=ASAUsers, CN=Users, DC=ggsgseclab, DC=org в Текстовом поле для имени заказчика, и введите 20 в текстовом поле значения Cisco.

    8. Нажмите Add.

    9. Введите CN=TelnetClients, CN=Users, DC=ggsgseclab, DC=org в Текстовом поле для имени заказчика, и введите 1 в текстовом поле значения Cisco. Посмотрите рисунок A9.

    10. Нажмите кнопку ОК.

    11. Нажмите кнопку ОК.

    12. Нажмите кнопку Apply.

    13. Конфигурация похожа на рисунок A9.

      Рисунок A9: карта атрибутов LDAP

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-55.gif

  4. Перейдите к Конфигурации> Свойства> Настройка AAA> Группы AAA-серверов.

  5. Нажмите группу серверов, которую вы хотите отредактировать. В Серверах Выбранного группового раздела выберите IP-адрес сервера или имя хоста, и затем нажмите Edit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-49.gif

  6. В Окне для редактирования сервера AAA, в текстовом поле Карты атрибутов LDAP, выбирают LDAP Attribute Map, созданный в кнопке раскрытия списка.

  7. Нажмите кнопку ОК.

Примечание: Включите отладку LDAP, в то время как вы тестируете, чтобы проверить, что привязка LDAP и сопоставления атрибута работают должным образом. Посмотрите C Приложения для команд устранения проблем.

Приложение B – настройка интерфейса командной строки ASA

ASA 5510
ciscoasa#show running-config
ASA Version 7.2(2)10
!
hostname lab-asa
domain-name lab.army.mil
names
dns-guard
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.18.120.224 255.255.255.128
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
boot system disk0:/asa722-10-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name lab.army.mil
--------------ACL's-------------------------------------------------
access-list out extended permit ip any any
--------------------------------------------------------------------
---------------VPN Pool---------------------------------------------
ip local pool CAC-USERS 192.168.1.1-192.168.1.254 mask 255.255.255.0
--------------------------------------------------------------------
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
asdm image disk0:/asdm522-54.bin
no asdm history enable
arp timeout 14400
access-group out in interface outside
route outside 0.0.0.0 0.0.0.0 172.18.120.129 1
!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
--------------------------LDAP Maps ---------------------------
ldap attribute-map memberOf
map-name memberOf cVPN3000-Tunneling-Protocols
map-value memberOf CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org 20
map-value memberOf CN=TelnetClinets,CN=Users,DC=ggsgseclab,DC=org 1
ldap attribute-map msNPAllowDialin
map-name msNPAllowDialin cVPN3000-Tunneling-Protocols
map-value msNPAllowDialin FALSE 1
map-value msNPAllowDialin TRUE 20
--------------------------------------------------------------------
--------------------LDAP Server-------------------------------------
aaa-server AD-LDAP protocol ldap
aaa-server AD-LDAP (outside) host 172.18.120.160
ldap-base-dn CN=Users,DC=ggsgseclab,DC=org
ldap-scope onelevel
ldap-naming-attribute userPrincipalName
ldap-login-password *
ldap-login-dn CN=Administrator,CN=Users,DC=ggsgseclab,DC=org
-----------------------VPN Policy------------------------------------
group-policy CAC-USERS internal
group-policy CAC-USERS attributes
vpn-tunnel-protocol IPSec
