PIX/ASA : Kerberos Authentication und LDAP Authorization Server-Gruppen für VPN-Client-Benutzer über ASDM/CLI - Konfigurationsbeispiel

Download-Optionen

  • PDF     (453.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (339.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (712.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:30. Juli 2007
Dokument-ID:68881

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Verwendung des Cisco Adaptive Security Device Manager (ASDM) zur Konfiguration von Kerberos-Authentifizierungs- und LDAP-Autorisierungsservergruppen auf der Cisco Security Appliance der Serie PIX 500 beschrieben. In diesem Beispiel werden die Servergruppen von der Richtlinie einer VPN-Tunnelgruppe verwendet, um eingehende Benutzer zu authentifizieren und zu autorisieren.

Voraussetzungen

Anforderungen

In diesem Dokument wird davon ausgegangen, dass das PIX-System vollständig betriebsbereit und konfiguriert ist, damit der ASDM Konfigurationsänderungen vornehmen kann.

Hinweis: Weitere Informationen dazu, dass der PIX vom ASDM konfiguriert werden kann, finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco PIX Security Appliance Softwareversion 7.x oder höher

  • Cisco ASDM Version 5.x und höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte

Diese Konfiguration kann auch mit der Cisco Adaptive Security Appliance (ASA) Version 7.x verwendet werden.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Nicht alle Authentifizierungs- und Autorisierungsmethoden der PIX/ASA 7.x-Software werden bei VPN-Benutzern unterstützt. In dieser Tabelle sind die verfügbaren Methoden für VPN-Benutzer aufgeführt:

  Lokal RADIUS TACACS+ SDI NT Kerberos LDAP
Authentifizierung Ja Ja Ja Ja Ja Ja Nein
Autorisierung Ja Ja Nein Nein Nein Nein Ja

Hinweis: In diesem Beispiel wird Kerberos für die Authentifizierung und LDAP für die Autorisierung von VPN-Benutzern verwendet.

Konfiguration von Authentifizierung und Autorisierung für VPN-Benutzer mithilfe von ASDM

Authentifizierungs- und Autorisierungsserver konfigurieren

Führen Sie diese Schritte aus, um Authentifizierungs- und Autorisierungsservergruppen für VPN-Benutzer über ASDM zu konfigurieren.

  1. Wählen Sie Configuration > Properties > AAA Setup > AAA Server Groups aus, und klicken Sie auf Add.

    aa-svrgrps-asdm-1.gif

  2. Definieren Sie einen Namen für die neue Authentifizierungsservergruppe, und wählen Sie ein Protokoll aus.

    Die Option "Accounting Mode" (Abrechnungsmodus) gilt nur für RADIUS und TACACS+. Klicken Sie abschließend auf OK.

    aa-svrgrps-asdm-2.gif

  3. Wiederholen Sie die Schritte 1 und 2, um eine neue Autorisierungsservergruppe zu erstellen.

    aa-svrgrps-asdm-3.gif

  4. Klicken Sie auf Apply, um die Änderungen an das Gerät zu senden.

    aa-svrgrps-asdm-4.gif

    Wenn Sie es dafür konfiguriert haben, zeigt das Gerät jetzt eine Vorschau der Befehle an, die der aktuellen Konfiguration hinzugefügt werden.

  5. Klicken Sie auf Senden, um die Befehle an das Gerät zu senden.

    aa-svrgrps-asdm-5.gif

    Die neu erstellten Servergruppen müssen nun mit Authentifizierungs- und Autorisierungsservern aufgefüllt werden.

  6. Wählen Sie Configuration > Properties > AAA Setup > AAA Servers aus, und klicken Sie auf Add.

    aa-svrgrps-asdm-6.gif

  7. Konfigurieren eines Authentifizierungsservers Klicken Sie abschließend auf OK.

    aa-svrgrps-asdm-7.gif

    • Server Group (Servergruppe): Wählen Sie die in Schritt 2 konfigurierte Authentifizierungsservergruppe aus.

    • Interface Name (Schnittstellenname): Wählen Sie die Schnittstelle aus, auf der sich der Server befindet.

    • Server IP Address (Server-IP-Adresse): Geben Sie die IP-Adresse des Authentifizierungsservers an.

