تكوين AnyConnect Secure Mobility Client باستخدام كلمة مرور لمرة واحدة
المقدمة
يصف هذا المستند مثالاً لتكوين وصول جهاز الأمان القابل للتكيّف (ASA) Cisco AnyConnect Secure Mobility Client.
المتطلبات الأساسية
المتطلبات
يفترض هذا المستند أن ASA قيد التشغيل الكامل وتم تكوينه للسماح ل Cisco Adaptive Security Device Manager (ASDM) أو واجهة سطر الأوامر (CLI) بإجراء تغييرات التكوين.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة أساسية ب ASA CLI و ASDM
- SSLVPN تشكيل على ال cisco ASA Head End
- معرفة أساسية بمصادقة العاملين
المكونات المستخدمة
تستند هذه المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- جهاز الأمان القابل للتكيف ASA5506 من Cisco
- برنامج جهاز الأمان القابل للتكيف من Cisco، الإصدار 9.6(1)
- Adaptive Security Device Manager، الإصدار 7.8(2)
- AnyConnect، الإصدار 4.5.02033
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يستخدم جهاز الأمان القابل للتكيف (ASA) Cisco AnyConnect Secure Mobility Client Access مصادقة ثنائية العوامل بمساعدة كلمة مرور المرة الواحدة (OTP). يجب على المرء توفير بيانات الاعتماد والرمز المميز الصحيحة لمستخدم AnyConnect للاتصال بنجاح.
تستخدم المصادقة ثنائية العوامل طريقتين مختلفتين للمصادقة يمكن أن تكون أي من الطريقتين التاليتين.
- شيء تعرفه
- شيء لديك
- شيء أنت عليه
بصفة عامة، فإنه يتضمن شيئا يعرفه المستخدم (اسم المستخدم وكلمة المرور)، وشئ يمتلكه المستخدم (على سبيل المثال، كيان المعلومات الذي يمتلكه الفرد فقط مثل الرمز المميز أو الشهادة). وهذا أكثر أمانا من تصميمات المصادقة التقليدية حيث يقوم المستخدم بالمصادقة عبر بيانات الاعتماد المخزنة إما على قاعدة البيانات المحلية الخاصة ب ASA أو خادم Active Directory (AD) المدمج مع ASA. تعد كلمة المرور لمرة واحدة واحدة واحدة من أكثر الأشكال بساطة وأكثرها شيوعا للمصادقة ثنائية العوامل لتأمين الوصول إلى الشبكة. على سبيل المثال، في المؤسسات الكبيرة، غالبا ما يتطلب الوصول إلى الشبكة الخاصة الظاهرية إستخدام رموز مرور المرة الواحدة لمصادقة المستخدم عن بعد.
في هذا السيناريو، تستخدم خادم مصادقة OpenOTP كخادم AAA الذي يستخدم بروتوكول RADIUS للاتصال بين خادم ASA و AAA. يتم تكوين بيانات اعتماد المستخدم على خادم OpenOTP المقترن بخدمة تطبيق Google Authenticator كرمز مميز غير مرئي للمصادقة ثنائية العوامل.
لا تتم تغطية تكوين OpenOTP هنا لأنه خارج نطاق هذا المستند. يمكنك التحقق من هذه الارتباطات لمزيد من القراءة.
إعداد OpenOTP
https://www.rcdevs.com/docs/howtos/openotp_quick_start/openotp_quick_start/
تكوين ASA لمصادقة OpenOTP
https://www.rcdevs.com/docs/howtos/asa_ssl_vpn/asa/
تدفق الحزمة
تم التقاط الحزمة هذه على الواجهة الخارجية ل ASA المتصلة بخادم AAA على 10.106.50.20.
- يقوم مستخدم AnyConnect بتهيئة اتصال العميل نحو ASA ويتوقف على تكوين عنوان URL الخاص بالمجموعة والاسم المستعار الخاص بالمجموعة، ويهبط الاتصال على مجموعة نفق معينة (ملف تعريف الاتصال). عند هذه النقطة، يطلب من المستخدم إدخال بيانات الاعتماد.
- بمجرد إدخال المستخدم لبيانات الاعتماد، تتم إعادة توجيه طلب المصادقة (حزمة طلب الوصول) إلى خادم AAA من ASA.
- بعد وصول طلب المصادقة إلى خادم AAA، يتحقق من صحة بيانات الاعتماد. إذا كانت صحيحة، فيرد خادم AAA بتحدي وصول حيث يطلب من المستخدم إدخال كلمة مرور مرة واحدة. في حالة بيانات الاعتماد غير الصحيحة، يتم إرسال حزمة Access-Reject إلى ASA.
- بينما يدخل المستخدم كلمة مرور المرة الواحدة، يتم إرسال طلب المصادقة في شكل حزمة طلب الوصول من ASA إلى خادم AAA
- وبمجرد التحقق من صحة كلمة مرور المرة الواحدة بنجاح على خادم AAA، يتم إرسال حزمة قبول الوصول من الخادم إلى ASA، ويتم مصادقة المستخدم بنجاح مما يؤدي إلى اكتمال عملية المصادقة ذات العاملين.
معلومات ترخيص AnyConnect
فيما يلي بعض الارتباطات إلى معلومات مفيدة حول تراخيص Cisco AnyConnect Secure Mobility Client:
- راجع هذا المستند للحصول على أسئلة ترخيص AnyConnect المتكررة.
- راجع دليل الطلب من Cisco AnyConnect للحصول على معلومات حول تراخيص AnyConnect Apex وPlus.
التكوين
يصف هذا القسم كيفية تكوين Cisco AnyConnect Secure Mobility Client على ASA.
الرسم التخطيطي للشبكة
معالج تكوين ASDM AnyConnect
يمكن استخدام معالج تكوين AnyConnect لتكوين AnyConnect Secure Mobility Client. تأكد من تحميل حِزمة عميل AnyConnect إلى الذاكرة المؤقتة/قرص جدار حماية ASA قبل المتابعة.
أكمل هذه الخطوات لتكوين AnyConnect Secure Mobility Client عبر معالج التكوين:
للحصول على تكوين انقسام النفق عبر ASDM، لتنزيل AnyConnect وتثبيته، يرجى الرجوع إلى هذا المستند.
AnyConnect Secure Mobility Client
تكوين ASA CLI
يوفر هذا القسم التكوين عبر واجهة سطر الأوامر (CLI) لعميل Cisco AnyConnect Secure Mobility لأغراض مرجعية.
!--------------------Client pool configuration------------- ------
ip local pool ANYCONNECT-POOL 192.168.100.1-192.168.100.254 mask 255.255.255.0
!
interface GigabitEthernet1/1
nameif outside
security-level 0
ip address dhcp setroute
!
!--------------------Split ACL configuration--------------------
access-list SPLIT-TUNNEL standard permit 10.0.0.0 255.255.255.0
pager lines 24
logging enable
logging timestamp
mtu tftp 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
asdm image disk0:/asdm-782.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
route outside 0.0.0.0 0.0.0.0 10.106.56.1 1
!------------------Configure AAA server --------------------
aaa-server RADIUS_OTP protocol radius
aaa-server RADIUS_OTP (outside) host 10.106.50.20
key *****
!------Configure Trustpoint containing ASA Identity Certificate ------
crypto ca trustpoint ASDM_Trustpoint 0
enrollment self
subject-name CN=bglanyconnect.cisco.com
keypair self
!-------Apply trustpoint on outside interface------
ssl trust-point ASDM_Trustpoint0 outside
!-------Enable AnyConnect and configuring AnyConnect Image------
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.5.02033-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
!--------------------Group Policy configuration--------------------
group-policy GroupPolicy_ANYCONNECT-PROFILE internal
group-policy GroupPolicy_ANYCONNECT-PROFILE attributes
dns-server value 10.10.10.99
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT-TUNNEL
default-domain value cisco.com
!----------Tunnel-Group (Connection Profile) Configuration----------
tunnel-group ANYCONNECT_PROFILE type remote-access
tunnel-group ANYCONNECT_PROFILE general-attributes
address-pool ANYCONNECT-POOL
authentication-server-group RADIUS_OTP
default-group-policy GroupPolicy_ANYCONNECT-PROFILE
tunnel-group ANYCONNECT_PROFILE webvpn-attributes
group-alias ANYCONNECT-PROFILE enable
: end
لتكوين شهادة جهة خارجية وتثبيتها على ASA لاتصالات عميل AnyConnect، ارجع إلى هذا المستند.
