PIX/ASA: Groepen van Kerberos-verificatie en LDAP-autorisatie voor VPN-clientgebruikers via ASDM/CLI-configuratievoorbeeld

Downloadopties

  • PDF     (450.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (338.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (711.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:30 juli 2007
Document-id:68881

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe de Cisco Adaptieve Security Device Manager (ASDM) moet worden gebruikt om Kerberos-verificatie en LDAP-autorisatieservergroepen in de Cisco PIX 500 Series security applicatie te configureren. In dit voorbeeld worden de servergroepen gebruikt door het beleid van een VPN-tunnelgroep om inkomende gebruikers te verifiëren en te autoriseren.

Voorwaarden

Vereisten

Dit document gaat ervan uit dat de PIX volledig operationeel is en geconfigureerd om de ASDM in staat te stellen configuratiewijzigingen door te voeren.

Opmerking: zie Toegang tot HTTPS voor ASDM toestaan om de PIX te kunnen configureren door de ASDM.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Software voor Cisco PIX security applicatie versie 7.x en hoger

  • Cisco ASDM versie 5.x en hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Deze configuratie kan ook worden gebruikt met Cisco adaptieve security applicatie (ASA) versie 7.x.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Niet alle mogelijke verificatie- en autorisatiemethoden die in de PIX/ASA 7.x-software beschikbaar zijn, worden ondersteund wanneer u VPN-gebruikers behandelt. Deze tabel geeft aan welke methoden beschikbaar zijn voor VPN-gebruikers:

  Lokaal RADIUS TACACS + SDI NT Kerberos LDAP
Verificatie Ja Ja Ja Ja Ja Ja Nee
Authorization Ja Ja Nee Nee Nee Nee Ja

Opmerking: Kerberos wordt gebruikt voor de verificatie en LDAP wordt gebruikt voor de autorisatie van VPN-gebruikers in dit voorbeeld.

Verificatie en autorisatie voor VPN-gebruikers configureren met ASDM

Verificatie- en autorisatieservers configureren

Voltooi deze stappen om verificatie- en autorisatieservergroepen voor VPN-gebruikers te configureren via ASDM.

  1. Kies Configuration > Properties > AAA Setup > AAA-servergroepen en klik op Add.

    aa-svrgrps-asdm-1.gif

  2. Definieer een naam voor de nieuwe verificatieservergroep en kies een protocol.

    De optie Accounting Mode is alleen voor RADIUS en TACACS+. Klik op OK wanneer u klaar bent.

    aa-svrgrps-asdm-2.gif

  3. Herhaal stap 1 en 2 om een nieuwe autorisatieservergroep te maken.

    aa-svrgrps-asdm-3.gif

  4. Klik op Toepassen om de wijzigingen naar het apparaat te verzenden.

    aa-svrgrps-asdm-4.gif

    Als u het hebt geconfigureerd om dit te doen, het apparaat nu previews de opdrachten die worden toegevoegd aan de actieve configuratie.

  5. Klik op Verzenden om de opdrachten naar het apparaat te verzenden.

    aa-svrgrps-asdm-5.gif

    De nieuwe servergroepen moeten nu worden ingevuld met verificatie- en autorisatieservers.

  6. Kies Configuratie > Eigenschappen > AAA-instelling > AAA-servers en klik op Toevoegen.

    aa-svrgrps-asdm-6.gif

  7. Configureer een verificatieserver. Klik op OK wanneer u klaar bent.

    aa-svrgrps-asdm-7.gif

    • Servergroep—Kies de verificatieservergroep die in stap 2 is geconfigureerd.

    • Interfacenaam-kies de interface waarop de server verblijft.

    • IP-adres server: geef het IP-adres van de verificatieserver op.

    • Time-out—Geef de maximale tijd op in seconden om te wachten op een respons van de server.

    • Kerberos-parameters:

      • Server Port-88 is de standaardpoort voor Kerberos.

      • Interval opnieuw proberen—Kies het gewenste interval opnieuw proberen.

      • Kerberos-domein - Voer de naam in van uw Kerberos-rijk. Dit is vaak de Windows domeinnaam in alle hoofdletters.

  8. Configureer een autorisatieserver. Klik op OK als u klaar bent.

    aa-svrgrps-asdm-8.gif

    • Servergroep—Kies de autorisatieservergroep die in stap 3 is geconfigureerd.

    • Interfacenaam-kies de interface waarop de server verblijft.

    • IP-adres server - Specificeer het IP-adres van de autorisatieserver.

    • Time-out—Geef de maximale tijd op in seconden om te wachten op een respons van de server.

    • LDAP-parameters:

      • Server Port-389 is de standaardpoort voor LDAP.

      • De basis DN-gaat de plaats in de hiërarchie LDAP in waar de server zou moeten beginnen te zoeken zodra het een vergunningsverzoek ontvangt.

      • Toepassingsgebied: kies de mate waarin de server de LDAP-hiërarchie moet doorzoeken zodra hij een autorisatieverzoek ontvangt.

      • Naming Attribute(s)—Voer de Relative Distinguished Name Attribute(s) in waarmee vermeldingen op de LDAP-server uniek gedefinieerd zijn. De meest voorkomende naamgevingskenmerken zijn Common Name (cn) en User ID (uid).

