Exemplo de Configuração de 802.1x EAP-TLS com Comparação de Certificado Binário de Perfis AD e NAM

Introduction

Este documento descreve a configuração 802.1x com Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) e Access Control System (ACS), pois eles executam uma comparação de certificado binário entre um certificado de cliente fornecido pelo requerente e o mesmo certificado mantido no Microsoft Ative Diretory (AD). O perfil do AnyConnect Network Access Manager (NAM) é usado para personalização. A configuração de todos os componentes é apresentada neste documento, juntamente com cenários para solucionar problemas de configuração.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Topologia

• Suplicante 802.1x - Windows 7 com Cisco AnyConnect Secure Mobility Client versão 3.1.01065 (módulo NAM)
• Autenticador 802.1x - switch 2960
• Servidor de autenticação 802.1x - ACS versão 5.4
• ACS integrado ao Microsoft AD - Controlador de domínio - Windows 2008 Server

Detalhes da topologia

• ACS - 192.168.10.152
• 2960 - 192.168.10.10 (e0/0 - suplicante conectado)
• DC - 192.168.10.101
• Windows 7 - DHCP

Fluxo

A estação do Windows 7 tem o AnyConnect NAM instalado, que é usado como um suplicante para autenticar no servidor ACS com o método EAP-TLS. O switch com 802.1x atua como autenticador. O certificado do usuário é verificado pelo ACS e a autorização da política aplica políticas baseadas no Nome Comum (CN) do certificado. Além disso, o ACS obtém o certificado do usuário do AD e executa uma comparação binária com o certificado fornecido pelo requerente.

Configuração do Switch

O switch tem uma configuração básica. Por padrão, a porta está em quarentena na VLAN 666. Essa VLAN tem acesso restrito. Depois que o usuário é autorizado, a porta VLAN é reconfigurada.

aaa authentication login default group radius local
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control

interface Ethernet0/0
  switchport access vlan 666
  switchport mode access
  ip device tracking maximum 10
  duplex auto
  authentication event fail action next-method
  authentication order dot1x mab
  authentication port-control auto
  dot1x pae authenticator
end

radius-server host 192.168.10.152 auth-port 1645 acct-port 1646 key cisco

Preparação do certificado

Para EAP-TLS, é necessário um certificado para o requerente e para o servidor de autenticação. Este exemplo é baseado em certificados gerados pelo OpenSSL. A Autoridade de Certificação da Microsoft (AC) pode ser usada para simplificar a implantação em redes corporativas.

1. Para gerar a CA, digite estes comandos:

   openssl genrsa -des3 -out ca.key 1024
   openssl req -new -key ca.key -out ca.csr
   cp ca.key ca.key.org
   openssl rsa -in ca.key.org -out ca.key
   openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

   O certificado CA é mantido no arquivo ca.crt e na chave privada (e desprotegida) no arquivo ca.key.

2. Gerar três certificados de usuário e um certificado para ACS, todos assinados por essa CA:
   • CN=teste1
   • CN=teste2
   • CN=teste3
   • CN=acs54

   O script para gerar um único certificado assinado pela CA da Cisco é:

   openssl genrsa -des3 -out server.key 1024
   openssl req -new -key server.key -out server.csr
   
   cp server.key server.key.org
   openssl rsa -in server.key.org -out server.key
   
   openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial
       -out server.crt -days 365 
   openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
       -certfile ca.crt

   A chave privada está no arquivo server.key e o certificado está no arquivo server.crt. A versão pkcs12 está no arquivo server.pfx.

3. Clique duas vezes em cada certificado (arquivo .pfx) para importá-lo para o Controlador de domínio. No Controlador de Domínio, todos os três certificados devem ser confiáveis.
   
   

   

O mesmo processo pode ser seguido no Windows 7 (suplicante) ou usar o Ative Diretory para enviar os certificados do usuário.

Configuração do controlador de domínio

É necessário mapear o certificado específico para o usuário específico no AD.

1. Em Usuários e Computadores do Ative Diretory, navegue até a pasta Usuários.
   
2. No menu Exibir, escolha Recursos avançados.
   

   

3. Adicione estes usuários:
   • teste1
   • teste 2
   • teste 3

   Note: A senha não é importante.

