PIX/ASA 7.x: CAC - Autenticação de SmartCards para Cisco VPN Client
Contents
Introdução
Este documento fornece uma configuração de exemplo no Cisco Adaptive Security Appliance (ASA) para acesso remoto à rede com o Common Access Card (CAC) para autenticação.
O escopo deste documento abrange a configuração do Cisco ASA com Adaptive Security Device Manager (ASDM), Cisco VPN Client e Microsoft Ative Diretory (AD)/Lightweight Diretory Access Protocol (LDAP).
A configuração neste guia usa o servidor Microsoft AD/LDAP. Este documento também aborda recursos avançados, como mapas de atributos OCSP e LDAP.
Pré-requisitos
Requisitos
Um conhecimento básico do Cisco ASA, Cisco VPN Client, Microsoft AD/LDAP e Public Key Infrastructure (PKI) é útil para entender a configuração completa. A familiaridade com a associação a grupos do AD e propriedades de usuários, assim como objetos LDAP, ajuda a correlacionar o processo de autorização entre os atributos do certificado e os objetos AD/LDAP.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
-
Cisco 5500 Series Adaptive Security Appliance (ASA) que executa a versão de software 7.2(2)
-
Cisco Adaptive Security Device Manager (ASDM) versão 5.2(1)
-
Cisco VPN Client 4.x
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Configuração do Cisco ASA
Esta seção aborda a configuração do Cisco ASA por meio do ASDM. Ele aborda as etapas necessárias para implantar um túnel de acesso remoto VPN através de uma conexão IPsec. O certificado CAC é usado para autenticação e o atributo UPN no certificado é preenchido no Ative Diretory para autorização.
Considerações de implantação
-
Este guia NÃO aborda configurações básicas, como interfaces, DNS, NTP, roteamento, acesso a dispositivos ou acesso ASDM, etc. Supõe-se que o operador de rede esteja familiarizado com essas configurações.
Para obter mais informações, consulte Multifunction Security Appliances.
-
Algumas seções são configurações obrigatórias necessárias para o acesso básico à VPN. Por exemplo, um túnel VPN pode ser configurado com a placa CAC sem verificações de OCSP, verificações de mapeamentos LDAP. O DoD exige a verificação do OCSP, mas o túnel funciona sem o OCSP configurado.
-
A imagem básica do ASA/PIX necessária é a 7.2(2) e o ASDM 5.2(1), mas este guia usa uma versão temporária de 7.2.2.10 e o ASDM 5.2.2.54.
-
Nenhuma alteração de esquema LDAP é necessária.
-
Consulte o Apêndice A para obter exemplos de mapeamento de LDAP e de política de acesso dinâmico para aplicação de política adicional.
-
Consulte o Apêndice D sobre como verificar objetos LDAP em MS.
-
Consulte as Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
26-May-2008 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)