Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Аутентификация пользователя VPN ASA против Windows 2008 NPS Server (Active Directory) с примером конфигурации RADIUS

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ объясняет, как настроить Устройство адаптивной защиты (ASA) для передачи с Сервером сетевой политики (NPS) Microsoft Windows 2008 с Протоколом RADIUS так, чтобы устаревший Cisco VPN Client/AnyConnect/Clientless пользователи WebVPN аутентифицировался против Active Directory. NPS является одной из ролей сервера, предлагаемых Windows 2008 Server. Это эквивалентно Windows 2003 Server, IAS (интернет-Сервис проверки подлинности), который является реализацией сервера RADIUS для обеспечения удаленной аутентификации пользователя с наборным телефонным доступом. Точно так же в Windows 2008 Server, NPS является реализацией сервера RADIUS. В основном ASA является Клиентом RADIUS к серверу RADIUS NPS. ASA отправляет запросы Проверки подлинности RADIUS от имени пользователей VPN, и NPS аутентифицирует их против Active Directory.

Внесенный Сунилом Кумаром S и раджой Периясэми, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • ASA, который выполняет Версию 9.1 (4)
  • Windows 2008 R2 Server с сервисами Active Directory и ролью NPS установлен

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

Конфигурации

Настройка посредством ASDM

  1. Выберите туннельную группу, для которой требуется аутентификация NPS.
  2. Нажмите Edit и выберите Basic.
  3. В Опознавательном разделе нажмите Manage.

  4. В разделе Групп AAA-серверов нажмите Add.
  5. В поле AAA Server Group введите имя группы серверов (например, NPS).
  6. От выпадающего списка Протокола выберите RADIUS.
  7. Нажмите кнопку OK.

  8. В Серверах в Выбранном групповом разделе выберите добавленный AAA Server Group и нажмите Add.
  9. В Имени сервера или поле IP Address, введите IP-адрес сервера.
  10. В Ключевом поле Секретного сервера введите секретный ключ.
  11. Покиньте порт Проверки подлинности сервера и поля Server Accounting Port в значении по умолчанию, пока сервер не слушает на другом порту.
  12. Нажмите кнопку OK.
  13. Нажмите кнопку OK.

  14. От выпадающего списка Группы AAA-серверов выберите группу (NPS в данном примере) добавленный в предыдущих шагах.
  15. Нажмите кнопку OK.

Конфигурация интерфейса командой строки CLI

aaa-server NPS protocol radius
aaa-server NPS (inside) host 10.105.130.51
 key *****

tunnel-group TEST type remote-access
tunnel-group TEST general-attributes
 address-pool test
 authentication-server-group (inside) NPS
tunnel-group TEST webvpn-attributes
 group-alias TEST enable

ip local pool test 192.168.1.1-192.168.1.10 mask 255.255.255.0

По умолчанию ASA использует Протокол аутентификации незашифрованного пароля (PAP) тип проверки подлинности. Это не означает, что ASA передает пароль в открытом тексте, когда это передает ПАКЕТ ЗАПРОСА RADIUS. Скорее нешифрованный пароль зашифрован с общим секретным ключом RADIUS.

Если управлению паролями включают под туннельной группой, то ASA использует тип проверки подлинности MSCHAPv2 для шифрования нешифрованного пароля. В таком случае гарантируйте, что флажок Microsoft CHAPv2 Capable проверен в Окне для редактирования сервера AAA, настроенном в разделе конфигурации ASDM.

tunnel-group TEST general-attributes
address-pool test
authentication-server-group (inside) NPS
password-management

Примечание: Тестовая команда проверки подлинности aaa-server всегда использует PAP. Только то, когда пользователь инициирует соединение с туннельной группой с включенным управлением паролями, делает MSCHAPv2 использования ASA. Кроме того, 'управление паролями [password-expire-in-days дни]' опция только поддерживается с Протоколом LDAP. RADIUS не предоставляет эту функцию. Вы будете видеть, что пароль истекает опция, когда пароль уже истечется в Active Directory.

Windows 2008 Server с конфигурацией NPS

Роль сервера NPS должна быть установлена и работа сервера Windows 2008. В противном случае выберите Start> Administrative Tools> Server Roles> Add Role Services. Выберите Network Policy Server и установите программное обеспечение. Как только Роль сервера NPS установлена, выполните эти шаги для настройки NPS, чтобы принять и обработать запросы Проверки подлинности RADIUS от ASA:

  1. Добавьте ASA как Клиента RADIUS в сервере NPS.
    1. Выберите Administrative Tools> Network Policy Server.
    2. Щелкните правой кнопкой мыши Клиентов RADIUS и выберите New.

    3. Введите Дружественное имя, Адрес (IP или DNS), и Общий секретный ключ, настроенный на ASA.

    4. Щелкните вкладку Advanced ("Дополнительно").
    5. От выпадающего списка Имени поставщика выберите RADIUS Standard.
    6. Нажмите кнопку OK.

  2. Создайте Политику Запроса нового соединения для пользователей VPN. Цель Политики Запроса подключения состоит в том, чтобы задать, состоят ли запросы от Клиентов RADIUS в том, чтобы быть обработаны локально или переданы к удаленным серверам RADIUS.
    1. Под NPS> Политика, щелкните правой кнопкой мыши Политику Запроса подключения и создайте новую политику.
    2. От выпадающего списка сервера доступа Типа сети выберите Unspecified.

    3. Нажмите вкладку Conditions.
    4. Нажмите кнопку Add.
    5. Введите IP-адрес ASA как 'Клиентский Адрес IPv4' условие.

    6. Нажмите вкладку Settings.
    7. При Передаче Запроса подключения выберите Authentication. Гарантируйте, что выбраны Аутентифицировать запросы на этой кнопке с зависимой фиксацией server.
    8. Нажмите кнопку OK.

  3. Добавьте Сетевую политику, где можно задать, каким пользователям разрешают аутентифицироваться.

    Например, можно добавить группы Пользователя Active Directory как условие. Только те пользователи, которые принадлежат указанной группе Windows, аутентифицируются под этой политикой.

    1. Под NPS выберите Policies.
    2. Щелкните правой кнопкой мыши Сетевую политику и создайте новую политику.
    3. Гарантируйте, что выбрана кнопка с зависимой фиксацией доступа Предоставления.
    4. От выпадающего списка сервера доступа Типа сети выберите Unspecified.

    5. Нажмите вкладку Conditions.
    6. Нажмите кнопку Add.
    7. Введите IP-адрес ASA как Клиентское условие Адреса IPv4.
    8. Введите группу Пользователя Active Directory, которая содержит пользователей VPN.

    9. Нажмите вкладку Constraints.
    10. Выберите Authentication Methods.
    11. Гарантируйте Незашифрованную проверку подлинности (PAP, SPAP), флажок проверен.
    12. Нажмите кнопку OK.

Атрибут групповой политики прохода (приписывают 25) от сервера RADIUS NPS

Если групповая политика должна быть назначена на пользователя динамично с сервером RADIUS NPS, атрибут RADIUS групповой политики (припишите 25), может использоваться.

Выполните эти шаги для передачи атрибута RADIUS 25 за динамическим назначением групповой политики пользователю.

  1. После того, как Сетевая политика добавлена, право - нажимают Политику нужной сети и нажимают вкладку Settings.

  2. Выберите RADIUS Attributes> Standard. Нажмите кнопку Add. Оставьте Тип доступа как Все.

  3. В коробке Атрибутов выберите Class и нажмите Add. Введите значение атрибута, т.е. название групповой политики как строка. Помните, что групповая политика с этим названием должна быть настроена в ASA. Это - то, так, чтобы ASA назначил его на сеанс VPN после того, как это получает этот атрибут в ответе RADIUS.

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

Отладки ASA

Включите debug radius все на ASA.

ciscoasa# test aaa-server authentication NPS host 10.105.130.51 username vpnuser password
INFO: Attempting Authentication test to IP address <10.105.130.51> (timeout: 12 seconds)
radius mkreq: 0x80000001
alloc_rip 0x787a6424
   new request 0x80000001 --> 8 (0x787a6424)
got user 'vpnuser'
got password
add_req 0x787a6424 session 0x80000001 id 8
RADIUS_REQUEST
radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 65).....
01 08 00 41 c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f   | ...A.....~m...
40 50 a8 36 01 09 76 70 6e 75 73 65 72 02 12 28   | @P.6..vpnuser..(
c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43 04   | .h.........Z.oC.
06 0a 69 82 de 05 06 00 00 00 00 3d 06 00 00 00   | ..i........=....
05                                                | .

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 8 (0x08)
Radius: Length = 65 (0x0041)
Radius: Vector: C41BAB1AE37E6D12DA876F7F4050A836
Radius: Type = 1 (0x01) User-Name
Radius: Length = 9 (0x09)
Radius: Value (String) =
76 70 6e 75 73 65 72                              | vpnuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
28 c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43   | (.h.........Z.oC
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 10.105.130.52 (0x0A6982DE)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x0
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 10.105.130.51/1645
rip 0x787a6424 state 7 id 8
rad_vrfy() : response message verified
rip 0x787a6424
 : chall_state ''
 : state 0x7
 : reqauth:
    c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f 40 50 a8 36
 : info 0x787a655c
    session_id 0x80000001
    request_id 0x8
    user 'vpnuser'
    response '***'
    app 0
    reason 0
    skey 'cisco'
    sip 10.105.130.51
    type 1

RADIUS packet decode (response)

--------------------------------------
Raw packet data (length = 78).....
02 08 00 4e e8 88 4b 76 20 b6 aa d3 0d 2b 94 37   | ...N..Kv ....+.7
bf 9a 6c 4c 07 06 00 00 00 01 06 06 00 00 00 02   | ..lL............
19 2e 9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a   | .........7.....j
2c bf 00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf   | ,.....<..n...@..
1e 3a 18 6f 05 81 00 00 00 00 00 00 00 03         | .:.o..........

Parsed packet data.....
Radius: Code = 2 (0x02)
Radius: Identifier = 8 (0x08)
Radius: Length = 78 (0x004E)
Radius: Vector: E8884B7620B6AAD30D2B9437BF9A6C4C
Radius: Type = 7 (0x07) Framed-Protocol
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x1
Radius: Type = 6 (0x06) Service-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x2
Radius: Type = 25 (0x19) Class
Radius: Length = 46 (0x2E)
Radius: Value (String) =
9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a 2c bf   | .......7.....j,.
00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf 1e 3a   | ....<..n...@...:
18 6f 05 81 00 00 00 00 00 00 00 03               | .o..........
rad_procpkt: ACCEPT
RADIUS_ACCESS_ACCEPT: normal termination
RADIUS_DELETE
remove_req 0x787a6424 session 0x80000001 id 8
free_rip 0x787a6424
radius: send queue empty
INFO: Authentication Successful

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

  • Гарантируйте, что подключение между ASA и сервером NPS хорошо.

    Примените захваты пакета, чтобы гарантировать, что запрос аутентификации оставляет интерфейс ASA (от того, где сервер достижим). Подтвердите, что устройства в пути не блокируют порт 1645 UDP (порт аутентификации радиуса по умолчанию), чтобы гарантировать, что это достигает сервера NPS. Дополнительные сведения о захватах пакета на ASA могут быть найдены в ASA/PIX/FWSM: Пример настройки получения пакетов с помощью CLI и ASDM.

  • Если аутентификация все еще отказывает, посмотрите в конечном счете средство просмотра на окнах NPS. При Просмотре событий> Windows Logs, выберите Security. Ищите события, привязанные к NPS примерно во время запроса аутентификации.

    Как только вы открываете Свойства события, должна существовать возможность для видения оснований для сбоя как показано в примере. В данном примере PAP не был выбран в качестве типа проверки подлинности под Сетевой политикой. Следовательно, сбои запроса аутентификации.

     Log Name:     Security
    Source:       Microsoft-Windows-Security-Auditing
    Date:         2/10/2014 1:35:47 PM
    Event ID:     6273
    Task Category: Network Policy Server
    Level:        Information
    Keywords:     Audit Failure
    User:         N/A
    Computer:     win2k8.skp.com
    Description:
    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
       Security ID:         SKP\vpnuser
       Account Name:         vpnuser
       Account Domain:         SKP
       Fully Qualified Account Name:   skp.com/Users/vpnuser

    Client Machine:
       Security ID:         NULL SID
       Account Name:         -
       Fully Qualified Account Name:   -
       OS-Version:         -
       Called Station Identifier:      -
       Calling Station Identifier:      -

    NAS:
       NAS IPv4 Address:      10.105.130.69
       NAS IPv6 Address:      -
       NAS Identifier:         -
       NAS Port-Type:         Virtual
       NAS Port:         0

    RADIUS Client:
       Client Friendly Name:      vpn
       Client IP Address:         10.105.130.69

    Authentication Details:
       Connection Request Policy Name:   vpn
       Network Policy Name:      vpn
       Authentication Provider:      Windows
       Authentication Server:      win2k8.skp.com
       Authentication Type:      PAP
       EAP Type:         -
       Account Session Identifier:      -
       Logging Results:         Accounting information was written to the local log file.
       Reason Code:         66
       Reason:            The user attempted to use an authentication method that is
    not enabled on the matching network policy.


Document ID: 117641