Integration von Duo SAML SSO mit AnyConnect Secure Remote Access mit ISE-Status

Download-Optionen

  • PDF     (7.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (9.7 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (5.0 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:25. Juni 2020
Dokument-ID:215672

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird ein Konfigurationsbeispiel für die Integration von Duo SAML SSO mit Adaptive Security Appliance (ASA) Cisco AnyConnect Secure Mobility Client für eine detaillierte Statusüberprüfung mithilfe der Cisco ISE beschrieben. Duo SAML SSO wird mithilfe von Duo Access Gateway (DAG) implementiert, das zur erstmaligen Benutzerauthentifizierung mit dem Active Directory kommuniziert und dann zur mehrstufigen Authentifizierung mit Duo Security (Cloud) kommuniziert. Die Cisco ISE wird als Autorisierungsserver für die Endpunktverifizierung mittels Statusüberprüfung verwendet.


    Beitrag von Dinesh Moudgil und Pulkit Saxena, Cisco HTTS Engineer.

    Voraussetzungen

    Anforderungen

    In diesem Dokument wird davon ausgegangen, dass die ASA voll funktionsfähig und so konfiguriert ist, dass mit dem Cisco Adaptive Security Device Manager (ASDM) oder der Befehlszeilenschnittstelle (Command Line Interface, kurz „CLI“) Konfigurationsänderungen möglich sind.
    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
    •     Grundlagen zu Duo Access Gateway und Duo Security 
    •     Grundkenntnisse der VPN-Konfiguration für Remote-Zugriff auf der ASA
    •     Grundkenntnisse der ISE und Statusservices

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:
    • Cisco Adaptive Security Appliance-Software Version 9.12(3)12
    • Duo Access-Gateway
    • Duo Security 
    • Cisco Identity Services Engine Version 2.6 und höher
    • Microsoft Windows 10 mit AnyConnect Version 4.8.03052

    Hinweis: Für jeden in dieser Implementierung verwendeten Embedded Browser von AnyConnect ist die ASA Version 9.7(1)24, 9.8(2)28, 9.9(2)1 oder eine höhere Version jeder Version sowie die AnyConnect-Version 4.6 oder höher erforderlich.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

    Konfigurieren

    Netzwerkdiagramm



    Datenverkehrsfluss

    1. AnyConnect-Client initiiert eine SSL VPN-Verbindung zur Cisco ASA

    2. Cisco ASA, die für die primäre Authentifizierung mit Duo Access Gateway (DAG) konfiguriert ist, leitet den eingebetteten Browser in Anyconnect Client zur SAML-Authentifizierung an DAG um

    3. AnyConnect-Client wird auf Duo Access Gateway umgeleitet

    4. Sobald der AnyConnect-Client die Anmeldeinformationen eingegeben hat, wird eine SAML-Authentifizierungsanforderung erstellt und von Cisco ASA an Duo Access Gateway ausgegeben

    5. Duo Access Gateway nutzt die Integration mit Active Directory vor Ort, um die primäre Authentifizierung für den AnyConnect-Client durchzuführen

    6. Sobald die primäre Authentifizierung erfolgreich ist, sendet das Duo Access Gateway über den TCP-Port 443 eine Anforderung an Duo Security, um die Zwei-Faktor-Authentifizierung zu starten.

    7. Der AnyConnect-Client präsentiert sich mit "Duo Interactive Prompt" und der Benutzer vollendet Duo Zwei-Faktor-Authentifizierung mit seiner bevorzugten Methode (Push oder Passcode)

    8. Duo Security erhält eine Authentifizierungsantwort und sendet die Informationen an das Duo Access Gateway

    9. Auf Basis der Authentifizierungsantwort erstellt Duo Access Gateway eine SAML-Authentifizierungsantwort, die eine SAML-Assertion enthält und auf den AnyConnect-Client reagiert

    10. AnyConnect-Client authentifiziert erfolgreich SSL VPN-Verbindungen mit Cisco ASA

    11. Nach erfolgreicher Authentifizierung sendet die Cisco ASA eine Autorisierungsanfrage an die Cisco ISE

      Hinweis: Cisco ISE ist nur für die Autorisierung konfiguriert, da Duo Access Gateway die erforderliche Authentifizierung bereitstellt.

    12. Die Cisco ISE verarbeitet die Autorisierungsanfrage und gibt, da der Status des Clients "Unbekannt" lautet, eine Statusumleitung mit eingeschränktem Zugriff auf den AnyConnect-Client über die Cisco ASA zurück.

    13. Wenn der Anyconnect-Client über kein Compliance-Modul verfügt, wird er aufgefordert, das Modul herunterzuladen, um die Statusüberprüfung fortzusetzen.

    14. Wenn der AnyConnect-Client über ein Compliance-Modul verfügt, stellt er eine TLS-Verbindung mit der Cisco ASA her, und der Statusfluss beginnt

    15. Abhängig von den auf der ISE konfigurierten Statusbedingungen werden Statusüberprüfungen durchgeführt, und die Details werden vom AnyConnect-Client an die Cisco ISE gesendet.

    16. Wenn sich der Status des Clients von Unbekannt zu Konformität ändert, wird von der Cisco ISE eine Anforderung zur Autorisierung (Change of Authorization, CoA) an die Cisco ASA gesendet, um dem Client den vollen Zugriff zu gewähren. Das VPN ist dann vollständig eingerichtet.

    Konfigurationen


    - Duo Admin-Portal-Konfiguration

    Konfigurieren Sie in diesem Abschnitt die ASA-Anwendung auf dem Duo-Administratorportal.

    1. Melden Sie sich bei "Duo Admin Portal" an, navigieren Sie zu "Applications > Protect an Application" (Anwendungen > Schutz einer Anwendung), und suchen Sie nach "ASA" mit dem Schutztyp "2FA with Duo Access Gateway, self-hosted" (2FA mit Duo Access Gateway, selbst gehostet). Klicken Sie ganz rechts auf "Schützen", um die Cisco ASA zu konfigurieren.

    2. Konfigurieren Sie unter "Service Provider" die folgenden Attribute für die geschützte Anwendung ASA.

    Basis-URL firebird.cisco.com
    Tunnelgruppe TG_SAML
    Mail-Attribut

    sAMAccountName, E-Mail

    Klicken Sie unten auf der Seite auf "Speichern"

    In diesem Dokument werden für die restliche Konfiguration Standardparameter verwendet. Sie können jedoch entsprechend den Anforderungen des Kunden festgelegt werden.
    Zu diesem Zeitpunkt können zusätzliche Einstellungen für die neue SAML-Anwendung angepasst werden, z. B. das Ändern des Anwendungsnamens vom Standardwert, das Aktivieren der Self-Service-Funktion oder das Zuweisen einer Gruppenrichtlinie.

    3. Klicken Sie auf den Link "Download your configuration file" (Konfigurationsdatei herunterladen), um die Einstellungen der Cisco ASA-Anwendung (als JSON-Datei) abzurufen. Diese Datei wird in späteren Schritten auf das Duo Access Gateway hochgeladen.

    4. Unter "Dashboard > Anwendungen" sieht die neu erstellte ASA-Anwendung wie in der Abbildung unten dargestellt aus:

    5. Navigieren Sie zu "Benutzer > Benutzer hinzufügen", wie in der Abbildung dargestellt:

    Erstellen Sie einen Benutzer namens "duouser", der für die AnyConnect Remote Access-Authentifizierung verwendet werden soll, und aktivieren Sie Duo Mobile auf dem Endbenutzergerät.


    Um die Telefonnummer hinzuzufügen, wie im Bild gezeigt, wählen Sie die Option "Telefon hinzufügen".


    Aktivieren Sie "Duo Mobile" für den jeweiligen Benutzer




    Hinweis: Stellen Sie sicher, dass "Duo Mobile" auf dem Endbenutzergerät installiert ist.
    Manuelle Installation der Duo Anwendung für IOS Geräte
    Manuelle Installation der Duo Anwendung für Android Geräte


    Wählen Sie "Duo-Aktivierungscode generieren" wie im Bild gezeigt:

    Wählen Sie "Send Instructions by SMS" (Anweisungen per SMS senden) wie im Bild gezeigt:


    Klicken Sie auf den Link in der SMS, und die Duo App wird mit dem Benutzerkonto im Abschnitt "Geräteinformationen" verknüpft, wie im Bild gezeigt:

    - Duo Access Gateway (DAG)-Konfiguration

    1. Bereitstellung von Duo Access Gateway (DAG) auf einem Server in Ihrem Netzwerk

      Hinweis: Befolgen Sie zur Bereitstellung die folgenden Dokumente:

      Duo Access Gateway für Linux
      https://duo.com/docs/dag-linux

      Duo Access Gateway für Windows
      https://duo.com/docs/dag-windows

    2. Navigieren Sie auf der Startseite von Duo Access Gateway zu "Authentication Source"

    3. Geben Sie unter "Quellen konfigurieren" die folgenden Attribute für Ihr Active Directory ein, und klicken Sie auf "Einstellungen speichern".





    4. Wählen Sie unter "Set Active Source" den Quelltyp als "Active Directory" aus, und klicken Sie auf "Set Active Source".

    5. Navigieren Sie zu "Applications" (Anwendungen hinzufügen), und laden Sie im Untermenü "Add Application" (Anwendung hinzufügen) die JSON-Datei hoch, die Sie von der Duo Admin Console im Abschnitt "Configuration file" (Konfigurationsdatei) heruntergeladen haben. Die entsprechende JSON-Datei wurde in Schritt 3 unter Duo Admin Portal Configuration heruntergeladen.

    6. Sobald die Anwendung erfolgreich hinzugefügt wurde, wird sie im Untermenü "Anwendungen" angezeigt.

    7. Laden Sie im Untermenü "Metadaten" die XML-Metadaten und das IdP-Zertifikat herunter, und notieren Sie sich die folgenden URLs, die später auf der ASA konfiguriert werden:

      1. SSO-URL
      2. Abmelde-URL
      3. Entitäts-ID
      4. Fehler-URL

    -ASA-Konfiguration

    Dieser Abschnitt enthält Informationen zur Konfiguration von ASA für die SAML-IDP-Authentifizierung und die grundlegende AnyConnect-Konfiguration. Das Dokument enthält die ASDM-Konfigurationsschritte und die CLI-Konfiguration, die für die Übersicht ausgeführt wird.

    1. Duo Access Gateway-Zertifikat hochladen

    A. Navigieren Sie zu "Konfiguration > Gerätemanagement > Zertifikatsverwaltung > Zertifizierungsstellenzertifikate", und klicken Sie auf "Hinzufügen".

    B. Konfigurieren Sie auf der Seite "Install Certificate" (Zertifikat installieren) den Trustpoint-Namen: Duo_Access_Gateway.

    C. Klicken Sie auf "Durchsuchen", um den Pfad für das DAG-Zertifikat auszuwählen, und klicken Sie nach der Auswahl auf "Zertifikat installieren".


    2. Erstellen Sie einen lokalen IP-Pool für AnyConnect-Benutzer.


    Navigieren Sie zu "Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools", und klicken Sie auf "Add".

    3. Konfigurieren der AAA-Servergruppe

    A.: Konfigurieren Sie in diesem Abschnitt die AAA-Servergruppe, und geben Sie Details zum AAA-Server an, der die Autorisierung durchführt.

    B. Navigieren Sie zu "Configuration > Remote Access VPN > AAA/Local Users > AAA Server Groups", und klicken Sie auf "Add" (Hinzufügen).



    C. Klicken Sie auf derselben Seite im Abschnitt "Server in der ausgewählten Gruppe" auf "Hinzufügen", und geben Sie die IP-Adresse des AAA-Servers an.

    4. AnyConnect-Clientsoftware zuordnen

    A. Map the AnyConnect client software webdeploy image 4.8.03052 for windows to be used for WebVPN


    B. Navigieren Sie zu "Konfiguration > Remotezugriff-VPN > Netzwerkzugriff (Client) > AnyConnect-Clientsoftware", und klicken Sie auf "Hinzufügen".


    5. Konfigurieren Sie die als Ergebnis der ISE weitergeleitete ACL.

    A. Navigieren Sie zu "Configuration > Firewall > Advanced > ACL Manager", und klicken Sie auf Add, um die Umleitungszugriffskontrollliste hinzuzufügen. Die Einträge sehen nach der Konfiguration wie folgt aus:

    6. Bestehende Gruppenrichtlinie validieren

    A. Bei dieser Konfiguration wird die standardmäßige Gruppenrichtlinie verwendet. Diese kann angezeigt werden unter: "Konfiguration > Remotezugriff-VPN > Netzwerkzugriff (Client) > Gruppenrichtlinien"

    7. Verbindungsprofil konfigurieren

    A. Erstellen Sie ein neues Verbindungsprofil, mit dem AnyConnect-Benutzer eine Verbindung herstellen.


    B. Navigieren Sie zu "Konfiguration > Remotezugriff-VPN > Netzwerkzugriff (Client) > AnyConnect-Verbindungsprofile", und klicken Sie auf "Hinzufügen".

    C. Konfigurieren Sie die folgenden Details für das Verbindungsprofil:

    Name TG_SAML
    Aliase SAML_Benutzer
    Methode SAML
    AAA-Servergruppe Lokal
    Client-Adresspools AC-Pool
    Gruppenrichtlinie DfltGrpPolicy

    D. Konfigurieren Sie auf derselben Seite die Details des SAML Identity Providers, die wie folgt aussehen:

    ID der IDP-Einheit https://explorer.cisco.com/dag/saml2/idp/metadata.php
    Anmelde-URL https://explorer.cisco.com/dag/saml2/idp/SSOService.php
    Abmelde-URL https://explorer.cisco.com/dag/saml2/idp/SingleLogoutService.php?ReturnTo=https://explorer.cisco.com/dag/module.php/duosecurity/logout.php
    Basis-URL https://firebird.cisco.com

    E. Klicken Sie auf "Verwalten > Hinzufügen"

    F. Definieren Sie im Abschnitt "Erweitert" für das Verbindungsprofil den AAA-Server für die Autorisierung.

    Navigieren Sie zu "Erweitert > Autorisierung", und klicken Sie auf "Hinzufügen".

    G. Definieren Sie unter Gruppenalias den Verbindungsalias.

    Navigieren Sie zu "Erweitert > Gruppenalias/Gruppen-URL", und klicken Sie auf "Hinzufügen".


    H. Damit ist die ASA-Konfiguration abgeschlossen. Dies sieht wie unten auf der Befehlszeilenschnittstelle (CLI) aus.

    !
hostname firebird
domain-name cisco.com
!
    !
    name 10.197.164.7 explorer.cisco.com
name 10.197.164.3 firebird.cisco.com
!
!--------------------Client pool configuration--------------------
    !
    ip local pool AC_Pool 10.197.164.6-explorer.cisco.com mask 255.255.255.0
!
    !--------------------Redirect Access-list-------------------------
    !
access-list redirect extended deny udp any any eq domain 
access-list redirect extended deny ip any host 10.197.243.116 
access-list redirect extended deny icmp any any 
access-list redirect extended permit ip any any 
access-list redirect extended permit tcp any any eq www 
!
    !--------------------AAA server configuration---------------------
    !
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE (outside) host 10.106.44.77
 key *****
!
    !-----Configure Trustpoint for Duo Access Gateway Certificate-----
    !
crypto ca trustpoint Duo_Access_Gateway
 enrollment terminal
 crl configure
!
    !-------Configure Trustpoint for ASA Identity Certificate---------
    !
crypto ca trustpoint ID_CERT
 enrollment terminal
 fqdn firebird.cisco.com
 subject-name CN=firebird.cisco.com
 ip-address 10.197.164.3
 keypair ID_RSA_KEYS
 no ca-check
 crl configure
!
    !------Enable AnyConnect and configuring SAML authentication------
    !
webvpn
 enable outside
 hsts
  enable
  max-age 31536000
  include-sub-domains
  no preload  
 anyconnect image disk0:/anyconnect-win-4.8.03052-webdeploy-k9.pkg 1
 anyconnect enable
 saml idp https://explorer.cisco.com/dag/saml2/idp/metadata.php
  url sign-in https://explorer.cisco.com/dag/saml2/idp/SSOService.php
  url sign-out https://explorer.cisco.com/dag/saml2/idp/SingleLogoutService.php?ReturnTo=https://explorer.cisco.com/dag/module.php/duosecurity/logout.php
  base-url https://firebird.cisco.com
  trustpoint idp Duo_Access_Gateway
  trustpoint sp ID_CERT
  no signature
  no force re-authentication
  timeout assertion 1200
 tunnel-group-list enable
 cache
  disable
 error-recovery disable
!
    !--------------------Group Policy configuration--------------------
    !
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
!
    !----------Tunnel-Group (Connection Profile) Configuraiton----------
    !
tunnel-group TG_SAML type remote-access
tunnel-group TG_SAML general-attributes
 address-pool AC_Pool
 authorization-server-group ISE
 accounting-server-group ISE
tunnel-group TG_SAML webvpn-attributes
 authentication saml
 group-alias SAML_Users enable
 saml identity-provider https://explorer.cisco.com/dag/saml2/idp/metadata.php
!

    -ISE-Konfiguration

    1. Cisco ASA als Netzwerkgerät hinzufügen

    Klicken Sie unter "Administration > Network Resources > Network Devices" auf "Add" (Hinzufügen).
    Konfigurieren Sie den Namen des Netzwerkgeräts, die zugehörige IP-Adresse, und konfigurieren Sie unter "Radius Authentication Settings" den "Shared Secret", und klicken Sie auf "Save" (Speichern).

    2. Installation der neuesten Statusaktualisierungen

    Navigieren Sie zu "Administration > System > Settings > Posture > Updates", und klicken Sie auf "Update Now" (Jetzt aktualisieren).

    3. Laden Sie das Compliance-Modul und das AnyConnect Headend-Bereitstellungspaket auf die ISE hoch.

    Navigieren Sie zu "Richtlinie > Richtlinienelemente > Ergebnisse > Client-Bereitstellung > Ressourcen". Klicken Sie auf "Hinzufügen", und wählen Sie je nachdem, ob die Dateien von der lokalen Workstation oder von der Cisco Website abgerufen werden sollen, "Agenten-Ressourcen von der lokalen Festplatte" oder "Agenten-Ressourcen von der Cisco Website" aus.

    In diesem Fall wählen Sie zum Hochladen von Dateien von der lokalen Workstation unter Kategorie "Von Cisco bereitgestellte Pakete" aus, klicken auf "Durchsuchen", wählen die erforderlichen Pakete aus und klicken auf "Senden".

    In diesem Dokument wird "anyconnect-win-4.3.1012.6145-isecompliance-webdeploy-k9.pkg" als Compliance-Modul und "anyconnect-win-4.8.03052-webdeploy-k9.pkg" als AnyConnect Headend-Bereitstellungspaket verwendet.

    4. AnyConnect-Posture-Profil erstellen

    A. Navigieren Sie zu "Richtlinie > Richtlinienelemente > Ergebnisse > Client-Bereitstellung > Ressourcen". Klicken Sie auf "Hinzufügen", und wählen Sie "AnyConnect Posture Profile" aus.

    B. Geben Sie den Namen für AnyConnect Posture Profile ein, und konfigurieren Sie den Servernamen als "*" unter "Servernamen", und klicken Sie auf "Speichern".

    5. AnyConnect-Konfiguration erstellen

    A. Navigieren Sie zu "Richtlinie > Richtlinienelemente > Ergebnisse > Client-Bereitstellung > Ressourcen". Klicken Sie auf "Hinzufügen", und wählen Sie "AnyConnect-Konfiguration" aus.


    B. Wählen Sie AnyConnect-Paket, geben Sie den Konfigurationsnamen ein, und wählen Sie das erforderliche Compliance-Modul aus.


    C. Aktivieren Sie unter "AnyConnect Module Selection" das Kontrollkästchen "Diagnostic and Reporting Tool".

    D. Wählen Sie unter "Profile Selection" (Profilauswahl) die Option Posture Profile und klicken Sie auf "Save" (Speichern).



    6. Client-Bereitstellungsrichtlinie erstellen

    A. Navigieren Sie zu "Richtlinie > Client-Bereitstellung"

    B. Klicken Sie auf "Bearbeiten" und wählen Sie "Regel oben einfügen".

    C. Geben Sie den Regelnamen ein, wählen Sie das erforderliche Betriebssystem aus, und wählen Sie unter Results (unter "Agent" > "Agentenkonfiguration" ) die in Schritt 5 erstellte AnyConnect-Konfiguration aus, und klicken Sie auf "Speichern".

    7. Eine Statusbedingung erstellen

    A. Navigieren Sie zu "Richtlinie > Richtlinienelemente > Bedingungen > Status > Dateibedingung".

    B. Klicken Sie auf "Hinzufügen", und konfigurieren Sie den Bedingungsnamen "VPN_Posture_File_Check", das erforderliche Betriebssystem als "Windows 10(All)", den Dateityp als "FileExistence", den Dateipfad als "ABSOLUTE_PATH" und den vollständigen Pfad und Dateinamen als "C:\custom.txt". Wählen Sie Dateioperator als "Exists" aus.


    C. In diesem Beispiel wird das Vorhandensein einer Datei mit dem Namen "custom.txt" unter Laufwerk C: als Dateibedingung verwendet.

    8. Aktion zur Statusbehebung erstellen

    Navigieren Sie zu "Policy > Policy Elements > Results > Posture > Remediation Actions" (Richtlinie > Richtlinienelemente > Ergebnisse > Status > Korrekturmaßnahmen), um eine entsprechende Dateibereinigungsaktion zu erstellen. Dieses Dokument verwendet "Nur Nachrichtentext" als Korrekturmaßnahmen, die im nächsten Schritt konfiguriert werden.

    9. Statusanforderungsregel erstellen

    A. Navigieren Sie zu "Richtlinie > Richtlinienelemente > Ergebnisse > Status > Anforderungen".

    B. Klicken Sie auf "Bearbeiten" und wählen Sie dann "Neue Anforderung einfügen".

    C. Konfigurieren Sie den Bedingungsnamen "VPN_Posture_Requirement", das erforderliche Betriebssystem als "Windows 10(Alle)", das Compliance-Modul als "4.x oder höher", den Statustyp als "AnyConnect".

    D. Bedingungen wie "VPN_Posture_File_Check" (erstellt in Schritt 7) und unter "Korrekturmaßnahmen" Aktion als "Nur Nachrichtentext" auswählen und die benutzerdefinierte Nachricht für Agent-Benutzer eingeben


    10. Erstellen einer Statusrichtlinie

    A. Navigieren Sie zu "Policys > Status"


    B. Konfigurieren Sie den Regelnamen als "VPN_Posture_Policy_Win", das erforderliche Betriebssystem als "Windows 10(Alle)", das Kompatibilitätsmodul als "4.x oder höher", den Statustyp als "AnyConnect" und die Anforderungen als "VPN_Posture_Requirement", wie in Schritt 9 konfiguriert


    11. Erstellen dynamischer Zugriffskontrolllisten (DACLs)

    Navigieren Sie zu "Policy > Policy Elements > Results > Authorization > Downlodable ACLS" (Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > herunterladbare ACLS), und erstellen Sie die DACLs für verschiedene Statusstatus.

    In diesem Dokument werden die folgenden DACLs verwendet.


    A. Status unbekannt: Ermöglicht Datenverkehr zu DNS-, PSN- und HTTP- sowie HTTPS-Datenverkehr



    B. Status nicht konform: Verweigert den Zugriff auf private Subnetze und lässt nur Internetdatenverkehr zu


    C. Posture Compliant: Ermöglicht den gesamten Datenverkehr für Endbenutzer, die Posture Compliant sind


    12. Autorisierungsprofile erstellen

    Navigieren Sie zu "Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile".

    A. Autorisierungsprofil für unbekannten Status

    Wählen Sie DACL "PostureUnknown" (Status unbekannt), aktivieren Sie die Option Web Redirection (Webumleitung), wählen Sie Client Provisioning (Status) aus, konfigurieren Sie den Namen der Umleitungs-ACL "redirect" (Umleitung) (auf dem ASA zu konfigurieren), und wählen Sie das Client Provisioning Portal (Standard) aus.


    B. Autorisierungsprofil für nicht konforme Haltung

    Wählen Sie DACL "PostureNonCompliant" aus, um den Zugriff auf das Netzwerk einzuschränken.

    C. Autorisierungsprofil für Posture Compliant

    Wählen Sie DACL "PostureCompliant" aus, um vollständigen Zugriff auf das Netzwerk zu ermöglichen.

    12. Autorisierungsrichtlinien konfigurieren

    Verwenden Sie die im vorherigen Schritt konfigurierten Autorisierungsprofile, um drei Autorisierungsrichtlinien für "Posture Compliant", "Posture Non-Compliant" und "Posture Unknown" zu konfigurieren.

    Die allgemeine Bedingung "Session: Posture Status" wird verwendet, um die Ergebnisse der einzelnen Richtlinien zu bestimmen.



    Überprüfung


    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Führen Sie den folgenden Befehl auf der ASA aus, um zu überprüfen, ob der Benutzer erfolgreich authentifiziert wurde.

    firebird(config)# show vpn-sess detail anyconnect 

Session Type: AnyConnect Detailed

Username     : _585b5291f01484dfd16f394be7031d456d314e3e62
Index        : 125
Assigned IP  : explorer.cisco.com     Public IP    : 10.197.243.143
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA384
Bytes Tx     : 16404                  Bytes Rx     : 381
Pkts Tx      : 16                     Pkts Rx      : 6
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy                Tunnel Group : TG_SAML
Login Time   : 07:05:45 UTC Sun Jun 14 2020
Duration     : 0h:00m:16s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0ac5a4030007d0005ee5cc49
Security Grp : none                   

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
              
AnyConnect-Parent:
  Tunnel ID    : 125.1
  Public IP    : 10.197.243.143
  Encryption   : none                   Hashing      : none                   
  TCP Src Port : 57244                  TCP Dst Port : 443                    
  Auth Mode    : SAML                   
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
  Client OS    : win                    
  Client OS Ver: 10.0.15063             
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.8.03052
  Bytes Tx     : 7973                   Bytes Rx     : 0                      
  Pkts Tx      : 6                      Pkts Rx      : 0                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
SSL-Tunnel:
  Tunnel ID    : 125.2
  Assigned IP  : explorer.cisco.com     Public IP    : 10.197.243.143
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384                       
  Encapsulation: TLSv1.2                TCP Src Port : 57248                  
  TCP Dst Port : 443                    Auth Mode    : SAML                   
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
  Client OS    : Windows                
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.8.03052
  Bytes Tx     : 7973                   Bytes Rx     : 0                      
  Pkts Tx      : 6                      Pkts Rx      : 0                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  Filter Name  : #ACSACL#-IP-PostureUnknown-5ee45b05
  
DTLS-Tunnel:
  Tunnel ID    : 125.3
  Assigned IP  : explorer.cisco.com     Public IP    : 10.197.243.143
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-ECDSA-AES256-GCM-SHA384                     
  Encapsulation: DTLSv1.2               UDP Src Port : 49175                  
  UDP Dst Port : 443                    Auth Mode    : SAML                   
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
  Client OS    : Windows                
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.8.03052
  Bytes Tx     : 458                    Bytes Rx     : 381                    
  Pkts Tx      : 4                      Pkts Rx      : 6                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  Filter Name  : #ACSACL#-IP-PostureUnknown-5ee45b05
  
ISE Posture:
  Redirect URL : https://ise261.pusaxena.local:8443/portal/gateway?sessionId=0ac5a4030007d0005ee5cc49&portal=27b1bc30-2...
  Redirect ACL : redirect


    Nach Abschluss der Statusüberprüfung wird der Benutzerzugriff auf den vollständigen Zugriff geändert, wie in der DACL im Feld "Filter Name" (Filtername) gezeigt.

    firebird(config)# show vpn-sess detail anyconnect 

Session Type: AnyConnect Detailed

Username     : _585b5291f01484dfd16f394be7031d456d314e3e62
Index        : 125
Assigned IP  : explorer.cisco.com     Public IP    : 10.197.243.143
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA384
Bytes Tx     : 16404                  Bytes Rx     : 381
Pkts Tx      : 16                     Pkts Rx      : 6
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy                Tunnel Group : TG_SAML
Login Time   : 07:05:45 UTC Sun Jun 14 2020
Duration     : 0h:00m:36s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0ac5a4030007d0005ee5cc49
Security Grp : none                   

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
              
AnyConnect-Parent:
  Tunnel ID    : 125.1
  Public IP    : 10.197.243.143
  Encryption   : none                   Hashing      : none                   
  TCP Src Port : 57244                  TCP Dst Port : 443                    
  Auth Mode    : SAML                   
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
  Client OS    : win                    
  Client OS Ver: 10.0.15063             
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.8.03052
  Bytes Tx     : 7973                   Bytes Rx     : 0                      
  Pkts Tx      : 6                      Pkts Rx      : 0                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
SSL-Tunnel:
  Tunnel ID    : 125.2
  Assigned IP  : explorer.cisco.com     Public IP    : 10.197.243.143
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384                       
  Encapsulation: TLSv1.2                TCP Src Port : 57248                  
  TCP Dst Port : 443                    Auth Mode    : SAML                   
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
  Client OS    : Windows                
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.8.03052
  Bytes Tx     : 7973                   Bytes Rx     : 0                      
  Pkts Tx      : 6                      Pkts Rx      : 0                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  Filter Name  : #ACSACL#-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3
  
DTLS-Tunnel:
  Tunnel ID    : 125.3
  Assigned IP  : explorer.cisco.com     Public IP    : 10.197.243.143
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-ECDSA-AES256-GCM-SHA384                     
  Encapsulation: DTLSv1.2               UDP Src Port : 49175                  
  UDP Dst Port : 443                    Auth Mode    : SAML                   
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
  Client OS    : Windows                
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.8.03052
  Bytes Tx     : 458                    Bytes Rx     : 381                    
  Pkts Tx      : 4                      Pkts Rx      : 6                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  Filter Name  : #ACSACL#-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3

    Um zu überprüfen, ob die Autorisierung auf der ISE erfolgreich durchgeführt wurde, navigieren Sie zu "Operations > RADIUS > Live Logs" (Vorgänge > RADIUS > Live-Protokolle).

    In diesem Abschnitt werden die relevanten Informationen zum autorisierten Benutzer angezeigt, z. B. Identität, Autorisierungsprofil, Autorisierungsrichtlinie und Status.

    Hinweis: Weitere Informationen zur Statusüberprüfung auf der ISE finden Sie in der folgenden Dokumentation:
    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html#anc7

    Um den Authentifizierungsstatus auf dem Duo Admin Portal zu überprüfen, klicken Sie auf "Reports" auf der linken Seite des Admin Panels, das das Authentifizierungsprotokoll anzeigt.
    Weitere Informationen: https://duo.com/docs/administration#reports

    Um die Debug-Protokollierung für Duo Access Gateway anzuzeigen, verwenden Sie den folgenden Link:
    https://help.duo.com/s/article/1623?language=en_US

    Benutzerfreundlichkeit




    Fehlerbehebung

    In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

    Hinweis: Lesen Sie den Artikel Important Information on Debug Commands (Wichtige Informationen zu Debug-Befehlen), bevor Sie debug-Befehle verwenden.

    Vorsicht: Auf der ASA können Sie verschiedene Debug-Ebenen festlegen. Standardmäßig wird Ebene 1 verwendet. Wenn Sie die Debug-Ebene ändern, kann die Ausführlichkeit der Debugs zunehmen. Gehen Sie dabei besonders in Produktionsumgebungen vorsichtig vor.

    Bei den meisten SAML-Fehlerbehebungen kommt es zu Fehlkonfigurationen, die durch Überprüfen der SAML-Konfiguration oder durch Ausführen von Debugs ermittelt werden können.

    "debug webvpn saml 255" kann verwendet werden, um die meisten Probleme zu beheben. In Szenarien, in denen dieses Debuggen keine nützlichen Informationen liefert, können jedoch zusätzliche Debugs ausgeführt werden: 

    debug webvpn 255
debug webvpn anyconnect 255
debug webvpn session 255
debug webvpn request 255


    Verwenden Sie zur Behebung von Authentifizierungs- und Autorisierungsproblemen auf ASA die folgenden Debug-Befehle: 

    debug radius all
debug aaa authentication
debug aaa authorization To troubleshoot Posture related issues on ISE, set the following attributes to debug level: 

    posture (ise-psc.log)
portal (guest.log)
provisioning (ise-psc.log)
runtime-AAA (prrt-server.log)
nsf (ise-psc.log)
nsf-session (ise-psc.log)
swiss (ise-psc.log)

    Hinweis: Detaillierte Informationen zum Statusverlauf und zur Fehlerbehebung bei AnyConnect und ISE finden Sie unter dem folgenden Link:
    ISE Posture Style Comparison for Pre and Post 2.2

    So interpretieren Sie Duo Access Gateway-Debug-Protokolle und beheben Fehler
    https://help.duo.com/s/article/5016?language=en_US


    Zugehörige Informationen


    https://www.youtube.com/watch?v=W6bE2GTU0Is&
    https://duo.com/docs/cisco#asa-ssl-vpn-using-saml
    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html#anc0

    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Created by Dinesh Moudgil
      HTTS Engineer
    • Created by Pulkit Saxena
      HTTS Engineer
    • Edited by Cesar Ivan Monterrubio Ramirez
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.