    • Timeout (Zeitüberschreitung): Geben Sie die maximale Zeit in Sekunden an, die auf eine Antwort vom Server gewartet werden soll.

    • Kerberos-Parameter:

      • Server Port (Serverport): 88 ist der Standardport für Kerberos.

      • Retry Interval (Wiederholungsintervall): Wählen Sie das gewünschte Wiederholungsintervall aus.

      • Kerberos Realm (Kerberos-Bereich): Geben Sie den Namen Ihres Kerberos-Bereichs ein. Dies ist häufig der Windows-Domänenname in Großbuchstaben.

  8. Konfigurieren eines Autorisierungsservers Klicken Sie abschließend auf OK.

    aa-svrgrps-asdm-8.gif

    • Server Group (Servergruppe): Wählen Sie die in Schritt 3 konfigurierte Autorisierungsservergruppe aus.

    • Interface Name (Schnittstellenname): Wählen Sie die Schnittstelle aus, auf der sich der Server befindet.

    • Server IP Address (Server-IP-Adresse): Geben Sie die IP-Adresse des Autorisierungsservers an.

    • Timeout (Zeitüberschreitung): Geben Sie die maximale Zeit in Sekunden an, die auf eine Antwort vom Server gewartet werden soll.

    • LDAP-Parameter:

      • Server Port (Serverport): 389 ist der Standardport für LDAP.

      • Basis-DN - Geben Sie den Speicherort in der LDAP-Hierarchie ein, an dem der Server mit der Suche beginnen soll, sobald er eine Autorisierungsanforderung empfängt.

      • Scope (Bereich): Wählen Sie aus, in welchem Umfang der Server die LDAP-Hierarchie durchsuchen soll, nachdem er eine Autorisierungsanfrage erhalten hat.

      • Naming Attribute(s): Geben Sie die Attribute für den relativen Distinguished Name ein, durch die Einträge auf dem LDAP-Server eindeutig definiert sind. Allgemeine Namensattribute sind Common Name (cn) und User ID (uid).

      • Anmelde-DN - Einige LDAP-Server, darunter der Microsoft Active Directory-Server, erfordern vom Gerät die Einrichtung eines Handshakes über eine authentifizierte Bindung, bevor sie Anforderungen für andere LDAP-Vorgänge akzeptieren. Das Feld Anmelde-DN definiert die Authentifizierungsmerkmale des Geräts, die denen eines Benutzers mit Administratorberechtigungen entsprechen sollten. Beispiel: cn=administrator. Lassen Sie dieses Feld leer, um anonymen Zugriff zu erhalten.

      • Login Password (Anmeldungskennwort): Geben Sie das Kennwort für den Anmelde-DN ein.

      • Confirm Login Password (Anmeldekennwort bestätigen): Bestätigen Sie das Kennwort für den Anmelde-DN.

  9. Klicken Sie auf Apply, um die Änderungen an das Gerät zu senden, nachdem alle Authentifizierungs- und Autorisierungsserver hinzugefügt wurden.

    Wenn Sie es dafür konfiguriert haben, zeigt PIX jetzt eine Vorschau der Befehle an, die der aktuellen Konfiguration hinzugefügt werden.

  10. Klicken Sie auf Senden, um die Befehle an das Gerät zu senden.

Konfigurieren einer VPN-Tunnelgruppe für Authentifizierung und Autorisierung

Führen Sie diese Schritte aus, um die soeben konfigurierten Servergruppen einer VPN-Tunnelgruppe hinzuzufügen.

  1. Wählen Sie Configuration > VPN > Tunnel Group aus, und klicken Sie auf Add, um eine neue Tunnelgruppe zu erstellen, oder auf Edit, um eine vorhandene Gruppe zu ändern.

    aa-svrgrps-asdm-9.gif

  2. Wählen Sie auf der Registerkarte Allgemein des angezeigten Fensters die zuvor konfigurierten Servergruppen aus.

    aa-svrgrps-asdm-10.gif

  3. Optional: Konfigurieren Sie die verbleibenden Parameter auf den anderen Registerkarten, wenn Sie eine neue Tunnelgruppe hinzufügen.

