Коммутация LAN : 802.1x

EAP-TLS 802.1x с двоичным сравнением сертификата от AD и NAM представляет пример конфигурации

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (19 декабря 2015) | Отзыв

Введение

Этот документ описывает конфигурацию 802.1x с Transport Layer Security расширяемого протокола аутентификации (EAP-TLS) и Система управления доступом (ACS), поскольку они выполняют двоичное сравнение сертификата между сертификатом клиента, предоставленным соискателем и тем же сертификатом, сохраненным в Microsoft Active Directory (AD). Профиль Менеджера доступа к сети (NAM) AnyConnect используется для кастомизации. Конфигурация для всех составляющих представлена в этом документе, наряду со сценариями для устранения проблем конфигурации.

Внесенный Михалом Гаркарзом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

Топология

  • Соискатель 802.1x - Windows 7 с Выпуском 3.1.01065 защищенного мобильного клиента Cisco AnyConnect Secure Mobility (модуль NAM)
  • Средство проверки подлинности 802.1x - 2960 коммутаторов
  • Сервер проверки подлинности 802.1x - Выпуск 5.4 ACS
  • ACS интегрировался с Microsoft AD - Контроллером домена - Windows 2008 Server

Подробные данные топологии

  • ACS - 192.168.10.152
  • 2960 - 192.168.10.10 (e0/0 - соискатель соединился),
  • DC - 192.168.10.101
  • Windows 7 - DHCP

Поток

Станции Windows 7 установили NAM AnyConnect, который используется в качестве соискателя для аутентификации на сервере ACS с методом EAP-TLS. Коммутатор с 802.1x действует как средство проверки подлинности. Сертификат пользователя проверен ACS, и авторизация политики применяет политику на основе Общего имени (CN) от сертификата. Кроме того, ACS выбирает сертификат пользователя от AD и выполняет двоичное сравнение с сертификатом, предоставленным соискателем.

Конфигурация коммутатора

Коммутатор имеет базовую конфигурацию. По умолчанию порт находится в карантинном VLAN 666. Та VLAN имеет ограниченный доступ. После того, как пользователь авторизуется, VLAN с портами реконфигурирован.

aaa authentication login default group radius local
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control

interface Ethernet0/0
switchport access vlan 666
switchport mode access
ip device tracking maximum 10
duplex auto
authentication event fail action next-method
authentication order dot1x mab
authentication port-control auto
dot1x pae authenticator
end

radius-server host 192.168.10.152 auth-port 1645 acct-port 1646 key cisco

Подготовка к сертификату

Для EAP-TLS сертификат требуется и для соискателя и для сервера проверки подлинности. Данный пример основывается на генерируемых сертификатах OpenSSL. Microsoft Certificate Authority (CA) может использоваться для упрощения развертываний в Корпоративных сетях.

  1. Для генерации CA введите эти команды:
    openssl genrsa -des3 -out ca.key 1024
    openssl req -new -key ca.key -out ca.csr
    cp ca.key ca.key.org
    openssl rsa -in ca.key.org -out ca.key
    openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

    Сертификат CA сохранен в ca.crt файле и частном (и незащищен), вводят ca.key файл.

  2. Генерируйте три сертификата пользователя и сертификат для ACS, все подписанные тем CA:
    • CN=test1
    • CN=test2
    • CN=test3
    • CN=acs54

    Сценарий для генерации одиночного сертификата, подписанного CA Cisco:

    openssl genrsa -des3 -out server.key 1024
    openssl req -new -key server.key -out server.csr

    cp server.key server.key.org
    openssl rsa -in server.key.org -out server.key

    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial
    -out server.crt -days 365
    openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
    -certfile ca.crt

    Секретный ключ находится в server.key файле, и сертификат находится в server.crt файле. Версия pkcs12 находится в server.pfx файле.

  3. Дважды нажмите каждый сертификат (файл .pfx) для импорта его к Контроллеру домена. В Контроллере домена нужно доверять всем трем сертификатам.

Тот же процесс может придерживаться в Windows 7 (соискатель) или использовать Active Directory для продвижения сертификатов пользователя.

Конфигурация контроллера домена

Необходимо сопоставить определенный сертификат с определенным пользователем в AD.