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
يمكن تنفيذ أوامر العرض هذه لتأكيد حالة عميل AnyConnect وإحصاءاته.
ASA(config)# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 1
Assigned IP : 192.168.100.1 Public IP : 10.106.49.111
Protocol : AnyConnect-Parent DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none DTLS-Tunnel: (1)SHA1
Bytes Tx : 15122 Bytes Rx : 5897
Group Policy : GroupPolicy_ANYCONNECT-PROFILE
Tunnel Group : ANYCONNECT_PROFILE
Login Time : 14:47:09 UTC Wed Nov 1 2017
Duration : 1h:04m:52s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000100059f9de6d
Security Grp : none
ASA(config)# show vpn-sessiondb detail anyconnect filter name cisco
Session Type: AnyConnect Detailed
Username : cisco Index : 1
Assigned IP : 192.168.100.1 Public IP : 10.106.49.111
Protocol : AnyConnect-Parent DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none DTLS-Tunnel: (1)SHA1
Bytes Tx : 15122 Bytes Rx : 5897
Pkts Tx : 10 Pkts Rx : 90
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GroupPolicy_ANYCONNECT-PROFILE
Tunnel Group : ANYCONNECT_PROFILE
Login Time : 14:47:09 UTC Wed Nov 1 2017
Duration : 1h:04m:55s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000100059f9de6d
Security Grp : none
AnyConnect-Parent Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 1.1
Public IP : 10.106.49.111
Encryption : none Hashing : none
TCP Src Port : 53113 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 1 Minutes
Client OS : win
Client OS Ver: 6.1.7601 Service Pack 1
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.5.02033
Bytes Tx : 7561 Bytes Rx : 0
Pkts Tx : 5 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 1.3
Assigned IP : 192.168.100.1 Public IP : 10.106.49.111
Encryption : AES256 Hashing : SHA1
Ciphersute : AES256-SHA
Encapsulation: DTLSv1.0 UDP Src Port : 63257
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 0 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.5.02033
Bytes Tx : 0 Bytes Rx : 5801
Pkts Tx : 0 Pkts Rx : 88
Pkts Tx Drop : 0 Pkts Rx Drop : 0
تجربة المستخدم
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم المعلومات التي يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
لاستكشاف أخطاء عملية المصادقة الكاملة لاتصال عميل AnyConnect الوارد وإصلاحها، يمكنك إستخدام عمليات تصحيح الأخطاء التالية:
- debug radius all
- تصحيح أخطاء مصادقة aaa (المصادقة والتفويض والمحاسبة)
- debug wrbvpn AnyConnect
تؤكد هذه الأوامر صحة بيانات اعتماد المستخدم أو عدم صحتها.
إختبار مصادقة خادم AAA <aaa_server_group> [<host_ip>] اسم المستخدم <user> كلمة المرور <password>
في حالة تصحيح اسم المستخدم وكلمة المرور،
ASA(config)# test aaa authentication RADIUS_OTP host 10.106.50.20
Username: cisco
Password: *****
INFO: Attempting Authentication test to IP address <10.106.50.20> (timeout: 12 seconds)
ERROR: Authentication Challenged: No error
يتعلق الخطأ الأخير بحقيقة أنه نظرا لأن خادم AAA يتوقع من المستخدم إدخال كلمة مرور مرة واحدة إلى النشر الناجح لاسم المستخدم وكلمة المرور، ولا يتضمن هذا الاختبار دخول المستخدم لبروتوكول OTP بشكل نشط، فأنت ترى Access-Challenge الذي تم إرساله بواسطة خادم AAA إستجابة لذلك لا يظهر خطأ على ASA.