  4. Klicken Sie abschließend auf OK.

  5. Klicken Sie auf Apply, um die Änderungen an das Gerät zu senden, nachdem die Tunnelgruppenkonfiguration abgeschlossen ist.

    Wenn Sie es dafür konfiguriert haben, zeigt PIX jetzt eine Vorschau der Befehle an, die der aktuellen Konfiguration hinzugefügt werden.

  6. Klicken Sie auf Senden, um die Befehle an das Gerät zu senden.

Konfigurieren von Authentifizierung und Autorisierung für VPN-Benutzer mithilfe von CLI

Dies ist die entsprechende CLI-Konfiguration für die Authentifizierungs- und Autorisierungsservergruppen für VPN-Benutzer.

CLI-Konfiguration der Security Appliance 
pixfirewall#show run
: Saved
:
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.105 255.255.255.0
!

!--- Output is suppressed.

!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-522.bin


!--- Output is suppressed.


aaa-server my_authent_grp protocol kerberos
aaa-server my_authent_grp host 172.22.1.100
 kerberos-realm REALM.CISCO.COM
aaa-server my_author_grp protocol ldap
aaa-server my_author_grp host 172.22.1.101
 ldap-base-dn ou=cisco
 ldap-scope onelevel
 ldap-naming-attribute uid

http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

tunnel-group DefaultRAGroup general-attributes
 authentication-server-group my_authent_grp
 authorization-server-group my_author_grp

!

!--- Output is suppressed.

Überprüfung

Führen Sie die folgenden Schritte aus, um die Benutzerauthentifizierung zwischen dem PIX/ASA- und dem AAA-Server zu überprüfen:

  1. Wählen Sie Configuration > Properties > AAA Setup > AAA Servers aus, und wählen Sie die Servergruppe (my_authent_grp) aus. Klicken Sie dann auf Test, um die Anmeldeinformationen des Benutzers zu validieren.

    aa-svrgrps-asdm-11.gif

  2. Geben Sie den Benutzernamen und das Kennwort ein (z. B. Benutzername: Test und Kennwort: Test), und klicken Sie auf OK, um die Validierung vorzunehmen.

    aa-svrgrps-asdm-12.gif

  3. Wie Sie sehen, ist die Authentifizierung erfolgreich.

    aa-svrgrps-asdm-13.gif

Fehlerbehebung

  1. Eine häufige Ursache für einen Authentifizierungsfehler ist die Verzerrung der Uhr. Stellen Sie sicher, dass die Uhren auf dem PIX- oder ASA-Gerät und dem Authentifizierungsserver synchronisiert sind.

    Wenn die Authentifizierung aufgrund von Verzerrung der Uhr fehlschlägt, können Sie die folgende Fehlermeldung erhalten: :- FEHLER: Authentifizierung zurückgewiesen: Verzerrung der Uhr größer als 300 Sekunden.. Außerdem wird diese Protokollmeldung angezeigt:

    %PIX|ASA-3-113020: Kerberos-Fehler: Verzerrung der Uhr mit Server-IP-Adresse größer als 300 Sekunden

    ip_address - Die IP-Adresse des Kerberos-Servers.

    Diese Meldung wird angezeigt, wenn die Authentifizierung für einen IPSec- oder WebVPN-Benutzer über einen Kerberos-Server fehlschlägt, weil die Uhren auf der Sicherheits-Appliance und dem Server mehr als fünf Minuten (300 Sekunden) voneinander entfernt sind. In diesem Fall wird der Verbindungsversuch abgelehnt.

    Um dieses Problem zu beheben, synchronisieren Sie die Uhren auf der Security Appliance und dem Kerberos-Server.

  2. Die Vorauthentifizierung auf dem Active Directory (AD) muss deaktiviert werden, oder sie kann zu einem Fehler bei der Benutzerauthentifizierung führen.

  3. Benutzer des VPN-Clients können sich nicht über den Microsoft-Zertifikatserver authentifizieren. Diese Fehlermeldung wird angezeigt:

    "Fehler beim Verarbeiten der Nutzlast" (Fehler 14)

    Um dieses Problem zu beheben, deaktivieren Sie das Kontrollkästchen Keine Kerberose-Vorauthentifizierung erforderlich auf dem Authentifizierungsserver.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
26-Jan-2006
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.