  1. От Пользователей и компьютеров Active Directory перейдите к Папке Пользователи.
  2. Из меню View выберите Advanced Features.

  3. Добавьте этих пользователей:
    • test1
    • test2
    • test3

    Примечание: Пароль не важен.

  4. От Окна свойств выберите  вкладку Published Certificates. Выберите определенный сертификат для теста. Например, для test1 пользовательский CN является test1.

    Примечание: Не используйте Сопоставление имен (щелкните правой кнопкой мыши на имени пользователя). Это используется для других сервисов.

На данном этапе сертификат связан определенному пользователю в AD. Это может быть проверено с использованием ldapsearch:

ldapsearch -h 192.168.10.101 -D "CN=Administrator,CN=Users,DC=cisco-test,DC=com" -w 
Adminpass -b "DC=cisco-test,DC=com"

Результаты в качестве примера для test2 следующие:

# test2, Users, cisco-test.com
dn: CN=test2,CN=Users,DC=cisco-test,DC=com
..................
userCertificate:: MIICuDCCAiGgAwIBAgIJAP6cPWHhMc2yMA0GCSqGSIb3DQEBBQUAMFYxCzAJ
BgNVBAYTAlBMMQwwCgYDVQQIDANNYXoxDzANBgNVBAcMBldhcnNhdzEMMAoGA1UECgwDVEFDMQwwC
gYDVQQLDANSQUMxDDAKBgNVBAMMA1RBQzAeFw0xMzAzMDYxMjUzMjdaFw0xNDAzMDYxMjUzMjdaMF
oxCzAJBgNVBAYTAlBMMQswCQYDVQQIDAJQTDEPMA0GA1UEBwwGS3Jha293MQ4wDAYDVQQKDAVDaXN
jbzENMAsGA1UECwwEQ29yZTEOMAwGA1UEAwwFdGVzdDIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ
AoGBAMFQZywrGTQKL+LeI19ovNavCFSG2zt2HGs8qGPrf/h3o4IIvU+nN6aZPdkTdsjiuCeav8HYD
aRznaK1LURt1PeGtHlcTgcGZ1MwIGptimzG+h234GmPU59k4XSVQixARCDpMH8IBR9zOSWQLXe+kR
iZpXC444eKOh6wO/+yWb4bAgMBAAGjgYkwgYYwCwYDVR0PBAQDAgTwMHcGA1UdJQRwMG4GCCsGAQU
FBwMBBggrBgEFBQcDAgYKKwYBBAGCNwoDBAYLKwYBBAGCNwoDBAEGCCsGAQUFBwMBBggrBgEFBQgC
FQYKKwYBBAGCNwoDAQYKKwYBBAGCNxQCAQYJKwYBBAGCNxUGBggrBgEFBQcDAjANBgkqhkiG9w0BA
QUFAAOBgQCuXwAgcYqLNm6gEDTWm/OWmTFjPyA5KSDB76yVqZwr11ch7eZiNSmCtH7Pn+VILagf9o
tiFl5ttk9KX6tIvbeEC4X/mQVgAB3HuJH5sL1n/k2H10XCXKfMqMGrtsZrA64tMCcCeZRoxfAO94n
PulwF4nkcnu1xO/B7x+LpcjxjhQ==

Конфигурация соискателя

  1. Установите этого редактора профиля, anyconnect-profileeditor-win-3.1.00495-k9.exe.
  2. Откройте менеджера Доступа к сети Профайла Редактор и настройте определенный профиль.
  3. Создайте определенную проводную сеть.


    На данном этапе это очень важно, должен дать пользователю выбор для использования сертификата на каждой аутентификации. Не кэшируйте тот выбор. Кроме того, используйте 'имя пользователя' в качестве незащищенного идентификатора. Важно помнить, что это не тот же идентификатор, который используется ACS для запроса AD для сертификата. Тот идентификатор будет настроен в ACS.

  4. Сохраните файл .xml как c:\Users\All Users\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system\configuration.xml.
  5. Перезапустите сервис NAM AnyConnect Cisco.

Данный пример показал ручные развертывания профиля. AD мог использоваться для развертывания того файла для всех пользователей. Кроме того, ASA мог использоваться для инициализации профиля, когда интегрировано с VPN.

Конфигурация AсS

  1. Присоединитесь к AD домену.

    ACS совпадает с AD именами пользователей witht использование поля CN от сертификата, полученного от соискателя (в этом случае, это - test1, test2, или test3). Двоичное сравнение также включено. Это вынуждает ACS получить сертификат пользователя из AD и сравнить его с тем же сертификатом, полученным соискателем. Если это не совпадает, опознавательные сбои.

  2. Настройте Последовательности хранилища идентификаторов, который использует AD для основанной на сертификате аутентификации наряду с профилем сертификата.

    Это используется в качестве Идентификационного Источника в Политике идентификации RADIUS.

  3. Настройте две политики авторизации. Первая политика используется для test1, и это запрещает доступ тому пользователю. Вторая политика используется для теста 2, и это предоставляет доступ с профилем VLAN2.

    VLAN2 является профилем авторизации, который возвращает атрибуты RADIUS, которые связывают пользователя с VLAN2 на коммутаторе.

  4. Установите сертификат CA на ACS.

  5. Генерируйте и установите сертификат (для использования Расширяемого протокола аутентификации) подписанный CA Cisco для ACS.

Проверка

Это - полезный прием для отключения собственного сервиса 802.1x на соискателе Windows 7, так как используется NAM AnyConnect. С настроенным профилем клиенту разрешают выбрать определенный сертификат.

Когда test2 сертификат используется, коммутатор получает ответ успеха наряду с атрибутами RADIUS.

00:02:51: %DOT1X-5-SUCCESS: Authentication successful for client
(0800.277f.5f64) on Interface Et0/0
00:02:51: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x'
for client (0800.277f.5f64) on Interface Et0/0
switch#
00:02:51: %EPM-6-POLICY_REQ: IP=0.0.0.0| MAC=0800.277f.5f64|
       AUDITSESID=C0A80A0A00000001000215F0| AUTHTYPE=DOT1X|
       EVENT=APPLY

switch#show authentication sessions interface e0/0
           Interface: Ethernet0/0
         MAC Address: 0800.277f.5f64
          IP Address: Unknown
           User-Name: test2
           Status: Authz Success
           Domain: DATA
      Oper host mode: single-host
    Oper control dir: both
       Authorized By: Authentication Server
         Vlan Policy: 2
     Session timeout: N/A
        Idle timeout: N/A
   Common Session ID: C0A80A0A00000001000215F0
     Acct Session ID: 0x00000005
           Handle: 0xE8000002

Runnable methods list:
      Method  State
      dot1x   Authc Succes

Обратите внимание на то, что VLAN 2 был назначен. Возможно добавить другие атрибуты RADIUS к тому профилю авторизации на ACS (такие как Усовершенствованные таймеры Списка контроля доступа или переавторизации).

Вход в систему ACS следующие:

Устранение неполадок

Параметры настройки недопустимого времени на ACS

Возможная ошибка - внутренняя ошибка в Active Directory ACS

Никакой сертификат, настроенный и связанный на AD DC

Возможная ошибка - была не в состоянии получать сертификат пользователя из Active Directory

Кастомизация профиля NAM

В Корпоративных сетях, рекомендуемый аутентифицироваться с использованием и машины и сертификатов пользователя. В таком сценарии рекомендуется использовать открытый режим 802.1x на коммутаторе с ограниченным VLAN. На перезагрузку машины для 802.1x первый сеанс аутентификации инициируется и аутентифицируется с использованием AD сертификата компьютера. Затем после того, как пользователь предоставляет учетные данные и входит в систему домена, второй сеанс аутентификации инициируется с сертификатом пользователя. Пользователь помещен в корректную (доверяемую) VLAN с полным доступом к сети. Это интегрировано приятно на платформе Identity Services Engine (ISE).

Затем возможно настроить отдельные аутентификации от вкладок Machine Authentication и User Authentication.

Если открытый режим 802.1x не приемлем на коммутаторе, возможно использовать режим 802.1x, прежде чем вход в систему функции будет настроен в Клиентской политике.

Дополнительные сведения



Document ID: 116018