Dieses Dokument enthält eine Beispielkonfiguration der Cisco Adaptive Security Appliance (ASA) für den Netzwerk-Remote-Zugriff mit der Common Access Card (CAC) zur Authentifizierung.
Der Umfang dieses Dokuments umfasst die Konfiguration der Cisco ASA mit Adaptive Security Device Manager (ASDM), Cisco VPN Client und Microsoft Active Directory (AD)/Lightweight Directory Access Protocol (LDAP).
Bei der Konfiguration in diesem Leitfaden wird der Microsoft AD/LDAP-Server verwendet. In diesem Dokument werden auch erweiterte Funktionen wie OCSP- und LDAP-Attributzuordnungen behandelt.
Grundkenntnisse der Cisco ASA, des Cisco VPN Clients, von Microsoft AD/LDAP und der Public Key Infrastructure (PKI) sind hilfreich, um die vollständige Einrichtung zu verstehen. Die Kenntnis der AD-Gruppenmitgliedschaft und der Benutzereigenschaften sowie der LDAP-Objekte hilft, den Autorisierungsprozess zwischen den Zertifikatattributen und den AD/LDAP-Objekten zu korrelieren.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Cisco Adaptive Security Appliance (ASA) der Serie 5500 mit Softwareversion 7.2(2)
Cisco Adaptive Security Device Manager (ASDM) Version 5.2(1)
Cisco VPN-Client 4.x
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
In diesem Abschnitt wird die Konfiguration der Cisco ASA über ASDM beschrieben. Es beschreibt die erforderlichen Schritte zum Bereitstellen eines VPN-Remote-Zugriffstunnels über eine IPsec-Verbindung. Das CAC-Zertifikat wird für die Authentifizierung verwendet, und das UPN-Attribut (User Principal Name) des Zertifikats wird zur Autorisierung in Active Directory eingefügt.
Grundlegende Konfigurationen wie Schnittstellen, DNS, NTP, Routing, Gerätezugriff, ASDM-Zugriff usw. werden in diesem Handbuch NICHT behandelt. Es wird davon ausgegangen, dass der Netzwerkbetreiber mit diesen Konfigurationen vertraut ist.
Weitere Informationen finden Sie unter Multifunktions-Sicherheits-Appliances.
Einige Abschnitte enthalten obligatorische Konfigurationen für den grundlegenden VPN-Zugriff. Ein VPN-Tunnel kann beispielsweise mit der CAC-Karte ohne OCSP-Prüfungen oder LDAP-Zuordnungsprüfungen eingerichtet werden. DoD erfordert OCSP-Prüfung, der Tunnel funktioniert jedoch ohne konfigurierten OCSP.
Das erforderliche grundlegende ASA/PIX-Image ist 7.2(2) und ASDM 5.2(1). In diesem Leitfaden wird jedoch eine Zwischenversion von 7.2.2.10 und ASDM 5.2.2.54 verwendet.
Es ist keine LDAP-Schemaänderung erforderlich.
Beispiele für die Zuordnung von LDAP- und dynamischen Zugriffsrichtlinien für eine zusätzliche Richtliniendurchsetzung finden Sie in Anhang A.
Siehe Anhang D zur Überprüfung von LDAP-Objekten in MS.
Siehe zugehörige Informationen
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
26-May-2008 |
Erstveröffentlichung |