4. Na janela Propriedades, escolha a guia Certificados Publicados. Escolha o certificado específico para o teste. Por exemplo, para test1, o CN do usuário é test1.

   Note: Não use o Mapeamento de nomes (clique com o botão direito do mouse no nome de usuário). É usado para serviços diferentes.

   

Neste estágio, o certificado é vinculado a um usuário específico no AD. Isso pode ser verificado com o uso de ldapsearch:

ldapsearch -h 192.168.10.101 -D "CN=Administrator,CN=Users,DC=cisco-test,DC=com" -w 
   Adminpass -b "DC=cisco-test,DC=com"

Os resultados de exemplo para o teste2 são os seguintes:

# test2, Users, cisco-test.com
dn: CN=test2,CN=Users,DC=cisco-test,DC=com
..................
userCertificate:: MIICuDCCAiGgAwIBAgIJAP6cPWHhMc2yMA0GCSqGSIb3DQEBBQUAMFYxCzAJ
BgNVBAYTAlBMMQwwCgYDVQQIDANNYXoxDzANBgNVBAcMBldhcnNhdzEMMAoGA1UECgwDVEFDMQwwC
gYDVQQLDANSQUMxDDAKBgNVBAMMA1RBQzAeFw0xMzAzMDYxMjUzMjdaFw0xNDAzMDYxMjUzMjdaMF
oxCzAJBgNVBAYTAlBMMQswCQYDVQQIDAJQTDEPMA0GA1UEBwwGS3Jha293MQ4wDAYDVQQKDAVDaXN
jbzENMAsGA1UECwwEQ29yZTEOMAwGA1UEAwwFdGVzdDIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ
AoGBAMFQZywrGTQKL+LeI19ovNavCFSG2zt2HGs8qGPrf/h3o4IIvU+nN6aZPdkTdsjiuCeav8HYD
aRznaK1LURt1PeGtHlcTgcGZ1MwIGptimzG+h234GmPU59k4XSVQixARCDpMH8IBR9zOSWQLXe+kR
iZpXC444eKOh6wO/+yWb4bAgMBAAGjgYkwgYYwCwYDVR0PBAQDAgTwMHcGA1UdJQRwMG4GCCsGAQU
FBwMBBggrBgEFBQcDAgYKKwYBBAGCNwoDBAYLKwYBBAGCNwoDBAEGCCsGAQUFBwMBBggrBgEFBQgC
FQYKKwYBBAGCNwoDAQYKKwYBBAGCNxQCAQYJKwYBBAGCNxUGBggrBgEFBQcDAjANBgkqhkiG9w0BA
QUFAAOBgQCuXwAgcYqLNm6gEDTWm/OWmTFjPyA5KSDB76yVqZwr11ch7eZiNSmCtH7Pn+VILagf9o
tiFl5ttk9KX6tIvbeEC4X/mQVgAB3HuJH5sL1n/k2H10XCXKfMqMGrtsZrA64tMCcCeZRoxfAO94n
PulwF4nkcnu1xO/B7x+LpcjxjhQ==

Configuração do requerente

1. Instale este editor de perfil, anyconnect-profileeditor-win-3.1.00495-k9.exe.
2. Abra o Editor de perfis do Network Access Manager e configure o perfil específico.
3. Crie uma rede com fio específica.
   
   

   

   
   Neste estágio, é muito importante dar ao usuário a opção de usar o certificado em cada autenticação. Não armazene essa opção em cache. Além disso, use o 'nome de usuário' como a id desprotegida. É importante lembrar que ela não é a mesma id usada pelo ACS para consultar o AD para o certificado. Essa id será configurada no ACS.

   

4. Salve o arquivo .xml como c:\Users\All Users\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system\configuration.xml.
5. Reinicie o serviço Cisco AnyConnect NAM.

Este exemplo mostrou uma implantação de perfil manual. O AD pode ser usado para implantar esse arquivo para todos os usuários. Além disso, o ASA pode ser usado para provisionar o perfil quando integrado a VPNs.

