PIX/ASA 7.x: CAC - مصادقة البطاقات الذكية لعميل Cisco VPN

خيارات التنزيل

  • PDF     (256.3 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (82.2 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (70.3 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢ يونيو ٢٠٠٨
معرّف المستند:107273

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة
المتطلبات الأساسية
المتطلبات
المكونات المستخدمة
الاصطلاحات
تكوين ASA من Cisco
اعتبارات النشر
تكوين المصادقة والتفويض والمحاسبة (AAA)
تكوين خادم LDAP
إدارة نقاط الثقة
إنشاء المفاتيح
تثبيت جهات توثيق CA
تثبيت الشهادات الجذر
تسجيل ASA وتثبيت شهادة الهوية
تكوين VPN
إنشاء مجموعة النفق ونهج المجموعة
واجهة مجموعة النفق وإعدادات الصورة
تكوين معلمات IKE/ISAKMP
تكوين معلمات IPSec
تكوين OCSP
تكوين شهادة المستجيب OCSP
تكوين CA لاستخدام OCSP
تكوين قواعد OCSP
تكوين عميل شبكة VPN من Cisco
بدء تشغيل عميل شبكة VPN من Cisco
اتصال جديد
بدء الوصول عن بعد
الملحق أ€“ تخطيط LDAP
السيناريو 1: تطبيق Active Directory مع طلب إذن الوصول عن بعد€“ السماح/رفض الوصول
إعداد Active Directory
تكوين ASA
السيناريو 2: تطبيق Active Directory مع عضوية المجموعة للسماح بالوصول/رفضه
إعداد Active Directory
تكوين ASA
الملحق€“ تكوين ASA CLI
الملحق ج- أستكشاف الأخطاء وإصلاحها
أستكشاف أخطاء AAA و LDAP وإصلاحها
المثال 1: الاتصال المسموح به مع تعيين السمة الصحيحة
المثال 2: الاتصال المسموح به بتعيين سمة Cisco التي تم تكوينها بشكل غير صحيح
هيئة شهادة أستكشاف الأخطاء وإصلاحها / OCSP
أستكشاف أخطاء IPsec وإصلاحها
الملحق D€“ التحقق من كائنات LDAP في MS
عارض LDAP
محرر واجهة خدمات Active Directory
معلومات ذات صلة

المقدمة

يقدم هذا المستند نموذجا لتكوين على جهاز الأمان القابل للتكيف (ASA) من Cisco للوصول عن بعد للشبكة باستخدام بطاقة الوصول المشترك (CAC) للمصادقة.

يغطي نطاق هذا المستند تكوين Cisco ASA باستخدام مدير أجهزة الأمان القابل للتكيف (ASDM) وعميل Cisco VPN وبروتوكول الوصول إلى الدليل خفيف الوزن (LDAP) Microsoft Active Directory (AD).

يستخدم التكوين الموجود في هذا الدليل خادم Microsoft AD/LDAP. يغطي هذا المستند أيضا الميزات المتقدمة، مثل خرائط سمات OCSP و LDAP.

المتطلبات الأساسية

المتطلبات

من المفيد فهم الإعداد الكامل معرفة أساسية ب Cisco ASA، وعميل شبكة VPN من Cisco، و Microsoft AD/LDAP، والبنية الأساسية للمفتاح العام (PKI). تساعد المعرفة بعضوية مجموعة AD وخصائص المستخدم، بالإضافة إلى كائنات LDAP على ربط عملية التخويل بين سمات الترخيص وكائنات AD/LDAP.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

  • جهاز الأمان القابل للتكيف (ASA) من Cisco 5500 Series الذي يشغل إصدار البرنامج 7.2(2)

  • Cisco Adaptive Security Device Manager (ASDM)، الإصدار 5.2(1)

  • عميل شبكة VPN 4.x من Cisco

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

تكوين ASA من Cisco

يغطي هذا القسم تكوين Cisco ASA من خلال ASDM. وهو يغطي الخطوات الضرورية لنشر نفق وصول عن بعد لشبكة VPN من خلال اتصال IPsec. يتم إستخدام شهادة CAC للمصادقة، وسمة اسم المستخدم الأساسي (UPN) في الشهادة يتم ملؤها في خدمة Active Directory للتخويل.

اعتبارات النشر

  • لا يغطي هذا الدليل التكوينات الأساسية مثل الواجهات أو DNS أو NTP أو التوجيه أو الوصول إلى الجهاز أو الوصول إلى ASDM، وما إلى ذلك. من المفترض أن مشغل الشبكة على دراية بهذه التكوينات.

    لمزيد من المعلومات، راجع أجهزة الأمان متعددة الوظائف.

  • بعض الأقسام هي تكوينات إلزامية مطلوبة للوصول الأساسي إلى شبكة VPN. على سبيل المثال، يمكن إعداد نفق VPN باستخدام بطاقة CAC بدون تحققات OCSP، تحققات تعيينات LDAP. تقوم DoD بتفويض فحص OCSP، ولكن يعمل النفق بدون تكوين OCSP.

  • الصورة الأساسية ل ASA/PIX المطلوبة هي 7.2(2) و ASDM 5.2(1)، ولكن هذا الدليل يستخدم بنية مؤقتة من 7.2.2.10 و ASDM 5.2.2.54.

  • لا يلزم تغيير مخطط LDAP.

  • راجع الملحق (أ) للحصول على أمثلة لرسم خرائط سياسة الوصول الديناميكي و LDAP لتنفيذ السياسات الإضافية.

  • راجع الملحق (د) حول كيفية التحقق من كائنات LDAP في MS.

  • الاطلاع على المعلومات ذات الصلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
26-May-2008
الإصدار الأولي

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات