本文描述如何使用Cisco Adaptive Security Device Manager (ASDM)配置Kerberos认证和LDAP授权服务器组Cisco PIX 500系列安全工具的。在本例中,服务器组由VPN隧道组的策略用于验证和认证流入的用户。
本文假设PIX是完全能操作和已配置的允许ASDM做配置更改。
注意: 要使 ASDM 可配置 PIX,请参阅允许 ASDM 进行 HTTPS 访问。
本文档中的信息基于以下软件和硬件版本:
Cisco PIX 安全设备软件 7.x 版及更高版本
Cisco ASDM 5.x 版及更高版本
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
此配置可能也与Cisco可适应安全工具(ASA)版本7.x一起使用。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
处理 VPN 用户时并不支持 PIX/ASA 7.x 软件中提供的所有可能的身份验证和授权方法。下表详细介绍对于 VPN 用户有哪些方法可用:
本地 | RADIUS | TACACS+ | SDI | NT | Kerberos | LDAP | |
---|---|---|---|---|---|---|---|
验证 | 是 | 是 | 是 | 是 | 是 | 是 | 否 |
授权 | 是 | 是 | 否 | 否 | 否 | 否 | 是 |
注意: 在本例中,Kerberos 和 LDAP 分别用于 VPN 用户的身份验证和授权。
完成这些步骤为了通过ASDM配置VPN用户的认证和授权服务器组。
选择Configuration>属性>AAA设置>AAA服务器组,并且单击添加。
定义一名称对于新证书服务器组,并且选择协议。
Accounting Mode 选项仅用于 RADIUS 和 TACACS+。完成后单击 OK。
重复步骤1和2为了创建一个新的授权服务器组。
单击应用为了发送对设备的更改。
如果对其进行了相应配置,则设备当前将预览添加到运行配置的命令。
点击发送为了发送命令到设备。
现在必须用身份验证和授权服务器填充新创建的服务器组。
选择Configuration>属性>AAA设置>AAA服务器,并且单击添加。
配置身份验证服务器。完成后单击 OK。
Server Group — 选择步骤 2 中配置的身份验证服务器组。
Interface Name — 选择服务器所在的接口。
Server IP Address — 指定身份验证服务器的 IP 地址。
Timeout — 指定等待服务器响应的最长时间(以秒计)。
Kerberos Parameters:
Server Port — 88 是 Kerberos 的标准端口。
Retry Interval — 选择所需的重试间隔。
Kerberos Realm — 输入 Kerberos 域的名称。通常这是全部为大写字母的 Windows 域名。
配置授权服务器。完成后单击 OK。
Server Group — 选择步骤 3 中配置的授权服务器组。
Interface Name — 选择服务器所在的接口。
Server IP Address — 指定授权服务器的 IP 地址。
Timeout — 指定等待服务器响应的最长时间(以秒计)。
LDAP Parameters:
Server Port — 389 是 LDAP 的默认端口。
Base DN — 输入当服务器收到授权请求后在 LDAP 层次结构中应开始搜索的位置。
Scope — 选择当服务器收到授权请求后对 LDAP 层次结构应搜索到的范围。
名字属性—输入在LDAP服务器的条目独特定义的相对辨别名称属性。普通的名字属性是共同名称(CN)和用户ID (uid)。
Login DN — 某些 LDAP 服务器(包括 Microsoft Active Directory 服务器)在其接受任何其他 LDAP 操作的请求之前,要求设备通过已经过身份验证的绑定建立握手。Login DN 字段定义设备的身份验证特征,这些特征应对应于具有管理权限的用户的那些特征。例如,cn=administrator。对于匿名访问,请将此字段留空。
Login Password — 输入 Login DN 的密码。
Confirm Login Password — 确认 Login DN 的密码。
在所有认证和授权服务器被添加后,请单击应用为了发送对设备的更改。
如果对其进行了相应配置,则 PIX 当前将预览添加到运行配置的命令。
点击发送为了发送命令到设备。
完成这些步骤为了添加您配置对VPN隧道组的服务器组。
选择Configuration> VPN >隧道组,并且单击添加为了创建新通道组或者编辑为了修改现有组。
在随后出现的窗口的 General 选项卡上,选择较早配置的服务器组。
可选:如果添加了新的隧道组,则配置其他选项卡上的剩余参数。
完成后单击 OK。
在隧道组配置完成后,请单击应用为了发送对设备的更改。
如果对其进行了相应配置,则 PIX 当前将预览添加到运行配置的命令。
点击发送为了发送命令到设备。
这是 VPN 用户的身份验证和授权服务器组的等效 CLI 配置。
安全设备 CLI 配置 |
---|
pixfirewall#show run : Saved : PIX Version 7.2(2) ! hostname pixfirewall domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 shutdown no nameif no security-level no ip address ! interface Ethernet1 nameif inside security-level 100 ip address 172.22.1.105 255.255.255.0 ! !--- Output is suppressed. ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid pager lines 24 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-522.bin !--- Output is suppressed. aaa-server my_authent_grp protocol kerberos aaa-server my_authent_grp host 172.22.1.100 kerberos-realm REALM.CISCO.COM aaa-server my_author_grp protocol ldap aaa-server my_author_grp host 172.22.1.101 ldap-base-dn ou=cisco ldap-scope onelevel ldap-naming-attribute uid http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart tunnel-group DefaultRAGroup general-attributes authentication-server-group my_authent_grp authorization-server-group my_author_grp ! !--- Output is suppressed. |
完成以下这些步骤,验证 PIX/ASA 与 AAA 服务器之间的用户身份验证:
选择Configuration>属性>AAA设置>AAA服务器,并且选择服务器组(my_authent_grp)。然后请单击测验为了验证用户凭证。
提供 Username 和 Password(例如,username:test,而 password:测验),和点击OK键为了验证。
您会看到身份验证成功。
身份验证失败的一个常见原因是时钟迟滞。请确保 PIX 或 ASA 上的时钟与身份验证服务器同步。
当验证发生故障由于时滞时,您能收到此错误消息:::- ERROR:Authentication Rejected:Clock skew greater than 300 seconds..并且,此日志消息出现:
%PIX|ASA-3-113020 :Kerberos error :Clock skew with server ip_address greater than 300 secondsip_address — Kerberos 服务器的 IP 地址。
当由于安全设备和服务器上的时钟相差五分钟(300 秒),因此通过 Kerberos 服务器对 IPSec 或 WebVPN 用户进行身份验证失败时,将显示此消息。发生这种情况时,将拒绝连接尝试。
为了解决此问题,请同步在安全工具和Kerberos服务器的时钟。
必须禁用在激活目录(AD)的预验证,或者可能导致用户认证失败。
VPN客户端用户无法验证Microsoft Certificate服务器。显示以下错误消息:
“处理有效负载的错误” (Error 14)为了解决此问题,请不选定不要求kerberose在认证服务器的预先身份验证复选框。