PIX/ASA 7.x: CAC - SmartCards-verificatie voor Cisco VPN-client

Downloadopties

  • PDF     (245.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (83.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (70.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:2 juni 2008
Document-id:107273

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding
Voorwaarden
Vereisten
Gebruikte componenten
Conventies
Cisco ASA-configuratie
Overwegingen bij implementatie
Configuratie van verificatie, autorisatie, accounting (AAA)
LDAP-server configureren
Trustpoints beheren
Toetsen genereren
CA-trustpoints installeren
Root-certificaten installeren
Inschrijven ASA en identiteitscertificaat installeren
VPN-configuratie
Tunnelgroep en groepsbeleid maken
Tunnelgroep-interface en afbeeldingsinstellingen
IKE/ISAKMP-parameters configureren
IPsec-parameters configureren
OCSP configureren
OCSP-antwoordcertificaat configureren
CA configureren voor gebruik van OCSP
OCSP-regels configureren
Cisco VPN-clientconfiguratie
Cisco VPN-client starten
Nieuwe verbinding
Externe toegang starten
Bijlage A — Toewijzing van – LDAP
Scenario 1: Active Directory Enforcement met inbel-– toegangsrechten voor externe toegang
Active Directory instellen
ASA-configuratie
Scenario 2: Active Directory-handhaving met groepslidmaatschap om toegang toe te staan/te weigeren
Active Directory instellen
ASA-configuratie
Bijlage B — – ASA CLI-configuratie
Bijlage C - Probleemoplossing
AAA en LDAP voor probleemoplossing
Voorbeeld 1: Toegestane verbinding met juiste toewijzing van kenmerken
Voorbeeld 2: Toegestane verbinding met verkeerd geconfigureerde Cisco-toewijzingen
Certificaatautoriteit voor probleemoplossing/OCSP
IPSEC-probleemoplossing
Bijlage D – Controleer LDAP-objecten in MS
LDAP-viewer
Active Directory-interfaceeditor
Gerelateerde informatie

Inleiding

Dit document biedt een voorbeeldconfiguratie op Cisco adaptieve security applicatie (ASA) voor netwerk externe toegang met de Common Access Card (CAC) voor verificatie.

Dit document heeft betrekking op de configuratie van Cisco ASA met Adaptieve Security Device Manager (ASDM), Cisco VPN-client en Microsoft Active Directory (AD)/Lichtgewicht Directory Access Protocol (LDAP).

Voor de configuratie in deze handleiding wordt de Microsoft AD/LDAP-server gebruikt. Dit document heeft ook betrekking op geavanceerde functies, zoals OCSP- en LDAP-kenmerkkaarten.

Voorwaarden

Vereisten

Basiskennis van Cisco ASA, Cisco VPN-client, Microsoft AD/LDAP en Public Key Infrastructure (PKI) is nuttig om de volledige installatie te begrijpen. Bekendheid met AD-groepslidmaatschap en gebruikerseigenschappen, evenals LDAP-objecten helpt het autorisatieproces tussen de certificaatkenmerken en AD/LDAP-objecten te correleren.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco 5500 Series adaptieve security applicatie (ASA) die de softwareversie 7.2(2) uitvoert

  • Cisco Adaptive Security Device Manager (ASDM), versie 5.2(1)

  • Cisco VPN-client 4.x

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Cisco ASA-configuratie

Deze sectie behandelt de configuratie van Cisco ASA via ASDM. Het behandelt de noodzakelijke stappen om een VPN externe toegangstunnel te implementeren via een IPsec-verbinding. Het CAC-certificaat wordt gebruikt voor verificatie en het kenmerk User Principal Name (UPN) in het certificaat wordt ingevuld in de actieve directory voor autorisatie.

Overwegingen bij implementatie

  • Deze handleiding is NIET van toepassing op basisconfiguraties zoals interfaces, DNS, NTP, routing, apparaattoegang of ASDM-toegang, enzovoort. Er wordt aangenomen dat de netwerkexploitant bekend is met deze configuraties.

    Raadpleeg voor meer informatie Multifunctionele security applicaties.

  • Sommige secties zijn verplichte configuraties die nodig zijn voor eenvoudige VPN-toegang. Een VPN-tunnel kan bijvoorbeeld worden ingesteld met de CAC-kaart zonder OCSP-controles, LDAP-toewijzingscontroles. DoD machtigt OCSP-controle, maar de tunnel werkt zonder de OCSP geconfigureerd.

  • De vereiste basis-ASA/PIX-afbeelding is 7.2(2) en ASDM 5.2(1), maar in deze handleiding wordt een tussentijdse versie van 7.2.2.10 en ASDM 5.2.2.54 gebruikt.

  • Er hoeft geen LDAP-schema te worden gewijzigd.

  • Zie Bijlage A voor LDAP & Dynamic Access Policy mapping-voorbeelden voor extra beleidshandhaving.

  • Zie Bijlage D over het controleren van LDAP-objecten in MS.

  • Verwante informatie bekijken

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
26-May-2008
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten