Routeur IOS : Configuration de l'authentification des utilisateurs entrants par proxy d'authentification avec ACS pour IPSec et VPN Client

Introduction

La caractéristique de Seveur mandataire d'authentification permet à des utilisateurs pour ouvrir une session à un réseau ou accéder à l'Internet par l'intermédiaire du HTTP, avec leur accès spécifique profile automatiquement récupéré et appliqué à partir d'un serveur TACACS+ ou de RADIUS. Les profils utilisateurs sont en activité seulement quand il y a du trafic actif des utilisateurs authentifiés.

Cette configuration est conçue pour évoquer le navigateur Web sur 10.1.1.1 et pour le viser chez 10.17.17.17. Puisque le client vpn est configuré pour passer par le point final 10.31.1.111 de tunnel pour obtenir au réseau 10.17.17.x, le tunnel d'IPSec est construit et le PC obtient l'adresse IP hors du groupe RTP-POOL (puisque la configuration de mode est exécutée). L'authentification est alors demandée par le routeur de Cisco 3640. Après que l'utilisateur écrive un nom d'utilisateur et mot de passe (enregistré sur le serveur TACACS+ à 10.14.14.3), la liste d'accès passée vers le bas du serveur obtient ajouté à la liste d'accès 118.

Conditions préalables

Exigences

Avant de tenter cette configuration, assurez-vous que vous répondez à ces exigences :

• Le Client VPN Cisco est configuré pour établir un tunnel d'IPSec avec le routeur de Cisco 3640.

• Le serveur TACACS+ est configuré pour le Seveur mandataire d'authentification. Voyez le pour en savoir plus de section « de l'information relative ».

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco IOS ? Version de logiciel 12.4

• Routeur Cisco 3640

• Client VPN Cisco pour la version 4.8 de Windows (n'importe quel client vpn 4.x et plus tard devrait travailler)

Remarque: La commande de proxy d'authentification d'IP a été introduite dans la version du logiciel Cisco IOS 12.0.5.T. Cette configuration a été testée avec la version du logiciel Cisco IOS 12.4.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés seulement).

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configuration

Current configuration:
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 3640
!

!--- The username and password is used during local authentication.


username rtpuser password 0 rtpuserpass


!--- Enable AAA.


aaa new-model


!--- Define server-group and servers for TACACS+.


aaa group server tacacs+ RTP
 server 10.14.14.3
!


!--- In order to set authentication, authorization, and accounting (AAA) authentication at login, use the aaa authentication login command in global configuration mode

aaa authentication login default group RTP local 
aaa authentication login userauth local
aaa authorization exec default group RTP none
aaa authorization network groupauth local
aaa authorization auth-proxy default group RTP
enable secret 5 $1$CQHC$R/07uQ44E2JgVuCsOUWdG1
enable password ww
!         
ip subnet-zero
!

!--- Define auth-proxy banner, timeout, and rules.


ip auth-proxy auth-proxy-banner http ^C
Please Enter Your Username and Password:
^C
ip auth-proxy auth-cache-time 10
ip auth-proxy name list_a http
ip audit notify log
ip audit po max-events 100
cns event-service server
!

!--- Define ISAKMP policy.


crypto isakmp policy 10
 hash md5
 authentication pre-share
 group 2


!--- These commands define the group policy that !--- is enforced for the users in the group RTPUSERS. !--- This group name and the key should match what !--- is configured on the VPN Client. The users from this !--- group are assigned IP addresses from the pool RTP-POOL.


crypto isakmp client configuration group RTPUSERS 
 key cisco123
 pool RTP-POOL
!

!--- Define IPSec transform set and apply it to the dynamic crypto map.


crypto ipsec transform-set RTP-TRANSFORM esp-des esp-md5-hmac 
!
crypto dynamic-map RTP-DYNAMIC 10
 set transform-set RTP-TRANSFORM 
!

!--- Define extended authentication (X-Auth) using the local database. !--- This is to authenticate the users before they can !--- use the IPSec tunnel to access the resources.


crypto map RTPCLIENT client authentication list userauth


!--- Define authorization using the local database. !--- This is required to push the 'mode configurations' to the VPN Client.

crypto map RTPCLIENT isakmp authorization list groupauth
crypto map RTPCLIENT client configuration address initiate
crypto map RTPCLIENT client configuration address respond
crypto map RTPCLIENT 10 ipsec-isakmp dynamic RTP-DYNAMIC 
!
interface FastEthernet0/0
 ip address 10.31.1.111 255.255.255.0
 ip access-group 118 in
 no ip directed-broadcast


!--- Apply the authentication-proxy rule to the interface.

ip auth-proxy list_a
 no ip route-cache
 no ip mroute-cache
 speed auto
 half-duplex


!--- Apply the crypto-map to the interface.


 crypto map RTPCLIENT
!
interface FastEthernet1/0
 ip address 10.14.14.14 255.255.255.0
 no ip directed-broadcast
 speed auto
 half-duplex
!

!--- Define the range of addresses in the pool. !--- VPN Clients will have thier 'internal addresses' assigned !--- from this pool.


ip local pool RTP-POOL 10.20.20.25 10.20.20.50
ip classless
ip route 0.0.0.0 0.0.0.0 10.14.14.15
ip route 10.1.1.0 255.255.255.0 10.31.1.1


!--- Turn on the HTTP server and authentication. !--- This is required for http auth-proxy to work.


ip http server
ip http authentication aaa
!

!--- The access-list 118 permits ISAKMP and IPSec packets !--- to enable the Cisco VPN Client to establish the IPSec tunnel. !--- The last line of the access-list 118 permits communication !--- between the TACACS+ server and the 3640 router to enable !--- authentication and authorization. All other traffic is denied.


access-list 118 permit esp 10.1.1.0 0.0.0.255 host 10.31.1.111
access-list 118 permit udp 10.1.1.0 0.0.0.255 host 10.31.1.111 eq isakmp
access-list 118 permit tcp host 10.14.14.3 host 10.31.1.111
!

!--- Define the IP address and the key for the TACACS+ server.


tacacs-server host 10.14.14.3 key cisco
!
line con 0
 transport input none
line aux 0
line vty 0 4
 password ww
!
end

Configuration VPN Client 4.8

Terminez-vous ces étapes afin de configurer le client vpn 4.8 :

1. Choisissez le début > les programmes > le client vpn de Cisco Systems > le client vpn.

2. Cliquez sur New pour ouvrir la fenêtre Create New VPN Connection Entry.

   

3. Entrez le nom de l'entrée de connexion avec une description. Écrivez l'adresse IP extérieure du routeur dans la case d'hôte. Entrez alors le nom et le mot de passe de groupe VPN, et cliquez sur la sauvegarde.

   

4. Cliquez sur la connexion que vous souhaitez utiliser et cliquez sur Connect dans la fenêtre principale du Client VPN.

   

5. Lorsque vous y êtes invité, saisissez le nom d'utilisateur et le mot de passe pour Xauth et cliquez sur OK pour vous connecter au réseau distant.

   

   Le client vpn obtient lié au routeur au lieu d'exploitation principal.

   

Configurez le serveur TACACS+ utilisant le Cisco Secure ACS

Terminez-vous ces étapes afin de configurer TACACS+ dans un Cisco Secure ACS :

1. Vous devez configurer le routeur pour localiser le Cisco Secure ACS afin de vérifier les identifiants utilisateurs.

   Exemple :

   3640(config)#
   aaa group server tacacs+ RTP
   
   3640(config)#
   tacacs-server host 10.14.14.3 key cisco
   
   

2. Choisissez la configuration réseau du côté gauche et cliquez sur Add l'entrée pour ajouter une entrée pour le routeur dans le l'un ou l'autre la base de données du serveur TACACS+. Choisissez la base de données du serveur selon la configuration de routeur.

   

3. La clé est utilisée pour authentifier entre le serveur du routeur 3640 et du Cisco Secure ACS. Si vous voulez sélectionner le protocole TACACS+ pour l'authentification, alors choisissez TACACS+ (Cisco IOS) dans l'authentifier utilisant relâchent vers le bas le menu.

   

4. Écrivez le nom d'utilisateur dans le domaine d'utilisateur dans la base de données Cisco Secure, puis cliquez sur Add/l'éditez.

   Dans cet exemple, le nom d'utilisateur est rtpuser.

   

5. Dans la prochaine fenêtre, entrez le mot de passe pour le rtpuser.

   Dans cet exemple, le mot de passe est des rtpuserpass. Vous pouvez tracer le compte utilisateur à un groupe si vous souhaitez. Quand vous avez terminé, cliquez sur Submit.

   

Configurez la caractéristique de retour

Quand le serveur primaire de RADIUS devient indisponible, le routeur Basculement au prochain serveur de sauvegarde actif de RADIUS. Le routeur continuera à utiliser le serveur secondaire de RADIUS pour toujours même si le serveur primaire est disponible. Habituellement le serveur primaire est les hautes performances et le serveur préféré. Si le serveur secondaire n'est pas disponible la base de données locale peut être utilisée pour l'authentification utilisant la commande de gens du pays de RTP de groupe d'aaa authentication login default.

Vérifiez

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Établissez un tunnel d'IPSec entre le PC et le routeur de Cisco 3640.

Ouvrez un navigateur sur le PC et indiquez-le http://10.17.17.17. Le routeur de Cisco 3640 intercepte ce trafic http, Seveur mandataire d'authentification de déclencheurs, et vous incite pour un nom d'utilisateur et mot de passe. Le Cisco 3640 envoie le nom d'utilisateur/mot de passe au serveur TACACS+ pour l'authentification. Si l'authentification est réussie, vous devriez pouvoir voir les pages Web sur le serveur Web chez 10.17.17.17.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

• show ip access-lists — Affiche la norme et l'ACLs étendu configurés sur le routeur de Pare-feu (inclut les rubriques de liste ACL dynamiques). Les rubriques de liste ACL dynamiques sont ajoutés et retirés périodiquement basé en fonction, que l'utilisateur authentifie ou pas.

  Cette sortie affiche l'acess-liste 118 avant que le proxy d'authentification ait été déclenché :

  3640#show ip access-lists 118
     Extended IP access list 118
     10 permit esp 10.1.1.0 0.0.0.255 host 10.31.1.111 (321 matches)
     20 permit udp 10.1.1.0 0.0.0.255 host 10.31.1.111 eq isakmp (276 matches)
     30 permit tcp host 10.14.14.3 host 10.31.1.111 (174 matches)

  Cette sortie affiche la liste d'accès 118 après que le proxy d'authentification ait été déclenché et l'utilisateur authentifie avec succès :

  3640#show ip access-lists 118
     Extended IP access list 118
     permit tcp host 10.20.20.26 any (7 matches)
     permit udp host 10.20.20.26 any (14 matches)
     permit icmp host 10.20.20.26 any
     10 permit esp 10.1.1.0 0.0.0.255 host 10.31.1.111 (379 matches)
     20 permit udp 10.1.1.0 0.0.0.255 host 10.31.1.111 eq isakmp (316 matches)
     30 permit tcp host 10.14.14.3 host 10.31.1.111 (234 matches) 

  Les trois premières lignes de la liste d'accès sont les entrées définies pour cet utilisateur et téléchargées du serveur TACACS+.

• cache de show ip auth-proxy — Affiche les entrées de Seveur mandataire d'authentification ou la configuration du proxy d'authentification courante. Le mot clé de cache pour répertorier l'adresse IP d'hôte, le numéro de port de source, la valeur du dépassement de durée pour le Seveur mandataire d'authentification, et l'état pour les connexions qui utilisent le Seveur mandataire d'authentification. Si l'état de Seveur mandataire d'authentification est ÉTABLISSEZ, l'authentification de l'utilisateur est un succès.

  3640#show ip auth-proxy cache
     Authentication Proxy Cache
     Client IP 10.20.20.26 Port 1705, timeout 5, state ESTAB

Dépanner

Pour la vérification et les commandes de débogage, avec l'autre information de dépannage, référez-vous au Seveur mandataire d'authentification de dépannage.

Remarque: Avant d'émettre des commandes de débogage, référez-vous aux informations importantes sur des commandes de débogage.

Informations connexes

• Configurer le Seveur mandataire d'authentification
• Configurations du proxy d'authentification dans le Cisco IOS
• Mise en oeuvre du Seveur mandataire d'authentification dans des serveurs TACACS+ et RADIUS
• Cisco VPN Client Support Page
• Page de support pour le pare-feu d'IOS
• Page d'assistance IPsec
• Page d'assistance RADIUS
• Demandes de commentaires (RFC)
• Page de support TACACS/TACACS+
• TACACS+ dans la documentation d'IOS
• Support technique - Cisco Systems