PIX/ASA 7.x: CAC - Autenticación de tarjetas inteligentes para Cisco VPN Client

Introducción

Este documento proporciona una configuración de ejemplo en Cisco Adaptive Security Appliance (ASA) para el acceso remoto a la red con Common Access Card (CAC) para la autenticación.

El alcance de este documento cubre la configuración de Cisco ASA con el Adaptive Security Device Manager (ASDM), Cisco VPN Client y Microsoft Active Directory (AD)/Lightweight Directory Access Protocol (LDAP).

La configuración de esta guía utiliza el servidor de Microsoft AD/LDAP. Este documento también cubre las funciones avanzadas, como los mapas de atributos LDAP y OCSP.

Prerequisites

Requirements

Un conocimiento básico de Cisco ASA, Cisco VPN Client, Microsoft AD/LDAP y Public Key Infrastructure (PKI) es útil para comprender la configuración completa. La familiaridad con la pertenencia al grupo AD y las propiedades de usuario, así como con los objetos LDAP, ayuda a correlacionar el proceso de autorización entre los atributos de certificado y los objetos AD/LDAP.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco 5500 Series Adaptive Security Appliance (ASA) que ejecuta la versión de software 7.2(2)

• Versión 5.2(1) de Cisco Adaptive Security Device Manager (ASDM)

• Cisco VPN Client 4.x

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configuración de Cisco ASA

Esta sección trata sobre la configuración de Cisco ASA a través de ASDM. Describe los pasos necesarios para implementar un túnel de acceso remoto VPN a través de una conexión IPsec. El certificado CAC se utiliza para la autenticación y el atributo Nombre principal de usuario (UPN) del certificado se rellena en Active Directory para su autorización.

Consideraciones de implementación

• Esta guía NO cubre configuraciones básicas como interfaces, DNS, NTP, routing, acceso de dispositivo o acceso ASDM, etc. Se supone que el operador de red está familiarizado con estas configuraciones.

  Para obtener más información, consulte Dispositivos de seguridad multifunción.

• Algunas secciones son configuraciones obligatorias necesarias para el acceso VPN básico. Por ejemplo, un túnel VPN se puede configurar con la tarjeta CAC sin comprobaciones de OCSP ni comprobaciones de asignaciones de LDAP. DoD exige la verificación de OCSP, pero el túnel funciona sin el OCSP configurado.

• La imagen básica de ASA/PIX requerida es 7.2(2) y ASDM 5.2(1), pero esta guía utiliza una versión provisional de 7.2.2.10 y ASDM 5.2.2.54.

• No es necesario realizar ningún cambio en el esquema LDAP.

• Consulte el Apéndice A para ver ejemplos de mapeo de políticas de acceso dinámicas y LDAP para obtener información sobre la aplicación de políticas adicionales.

• Consulte el Apéndice D sobre cómo verificar los objetos LDAP en MS.

• Consulte Información relacionada.