في حالة عدم صحة اسم المستخدم و/أو كلمة المرور،
ASA(config)# test aaa authentication RADIUS_OTP host 10.106.50.20
Username: cisco
Password: ***
INFO: Attempting Authentication test to IP address <10.106.50.20> (timeout: 12 seconds)
ERROR: Authentication Rejected: AAA failure
تصحيح الأخطاء من إعداد عمل ما يشبه هذا:
وسيلة الإيضاح
AnyConnect Client Real IP: 10.106.49.111
ASA IP: 10.106.48.191
ASA(config)# debug radius all
ASA(config)# debug aaa authentication
debug aaa authentication enabled at level 1
radius mkreq: 0x8
alloc_rip 0x74251058
new request 0x8 --> 7 (0x74251058)
got user 'cisco'
got password
add_req 0x74251058 session 0x8 id 7
RADIUS_REQUEST
radius.c: rad_mkpkt
rad_mkpkt: ip:source-ip=10.106.49.111
RADIUS packet decode (authentication request)
--------------------------------------
Raw packet data (length = 180).....
01 07 00 b4 b6 c2 bf 25 cf 80 53 a9 a2 3d c8 ca | .......%..S..=..
74 05 27 5c 01 07 63 69 73 63 6f 02 12 d7 99 45 | t.'\..cisco....E
6e 0f 46 71 bc 52 47 b0 81 b4 18 ae 34 05 06 00 | n.Fq.RG.....4...
00 40 00 1e 0f 31 30 2e 31 30 36 2e 34 38 2e 31 | .@...10.106.48.1
39 31 1f 0f 31 30 2e 31 30 36 2e 34 39 2e 31 31 | 91..10.106.49.11
31 3d 06 00 00 00 05 42 0f 31 30 2e 31 30 36 2e | 1=.....B.10.106.
34 39 2e 31 31 31 04 06 0a 6a 30 bf 1a 22 00 00 | 49.111...j0.."..
00 09 01 1c 69 70 3a 73 6f 75 72 63 65 2d 69 70 | ....ip:source-ip
3d 31 30 2e 31 30 36 2e 34 39 2e 31 31 31 1a 1a | =10.106.49.111..
00 00 0c 04 92 14 41 4e 59 43 4f 4e 4e 45 43 54 | ......ANYCONNECT
2d 50 52 4f 46 49 4c 45 1a 0c 00 00 0c 04 96 06 | -PROFILE........
00 00 00 02 | ....
Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 7 (0x07)
Radius: Length = 180 (0x00B4)
Radius: Vector: B6C2BF25CF8053A9A23DC8CA7405275C
Radius: Type = 1 (0x01) User-Name
Radius: Length = 7 (0x07)
Radius: Value (String) =
63 69 73 63 6f | cisco
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
d7 99 45 6e 0f 46 71 bc 52 47 b0 81 b4 18 ae 34 | ..En.Fq.RG.....4
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x4000
Radius: Type = 30 (0x1E) Called-Station-Id
Radius: Length = 15 (0x0F)
Radius: Value (String) =
31 30 2e 31 30 36 2e 34 38 2e 31 39 31 | 10.106.48.191
Radius: Type = 31 (0x1F) Calling-Station-Id
Radius: Length = 15 (0x0F)
Radius: Value (String) =
31 30 2e 31 30 36 2e 34 39 2e 31 31 31 | 10.106.49.111
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
Radius: Type = 66 (0x42) Tunnel-Client-Endpoint
Radius: Length = 15 (0x0F)
Radius: Value (String) =
31 30 2e 31 30 36 2e 34 39 2e 31 31 31 | 10.106.49.111
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 10.106.48.191 (0x0A6A30BF)
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 34 (0x22)
Radius: Vendor ID = 9 (0x00000009)
Radius: Type = 1 (0x01) Cisco-AV-pair
Radius: Length = 28 (0x1C)
Radius: Value (String) =
69 70 3a 73 6f 75 72 63 65 2d 69 70 3d 31 30 2e | ip:source-ip=10.
31 30 36 2e 34 39 2e 31 31 31 | 106.49.111
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 26 (0x1A)
Radius: Vendor ID = 3076 (0x00000C04)
Radius: Type = 146 (0x92) Tunnel-Group-Name
Radius: Length = 20 (0x14)
Radius: Value (String) =
41 4e 59 43 4f 4e 4e 45 43 54 2d 50 52 4f 46 49 | ANYCONNECT-PROFI
4c 45 | LE
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 12 (0x0C)
Radius: Vendor ID = 3076 (0x00000C04)
Radius: Type = 150 (0x96) Client-Type
Radius: Length = 6 (0x06)
Radius: Value (Integer) = 2 (0x0002)
send pkt 10.106.50.20/1645
rip 0x74251058 state 7 id 7
rad_vrfy() : response message verified
rip 0x74251058
: chall_state ''
: state 0x7
: reqauth:
b6 c2 bf 25 cf 80 53 a9 a2 3d c8 ca 74 05 27 5c
: info 0x74251190
session_id 0x8
request_id 0x7
user 'cisco'
response '***'
app 0
reason 0
skey 'testing123'
sip 10.106.50.20
type 1
RADIUS packet decode (response)
--------------------------------------
Raw packet data (length = 80).....
0b 07 00 50 ed 7a 06 92 f7 18 16 6b 97 d4 83 5f | ...P.z.....k..._
be 9b d7 29 18 12 75 6b 35 36 58 49 4f 6e 35 31 | ...)..uk56XIOn51
58 36 4b 75 4c 74 12 24 45 6e 74 65 72 20 79 6f | X6KuLt.$Enter yo
75 72 20 54 4f 4b 45 4e 20 6f 6e 65 2d 74 69 6d | ur TOKEN one-tim
65 20 70 61 73 73 77 6f 72 64 1b 06 00 00 00 5a | e password.....Z
Parsed packet data.....
Radius: Code = 11 (0x0B)
Radius: Identifier = 7 (0x07)
Radius: Length = 80 (0x0050)
Radius: Vector: ED7A0692F718166B97D4835FBE9BD729
Radius: Type = 24 (0x18) State
Radius: Length = 18 (0x12)
Radius: Value (String) =
75 6b 35 36 58 49 4f 6e 35 31 58 36 4b 75 4c 74 | uk56XIOn51X6KuLt
Radius: Type = 18 (0x12) Reply-Message
Radius: Length = 36 (0x24)
Radius: Value (String) =
45 6e 74 65 72 20 79 6f 75 72 20 54 4f 4b 45 4e | Enter your TOKEN
20 6f 6e 65 2d 74 69 6d 65 20 70 61 73 73 77 6f | one-time passwo
72 64 | rd
Radius: Type = 27 (0x1B) Session-Timeout
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5A
rad_procpkt: CHALLENGE
radius mkreq: 0x8
old request 0x8 --> 8 (0x74251058), state 3
wait pass - pass '***'. make request
RADIUS_REQUEST
radius.c: rad_mkpkt
rad_mkpkt: ip:source-ip=10.106.49.111
RADIUS packet decode (authentication request)
--------------------------------------
Raw packet data (length = 198).....
01 08 00 c6 b6 c2 bf 25 cf 80 53 a9 a2 3d c8 ca | .......%..S..=..
74 05 27 5c 01 07 63 69 73 63 6f 02 12 83 c4 00 | t.'\..cisco.....
3e 56 73 71 bc 52 47 b0 81 b4 18 ae 34 05 06 00 | >Vsq.RG.....4...
00 40 00 1e 0f 31 30 2e 31 30 36 2e 34 38 2e 31 | .@...10.106.48.1
39 31 1f 0f 31 30 2e 31 30 36 2e 34 39 2e 31 31 | 91..10.106.49.11
31 3d 06 00 00 00 05 42 0f 31 30 2e 31 30 36 2e | 1=.....B.10.106.
34 39 2e 31 31 31 04 06 0a 6a 30 bf 18 12 75 6b | 49.111...j0...uk
35 36 58 49 4f 6e 35 31 58 36 4b 75 4c 74 1a 22 | 56XIOn51X6KuLt."
00 00 00 09 01 1c 69 70 3a 73 6f 75 72 63 65 2d | ......ip:source-
69 70 3d 31 30 2e 31 30 36 2e 34 39 2e 31 31 31 | ip=10.106.49.111
1a 1a 00 00 0c 04 92 14 41 4e 59 43 4f 4e 4e 45 | ........ANYCONNE
43 54 2d 50 52 4f 46 49 4c 45 1a 0c 00 00 0c 04 | CT-PROFILE......
96 06 00 00 00 02 | ......
Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 8 (0x08)
Radius: Length = 198 (0x00C6)
Radius: Vector: B6C2BF25CF8053A9A23DC8CA7405275C
Radius: Type = 1 (0x01) User-Name
Radius: Length = 7 (0x07)
Radius: Value (String) =
63 69 73 63 6f | cisco
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
83 c4 00 3e 56 73 71 bc 52 47 b0 81 b4 18 ae 34 | ...>Vsq.RG.....4
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x4000
Radius: Type = 30 (0x1E) Called-Station-Id
Radius: Length = 15 (0x0F)
Radius: Value (String) =
31 30 2e 31 30 36 2e 34 38 2e 31 39 31 | 10.106.48.191
Radius: Type = 31 (0x1F) Calling-Station-Id
Radius: Length = 15 (0x0F)
Radius: Value (String) =
31 30 2e 31 30 36 2e 34 39 2e 31 31 31 | 10.106.49.111
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
Radius: Type = 66 (0x42) Tunnel-Client-Endpoint
Radius: Length = 15 (0x0F)
Radius: Value (String) =
31 30 2e 31 30 36 2e 34 39 2e 31 31 31 | 10.106.49.111
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 10.106.48.191 (0x0A6A30BF)
Radius: Type = 24 (0x18) State
Radius: Length = 18 (0x12)
Radius: Value (String) =
75 6b 35 36 58 49 4f 6e 35 31 58 36 4b 75 4c 74 | uk56XIOn51X6KuLt
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 34 (0x22)
Radius: Vendor ID = 9 (0x00000009)
Radius: Type = 1 (0x01) Cisco-AV-pair
Radius: Length = 28 (0x1C)
Radius: Value (String) =
69 70 3a 73 6f 75 72 63 65 2d 69 70 3d 31 30 2e | ip:source-ip=10.
31 30 36 2e 34 39 2e 31 31 31 | 106.49.111
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 26 (0x1A)
Radius: Vendor ID = 3076 (0x00000C04)
Radius: Type = 146 (0x92) Tunnel-Group-Name
Radius: Length = 20 (0x14)
Radius: Value (String) =
41 4e 59 43 4f 4e 4e 45 43 54 2d 50 52 4f 46 49 | ANYCONNECT-PROFI
4c 45 | LE
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 12 (0x0C)
Radius: Vendor ID = 3076 (0x00000C04)
Radius: Type = 150 (0x96) Client-Type
Radius: Length = 6 (0x06)
Radius: Value (Integer) = 2 (0x0002)
send pkt 10.106.50.20/1645
rip 0x74251058 state 7 id 8
rad_vrfy() : response message verified
rip 0x74251058
: chall_state 'uk56XIOn51X6KuLt'
: state 0x7
: reqauth:
b6 c2 bf 25 cf 80 53 a9 a2 3d c8 ca 74 05 27 5c
: info 0x74251190
session_id 0x8
request_id 0x8
user 'cisco'
response '***'
app 0
reason 0
skey 'testing123'
sip 10.106.50.20
type 1
RADIUS packet decode (response)
--------------------------------------
Raw packet data (length = 44).....
02 08 00 2c c0 80 63 1c 3e 43 a4 bd 46 78 bd 68 | ...,..c.>C..Fx.h
49 29 23 bd 12 18 41 75 74 68 65 6e 74 69 63 61 | I)#...Authentica
74 69 6f 6e 20 73 75 63 63 65 73 73 | tion success
Parsed packet data.....
Radius: Code = 2 (0x02)
Radius: Identifier = 8 (0x08)
Radius: Length = 44 (0x002C)
Radius: Vector: C080631C3E43A4BD4678BD68492923BD
Radius: Type = 18 (0x12) Reply-Message
Radius: Length = 24 (0x18)
Radius: Value (String) =
41 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 20 73 | Authentication s
75 63 63 65 73 73 | uccess
rad_procpkt: ACCEPT
RADIUS_ACCESS_ACCEPT: normal termination
RADIUS_DELETE
remove_req 0x74251058 session 0x8 id 8
free_rip 0x74251058
radius: send queue empty
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
07-Dec-2022 |
PII الذي تم التحقق منه غير موجود في المستند.
تم التحديث والعنوان والمقدمة والنص البديل و SEO والترجمة الآلية ومتطلبات النمط والمجلدات والتنسيق. |
1.0 |
27-Nov-2018 |
الإصدار الأولي |
التعليقات