Configuração do ACS

1. Junte-se ao domínio do AD.

   

   O ACS corresponde nomes de usuário do AD com o uso do campo CN do certificado recebido do requerente (nesse caso, é test1, test2 ou test3). A comparação binária também está habilitada. Isso força o ACS a obter o certificado do usuário do AD e o compara com o mesmo certificado recebido pelo requerente. Se não corresponder, a autenticação falhará.

   

2. Configure as Sequências do Repositório de Identidades, que usa AD para autenticação baseada em certificado junto com o perfil de certificado.
   
   

   

   Isso é usado como a origem da identidade na política de identidade RADIUS.

   

3. Configure duas políticas de autorização. A primeira política é usada para test1 e nega acesso a esse usuário. A segunda política é usada para o teste 2 e permite acesso com o perfil da VLAN2.

   

   VLAN2 é o perfil de autorização que retorna atributos RADIUS que vinculam o usuário à VLAN2 no switch.

   

4. Instale o certificado CA no ACS.

   

5. Gerar e instalar o certificado (para uso do Extensible Authentication Protocol) assinado pela CA da Cisco para ACS.

   

Verificar

É uma boa prática desativar o serviço 802.1x nativo no suplicante do Windows 7, pois o AnyConnect NAM é usado. Com o perfil configurado, o cliente tem permissão para selecionar um certificado específico.

Quando o certificado test2 é usado, o switch recebe uma resposta de sucesso junto com os atributos RADIUS.

00:02:51: %DOT1X-5-SUCCESS: Authentication successful for client
    (0800.277f.5f64) on Interface Et0/0
00:02:51: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x'
    for client (0800.277f.5f64) on Interface Et0/0
switch#
00:02:51: %EPM-6-POLICY_REQ: IP=0.0.0.0| MAC=0800.277f.5f64|
        AUDITSESID=C0A80A0A00000001000215F0| AUTHTYPE=DOT1X|
        EVENT=APPLY

switch#show authentication sessions interface e0/0
            Interface:  Ethernet0/0
            MAC Address:  0800.277f.5f64
            IP Address:  Unknown
            User-Name:  test2
            Status:  Authz Success
            Domain:  DATA
            Oper host mode:  single-host
            Oper control dir:  both
            Authorized By:  Authentication Server
            Vlan Policy:  2
            Session timeout:  N/A
            Idle timeout:  N/A
            Common Session ID:  C0A80A0A00000001000215F0
            Acct Session ID:  0x00000005
            Handle:  0xE8000002

Runnable methods list:
       Method   State
       dot1x    Authc Succes

Observe que a VLAN 2 foi atribuída.  É possível adicionar outros atributos RADIUS a esse perfil de autorização no ACS (como a lista de controle de acesso avançado ou os temporizadores de reautorização).

Os registros no ACS são os seguintes:

Troubleshoot

Configurações de hora inválidas no ACS

Erro possível - erro interno no Ative Diretory do ACS

Nenhum certificado configurado e vinculado no AD DC

Erro possível - falha ao recuperar o certificado de usuário do Ative Diretory

Personalização do perfil NAM

Nas redes corporativas, recomenda-se autenticar com o uso de certificados de máquina e de usuário.Nesse cenário, recomenda-se usar o modo 802.1x aberto no switch com VLAN restrita. Após a reinicialização da máquina para 802.1x, a primeira sessão de autenticação é iniciada e autenticada com o uso do certificado da máquina do AD. Depois que o usuário fornecer credenciais e fizer logon no domínio, a segunda sessão de autenticação será iniciada com o certificado do usuário. O usuário é colocado na VLAN correta (confiável) com acesso total à rede. Ele é bem integrado ao Identity Services Engine (ISE).

Em seguida, é possível configurar autenticações separadas das guias Autenticação da máquina e Autenticação do usuário.

Se o modo 802.1x aberto não for aceitável no switch, é possível usar o modo 802.1x antes que o recurso de logon seja configurado na Política do cliente.

Informações Relacionadas

• Guia do usuário do Cisco Secure Access Control System 5.3
• Guia do administrador do Cisco AnyConnect Secure Mobility Client, versão 3.0
• AnyConnect Secure Mobility Client 3.0: Gerenciador de acesso à rede e Editor de perfis no Windows
• Suporte Técnico e Documentação - Cisco Systems