address-pools value CAC-USERS
--------------------------------------------------------------------
!
---------------------IPsec------------------------------------------
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto dynamic-map outside_dyn_map 1 set transform-set 
   ESP-DES-SHA ESP-3DES-MD5 ESP-AES-192-SHA ESP-AES-256-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
--------------------------------------------------------------------
----------------CA Trustpoints--------------------------------------
crypto ca trustpoint CA-13-JITC
revocation-check ocsp
enrollment terminal
fqdn none
subject-name CN=lab-asa,OU=PKI,OU=DoD,O=U.S. Government,C=US
keypair DoD-1024
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint Class3Root
revocation-check ocsp
enrollment terminal
keypair DoD-1024
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint DoD-CA2
revocation-check ocsp
enrollment terminal
keypair DoD-2048
match certificate DefaultCertificateMap override 
   ocsp trustpoint DISA-OCSP 10 url http://ocsp.disa.mil
crl configure
no enforcenextupdate
crypto ca trustpoint DISA-OCSP
enrollment terminal
keypair DoD-1024
crl configure
no enforcenextupdate
--------------------------------------------------------------------
-------------------Certificate Map-------------------------------
crypto ca certificate map DefaultCertificateMap 10
subject-name ne ""
--------------------CA Certificates (Partial Cert is Shown)------------
crypto ca certificate chain CA-13-JITC
certificate 311d
308203fd 30820366 a0030201 02020231 1d300d06 092a8648 86f70d01 01050500
305c310b 30090603 55040613 02555331 18301606 0355040a 130f552e 532e2047
6f766572 6e6d656e 74310c30 0a060355 040b1303 446f4431 0c300a06 0355040b
certificate ca 37
3082044c 30820334 a0030201 02020137 300d0609 2a864886 f70d0101 05050030
60310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
crypto ca certificate chain Class3Root
certificate ca 04
30820267 308201d0 a0030201 02020104 300d0609 2a864886 f70d0101 05050030
61310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
crypto ca certificate chain DoD-CA2
certificate ca 05
30820370 30820258 a0030201 02020105 300d0609 2a864886 f70d0101 05050030
5b310b30 09060355 04061302 55533118 30160603 55040a13 0f552e53 2e20476f
c3ad60a4
crypto ca certificate chain DISA-OCSP
certificate ca 00
30820219 30820182 a0030201 02020100 300d0609 2a864886 f70d0101 05050030
3a310b30 09060355 04061302 7573310d 300b0603 55040a13 0441726d 79310d30
-------------------------ISAKMP-------------------------------------
crypto isakmp enable outside
crypto isakmp policy 10
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
-----------------------VPN Group/Tunnel Policy--------------------
tunnel-group CAC-USERS type ipsec-ra
tunnel-group CAC-USERS general-attributes
authorization-server-group AD-LDAP
default-group-policy CAC-USERS
authorization-required
authorization-dn-attributes UPN
tunnel-group CAC-USERS ipsec-attributes
trust-point CA-13-JITC
isakmp ikev1-user-authentication none
tunnel-group-map enable rules
no tunnel-group-map enable ou
no tunnel-group-map enable ike-id
no tunnel-group-map enable peer-ip
tunnel-group-map DefaultCertificateMap 10 CAC-USERS
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
!
service-policy global_policy global
prompt hostname context