      • Login DN-sommige LDAP servers, met inbegrip van de server van de Microsoft Active Directory, vereisen het apparaat om een handdruk via geverifieerde band te vestigen alvorens zij verzoeken om een andere LDAP verrichtingen goedkeuren. Het veld Login DN definieert de verificatiekenmerken van het apparaat, die moeten overeenkomen met die van een gebruiker met beheerdersrechten. Bijvoorbeeld cn=administrator. Laat dit veld leeg voor anonieme toegang.

      • Login Wachtwoord-Voer het wachtwoord in voor de Login DN.

      • Wachtwoord voor inloggen bevestigen—Wachtwoord voor inloggen bevestigen.

  9. Klik op Toepassen om de wijzigingen in het apparaat te verzenden nadat alle verificatie- en autorisatieservers zijn toegevoegd.

    Als u het hebt geconfigureerd om dit te doen, de PIX previews nu de opdrachten die worden toegevoegd aan de actieve configuratie.

  10. Klik op Verzenden om de opdrachten naar het apparaat te verzenden.

Een VPN-tunnelgroep configureren voor verificatie en autorisatie

Voltooi deze stappen om de servergroepen toe te voegen u enkel aan een VPN tunnelgroep hebt gevormd.

  1. Kies Configuratie > VPN > Tunnelgroep, en klik op Toevoegen om een nieuwe tunnelgroep te maken of Bewerken om een bestaande groep aan te passen.

    aa-svrgrps-asdm-9.gif

  2. Selecteer op het tabblad Algemeen van het venster dat wordt weergegeven de servergroepen die eerder zijn geconfigureerd.

    aa-svrgrps-asdm-10.gif

  3. Optioneel: Configureer de resterende parameters op de andere tabbladen als u een nieuwe tunnelgroep toevoegt.

  4. Klik op OK wanneer u klaar bent.

  5. Klik op Toepassen om de wijzigingen naar het apparaat te verzenden nadat de tunnelgroepconfiguratie is voltooid.

    Als u het hebt geconfigureerd om dit te doen, de PIX previews nu de opdrachten die worden toegevoegd aan de actieve configuratie.

  6. Klik op Verzenden om de opdrachten naar het apparaat te verzenden.

Verificatie en autorisatie voor VPN-gebruikers configureren met CLI

Dit is de equivalente CLI-configuratie voor de verificatie- en autorisatieservergroepen voor VPN-gebruikers.

Configuratie van security applicatie CLI 
pixfirewall#show run
: Saved
:
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.105 255.255.255.0
!

!--- Output is suppressed.

!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-522.bin


!--- Output is suppressed.


aaa-server my_authent_grp protocol kerberos
aaa-server my_authent_grp host 172.22.1.100
 kerberos-realm REALM.CISCO.COM
aaa-server my_author_grp protocol ldap
aaa-server my_author_grp host 172.22.1.101
 ldap-base-dn ou=cisco
 ldap-scope onelevel
 ldap-naming-attribute uid

http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

tunnel-group DefaultRAGroup general-attributes
 authentication-server-group my_authent_grp
 authorization-server-group my_author_grp

!

!--- Output is suppressed.

Verifiëren

Voltooi de volgende stappen om de gebruikersverificatie tussen de PIX/ASA- en AAA-server te verifiëren:

  1. Kies Configuratie > Eigenschappen > AAA-instelling > AAA-servers en selecteer de servergroep (my_authent_grp). Klik vervolgens op Test om de gebruikersreferenties te valideren.

    aa-svrgrps-asdm-11.gif

  2. Geef de gebruikersnaam en het wachtwoord op (bijvoorbeeld gebruikersnaam: test en wachtwoord: test) en klik op OK om te valideren.

    aa-svrgrps-asdm-12.gif

  3. U kunt zien dat de verificatie is geslaagd.

    aa-svrgrps-asdm-13.gif

Problemen oplossen

  1. Een veel voorkomende oorzaak van verificatiefout is de scheefheid van de klok. Zorg ervoor dat de klokken op de PIX of ASA en uw verificatieserver gesynchroniseerd zijn.

    Wanneer de verificatie mislukt vanwege de Klokscheefheid, kunt u de volgende foutmelding ontvangen: :- FOUT: Verificatie geweigerd: Klokscheefheid langer dan 300 seconden.. Dit logbericht wordt ook weergegeven:

    %PIX|ASA-3-113020: Kerberos-fout: Klokscheefheid met server-ip_adres langer dan 300 seconden

    ip_address— Het IP-adres van de Kerberos-server.

    Dit bericht wordt weergegeven wanneer de verificatie voor een IPSec- of WebVPN-gebruiker via een Kerberos-server mislukt omdat de klokken op het security apparaat en de server meer dan vijf minuten (300 seconden) uit elkaar liggen. Wanneer dit gebeurt, wordt de verbindingspoging geweigerd.

    Om dit probleem op te lossen, synchroniseert u de klokken op het security apparaat en op de Kerberos server.

  2. Verificatie vooraf op de Active Directory (AD) moet worden uitgeschakeld, of dit kan leiden tot een fout in de gebruikersverificatie.

  3. VPN-clientgebruikers kunnen niet verifiëren op de Microsoft-certificaatserver. Deze foutmelding wordt weergegeven:

    "Fout bij verwerken payload" (fout 14)

    Om dit probleem op te lossen, vinkt u het selectievakje Geen kerberose voorverificatie aan op de verificatieserver.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
26-Jan-2006
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten