PIX/ASA 7.x: CAC - SmartCards-Authentifizierung für Cisco VPN Client

Download-Optionen

  • PDF     (246.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (84.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (72.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:2. Juni 2008
Dokument-ID:107273

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung
Voraussetzungen
Anforderungen
Verwendete Komponenten
Konventionen
Cisco ASA-Konfiguration
Überlegungen zur Bereitstellung
Konfiguration für Authentifizierung, Autorisierung, Abrechnung (AAA)
LDAP-Server konfigurieren
Vertrauenspunkte verwalten
Schlüssel generieren
Zertifizierungsstellen-Vertrauenspunkte installieren
Stammzertifikate installieren
ASA registrieren und Identitätszertifikat installieren
VPN-Konfiguration
Erstellen einer Tunnelgruppen- und Gruppenrichtlinie
Tunnelgruppen-Schnittstelle und Image-Einstellungen
Konfigurieren der IKE/ISAKMP-Parameter
IPSec-Parameter konfigurieren
OCSP konfigurieren
OCSP-Responder-Zertifikat konfigurieren
Konfigurieren der Zertifizierungsstelle zur Verwendung von OCSP
OCSP-Regeln konfigurieren
Konfiguration des Cisco VPN Clients
Cisco VPN-Client starten
Neue Verbindung
Remote-Zugriff starten
Anhang A - €“ LDAP-Zuordnung
Szenario 1: Active Directory-Durchsetzung mit Einwahl für Remote-Zugriffsberechtigungen â€Zugriff zulassen/“ verweigern
Active Directory-Setup
ASA-Konfiguration
Szenario 2: Active Directory-Durchsetzung mit Gruppenmitgliedschaft für Zulassen/Verweigern des Zugriffs
Active Directory-Setup
ASA-Konfiguration
Anhang B €: Konfiguration “ ASA-CLI
Anhang C: Fehlerbehebung
Fehlerbehebung: AAA und LDAP
Beispiel 1: Zulässige Verbindung mit korrekter Attributzuordnung
Beispiel 2: Zulässige Verbindung mit falsch konfigurierter Cisco Attributzuordnung
Fehlerbehebung: Zertifizierungsstelle/OCSP
Fehlerbehebung IPSEC
Anhang D –Überprüfung von LDAP-Objekten in MS
LDAP-Viewer
Active Directory Services-Schnittstellen-Editor
Zugehörige Informationen

Einleitung

Dieses Dokument enthält eine Beispielkonfiguration der Cisco Adaptive Security Appliance (ASA) für den Netzwerk-Remote-Zugriff mit der Common Access Card (CAC) zur Authentifizierung.

Der Umfang dieses Dokuments umfasst die Konfiguration der Cisco ASA mit Adaptive Security Device Manager (ASDM), Cisco VPN Client und Microsoft Active Directory (AD)/Lightweight Directory Access Protocol (LDAP).

Bei der Konfiguration in diesem Leitfaden wird der Microsoft AD/LDAP-Server verwendet. In diesem Dokument werden auch erweiterte Funktionen wie OCSP- und LDAP-Attributzuordnungen behandelt.

Voraussetzungen

Anforderungen

Grundkenntnisse der Cisco ASA, des Cisco VPN Clients, von Microsoft AD/LDAP und der Public Key Infrastructure (PKI) sind hilfreich, um die vollständige Einrichtung zu verstehen. Die Kenntnis der AD-Gruppenmitgliedschaft und der Benutzereigenschaften sowie der LDAP-Objekte hilft, den Autorisierungsprozess zwischen den Zertifikatattributen und den AD/LDAP-Objekten zu korrelieren.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco Adaptive Security Appliance (ASA) der Serie 5500 mit Softwareversion 7.2(2)

  • Cisco Adaptive Security Device Manager (ASDM) Version 5.2(1)

  • Cisco VPN-Client 4.x

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Cisco ASA-Konfiguration

In diesem Abschnitt wird die Konfiguration der Cisco ASA über ASDM beschrieben. Es beschreibt die erforderlichen Schritte zum Bereitstellen eines VPN-Remote-Zugriffstunnels über eine IPsec-Verbindung. Das CAC-Zertifikat wird für die Authentifizierung verwendet, und das UPN-Attribut (User Principal Name) des Zertifikats wird zur Autorisierung in Active Directory eingefügt.

Überlegungen zur Bereitstellung

  • Grundlegende Konfigurationen wie Schnittstellen, DNS, NTP, Routing, Gerätezugriff, ASDM-Zugriff usw. werden in diesem Handbuch NICHT behandelt. Es wird davon ausgegangen, dass der Netzwerkbetreiber mit diesen Konfigurationen vertraut ist.

    Weitere Informationen finden Sie unter Multifunktions-Sicherheits-Appliances.

  • Einige Abschnitte enthalten obligatorische Konfigurationen für den grundlegenden VPN-Zugriff. Ein VPN-Tunnel kann beispielsweise mit der CAC-Karte ohne OCSP-Prüfungen oder LDAP-Zuordnungsprüfungen eingerichtet werden. DoD erfordert OCSP-Prüfung, der Tunnel funktioniert jedoch ohne konfigurierten OCSP.

  • Das erforderliche grundlegende ASA/PIX-Image ist 7.2(2) und ASDM 5.2(1). In diesem Leitfaden wird jedoch eine Zwischenversion von 7.2.2.10 und ASDM 5.2.2.54 verwendet.

  • Es ist keine LDAP-Schemaänderung erforderlich.

  • Beispiele für die Zuordnung von LDAP- und dynamischen Zugriffsrichtlinien für eine zusätzliche Richtliniendurchsetzung finden Sie in Anhang A.

  • Siehe Anhang D zur Überprüfung von LDAP-Objekten in MS.

  • Siehe zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
26-May-2008
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.