Приложение устранение проблем C-

Устранение проблем AAA и LDAP

  • debug ldap 255 – обмены LDAP показов

  • debug aaa общие 10 – отображает обмены AAA

Пример 1 : Позволенное соединение с корректным сопоставлением атрибута

Пример ниже показов выходные данные ldap отладки и debug aaa, распространенного в успешном подключении со сценарием 2, показанным в Приложение A.

Примечание: Туннелирующая группа настроена для разрешения IP - безопасного соединения ONLY. Задействованная группировка/присвоение в LDAP сопоставлена со значением 4, который является IPSec. Это сопоставление - то, что дает ему ПОЗВОЛЯТЬ условие. Для запрещать условия то значение 1 для PPTP.

Рисунок C1: LDAP отладки и debug aaa общие Выходные данные – Корректное Сопоставление
AAA API: In aaa_open
AAA session opened: handle = 39
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction

Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:
[78] Session Start
[78] New request Session, context 0x26f1c44, reqType = 0
[78] Fiber started
[78] Creating LDAP context with uri=ldap:// 172.18.120.160:389
[78] Binding as administrator
[78] Performing Simple authentication for Administrator to 172.18.120.160
[78] Connect to LDAP server: ldap:// 172.18.120.160, status = Successful
[78] LDAP Search:
     Base DN = [CN=Users,DC=ggsgseclab,DC=org]
     Filter = [userPrincipalName=1234567890@mil]
     Scope = [SUBTREE]
[78] Retrieved Attributes:
[78] objectClass: value = top
[78] objectClass: value = person
[78] objectClass: value = organizationalPerson
[78] objectClass: value = user
[78] cn: value = Ethan Hunt
[78] sn: value = Hunt
[78] userCertificate: value = 0..50........../........60...*.
H........0@1.0.....&...,d....com1.0.....&...,d...
[78] userCertificate: value = 0..'0........../..t.....50...*.
H........0@1.0.....&...,d....com1.0.....&...,d...
[78] givenName: value = Ethan
[78] distinguishedName: value = CN=Ethan Hunt,OU=MIL,DC=labrat,DC=com
[78] instanceType: value = 4
[78] whenCreated: value = 20060613151033.0Z
[78] whenChanged: value = 20060622185924.0Z
[78] displayName: value = Ethan Hunt
[78] uSNCreated: value = 14050 
[78] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[78] mapped to cVPN3000-Tunneling-Protocols: value = 20
[78] uSNChanged: value = 14855
[78] name: value = Ethan Hunt
[78] objectGUID: value = ..9...NJ..GU..z.
[78] userAccountControl: value = 66048
[78] badPwdCount: value = 0
[78] codePage: value = 0
[78] countryCode: value = 0
[78] badPasswordTime: value = 127954717631875000
[78] lastLogoff: value = 0
[78] lastLogon: value = 127954849209218750
[78] pwdLastSet: value = 127946850340781250
[78] primaryGroupID: value = 513
[78] objectSid: value = ................q......mY...
[78] accountExpires: value = 9223372036854775807
[78] logonCount: value = 25
[78] sAMAccountName: value = 1234567890
[78] sAMAccountType: value = 805306368
[78] userPrincipalName: value = 1234567890@mil
[78] objectCategory: value =
[78] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
[78] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[78] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, 
user pol = , tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(CAC-USERS)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USER
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 39, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, 
user pol = , tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes: 1 Tunnelling-Protocol(4107) 20 20
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10 "CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (39)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

CAC-Test#

Пример 2: Позволенное соединение с неверно - настроенным сопоставлением атрибута Cisco

Пример ниже показов выходные данные ldap отладки и debug aaa, распространенного в позволенном соединении со сценарием 2, показанным в Приложение A.

Обратите внимание на то, что сопоставление для обоих атрибутов совпадает с тем же значением, которое является неправильным.

Рисунок C2: LDAP отладки и debug aaa общие выходные данные – Неверное отображение
AAA API: In aaa_open
AAA session opened: handle = 41
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(1a87a64) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction

Initiating authorization query (Svr Grp: AD-LDAP)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 172.18.120.160
AAA FSM: In AAA_SendMsg
User: 1234567890@mil
Pasw: 1234567890@mil
Resp:

[82] Session Start
[82] New request Session, context 0x26f1c44, reqType = 0
[82] Fiber started
[82] Creating LDAP context with uri=ldap://172.18.120.160:389
[82] Binding as administrator
[82] Performing Simple authentication for Administrator to
172.18.120.160

[82] Connect to LDAP server: ldap:// 172.18.120.160:389, status =
Successful
[82] LDAP Search:
   Base DN = [CN=Users,DC=ggsgseclab,DC=org]
   Filter = [userPrincipalName=1234567890@mil]
   Scope = [SUBTREE]

[82] Retrieved Attributes:
[82] objectClass: value = top
[82] objectClass: value = person
[82] objectClass: value = organizationalPerson
[82] objectClass: value = user
[82] cn: value = Ethan Hunt
[82] sn: value = Hunt
[82] userCertificate: value =
0..50........../........60...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] userCertificate: value =
0..'0........../..t.....50...*.H........0@1.0.....&...,d....com1.0.....
&...,d...
[82] givenName: value = Ethan
[82] distinguishedName: value = CN=Ethan
Hunt,OU=MIL,DC=labrat,DC=com
[82] instanceType: value = 4
[82] whenCreated: value = 20060613151033.0Z
[82] whenChanged: value = 20060622185924.0Z
[82] displayName: value = Ethan Hunt
[82] uSNCreated: value = 14050
[82] memberOf: value = CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] mapped to cVPN3000-Tunneling-Protocols: value =
CN=ASAUsers,CN=Users,DC=ggsgseclab,DC=org
[82] uSNChanged: value = 14855
[82] name: value = Ethan Hunt
[82] objectGUID: value = ..9...NJ..GU..z.
[82] userAccountControl: value = 66048
[82] badPwdCount: value = 0
[82] codePage: value = 0
[82] countryCode: value = 0
[82] badPasswordTime: value = 127954717631875000
[82] lastLogoff: value = 0
[82] lastLogon: value = 127954849209218750
[82] pwdLastSet: value = 127946850340781250
[82] primaryGroupID: value = 513
[82] objectSid: value = ................q......mY...
[82] accountExpires: value = 9223372036854775807
[82] logonCount: value = 25
[82] sAMAccountName: value = 1234567890
[82] sAMAccountType: value = 805306368
[82] userPrincipalName: value = 1234567890@mil
[82] objectCategory: value =
CN=Person,CN=Schema,CN=Configuration,DC=ggsgseclab,DC=org
[82] mail: value = Ethan.Hunt@labrat.com
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
[82] Fiber exit Tx=147 bytes Rx=4821 bytes, status=1
[82] Session End
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Authorization Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_AUTHORIZE, auth_status = ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_TUNN_GRP_POLICY,
AAA FSM: In AAA_InitTransaction
aaai_policy_name_to_server_id(USAFE)
Got server ID 0 for group policy DB
Initiating tunnel group policy lookup (Svr Grp: GROUP_POLICY_DB)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: <Internal Server>
AAA FSM: In AAA_SendMsg
User: CAC-USERS
Pasw:
Resp:
grp_policy_ioctl(12f1b20, 114698, 1a870b4)
grp_policy_ioctl: Looking up CAC-USERS
callback_aaa_task: status = 1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 41, pAcb = 2ae115c
AAA task: aaa_process_msg(1a87a64) received message type 1
AAA FSM: In AAA_ProcSvrResp
Back End response:
------------------
Tunnel Group Policy Status: 1 (ACCEPT)
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_TUNN_GRP_POLICY, auth_status =
ACCEPT
AAA_NextFunction: authen svr = <none>, author svr = AD-LDAP, user pol =
, tunn pol = CAC-USERS
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
Checking time simultaneous login restriction for user 1234567890@mil
AAA FSM: In AAA_Callback
user attributes:
1 Tunnelling-Protocol(4107) 20 0
user policy attributes:
None
tunnel policy attributes:
1 Primary-DNS(4101) 4 IP: 10.0.10.100
2 Secondary-DNS(4102) 4 IP: 0.0.0.0
3 Tunnelling-Protocol(4107) 4 4
4 Default-Domain-Name(4124) 10 "ggsgseclab.org"
5 List of address pools to assign addresses from(4313) 10
"CAC-USERS"
Auth Status = ACCEPT
AAA API: In aaa_close
AAA task: aaa_process_msg(1a87a64) received message type 3
In aaai_close_session (41)
AAA API: In aaa_send_acct_start
AAA API: In aaa_send_acct_stop

Устранение проблем центра сертификации / OCSP

  • debug crypto ca 3

  • В режиме конфигурации, регистрируя класс приблизительно консоль (или буфер) отладка

Примеры ниже показа успешное подтверждение сертификата с респондентом OCSP и отказавшей группой сертификата соответствующая политика.

Рисунок C3 показывает выходные данные отладки, которые имеют проверенный сертификат и группу рабочего диплома соответствующая политика.

Рисунок C4 показывает выходные данные отладки группы сертификата неверна настроенного соответствующая политика.

Рисунок C5 показывает выходные данные отладки пользователя с отозванным сертификатом.

Рисунок C3: OCSP, отлаживающий – Успешное подтверждение сертификата
CRYPTO_PKI: Attempting to find tunnel group for cert with serial number:
 2FB5FC74000000000035,
 subject name: cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=com, issuer_name: 
cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, 
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap 
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. Attempting 
to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert: 
serial number: 2FB5FC74000000000035, subject name: 
cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, issuer_name: cn=ggsgseclab,
dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,
dc=org, map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
 sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://ocsp.disa.mil,
 Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match CRYPTO_PKI:Certificate validated.
serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,
dc=ggsgseclab,dc=org.
CRYPTO_PKI: Certificate validated
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: looking for cert in handle=2467668, digest=

Рисунок C4: Выходные данные отказавшей группы сертификата соответствующая политика

Рисунок C4: выходные данные Failed Certificate Group, совпадающей с политикой
CRYPTO_PKI: Attempting to find tunnel group for cert with serial number: 
2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,
dc=org, issuer_name: cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map FAILED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, 
map rule: subject-name eq "".
CRYPTO_PKI: Peer cert could not be authorized with map: DefaultCertificateMap.
No Tunnel Group Match for peer certificate.
Unable to locate tunnel group map

Рисунок C5: выходные данные отозванного сертификата
n %PI=X-3-7E17t02h7a Certinf icaHtue cnhta,in faioled 
uvalidation=. CMertifiIcLa,ted ccha=inl ais eibtrhaer tin,valdid cor =noct 
oamuthori,zed.
map rule: subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap 
sequence: 10.
Tunnel Group Match on map DefaultCertificateMap sequence # 10.
Group name is CAC-USERS
CRYPTO_PKI: Checking to see if an identical cert is
already in the database...
CRYPTO_PKI: looking for cert in handle=2467668, digest=
CRYPTO_PKI: Cert record not found, returning E_NOT_FOUND
CRYPTO_PKI: Cert not found in database.
CRYPTO_PKI: Looking for suitable trustpoints...
CRYPTO_PKI: Found a suitable authenticated trustpoint trustpoint0.
CRYPTO_PKI: Certificate validation: Successful, status: 0. 
Attempting to retrieve revocation status if necessary
CRYPTO_PKI: Attempting to find OCSP override for peer cert:
 serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,
ou=MIL,dc=ggsgseclab,dc=org, issuer_name: cn=ggsgseclab,dc=ggsgseclab,dc=org.
CRYPTO_PKI: Processing map rules for DefaultCertificateMap.
CRYPTO_PKI: Processing map DefaultCertificateMap sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. 
Peer cert field: = cn=Ethan Hunt,ou=MIL,dc=ggsgseclab,dc=org, map rule: 
subject-name ne "".
CRYPTO_PKI: Peer cert has been authorized by map: DefaultCertificateMap
 sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://ocsp.disa.mil, 
Override trustpoint: OCSP
CRYPTO_PKI: crypto_pki_get_cert_record_by_subject()
CRYPTO_PKI: Found a subject match
ERROR: Certificate validation failed, Certificate is revoked, 
serial number: 2FB5FC74000000000035, subject name: cn=Ethan Hunt,ou=MIL,
dc=ggsgseclab,dc=org
CRYPTO_PKI: Certificate not validated

Устранение проблем IPSEC

  • debug crypto isakmp отображает фазу IKE/сощл¦сор¦ния ISAKMP

  • debug crypto ipsec фаза согласования IPSec показов

  • debug crypto engine Сообщения IPsec показов

  • сообщения debug crypto ca – отображают сообщения PKI

  • транзакции debug crypto ca – отображают транзакции PKI

Приложение D – проверяет объекты LDAP в MS

В CD сервера Microsoft 2003 года существуют дополнительные программные средства, которые могут быть установлены для просмотра структуры LDAP, а также объектов/атрибутов LDAP. Для установки этих программных средств перейдите к каталогу Support в CD и затем Программных средствах. Установка SUPTOOLS.MSI.

Средство просмотра LDAP

Выполните следующие действия:

  1. После установки перейдите к Пуску> Выполнить.

  2. Введите ldp и затем нажмите OK. Это запускает средство просмотра LDAP.

  3. Нажмите Connection> Connect.

  4. Введите имя сервера, и затем нажмите OK.

  5. Нажмите Connection> Bind.

  6. Введите имя пользователя и пароль.

    Примечание: Вы требуете прав администратора.

  7. Нажмите кнопку ОК.

  8. Обзорные объекты LDAP. Посмотрите рисунок D1.

    Рисунок D1: средство просмотра LDAP

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-56.gif

Редактор интерфейса Active Directory Services

  • В Сервере Active Directory перейдите к Пуску> Выполнить.

  • Введите adsiedit.msc. Это запускает редактора.

  • Щелкните правой кнопкой мыши объект и нажмите Properties.

Это программное средство показывает вам все атрибуты для конкретных объектов. Посмотрите рисунок D2.

Рисунок D2: ADSI редактирует

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107273-CAC-VPN-Client-54.gif

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 107273