PIX/ASA: Exemplo de Configuração de Autenticação Kerberos e Grupos de Servidor de Autorização LDAP para Usuários de Cliente VPN via ASDM/CLI

Opções de download

  • PDF     (452.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (341.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (713.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:30 de julho de 2007
ID do documento:68881

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como usar o Cisco Adaptive Security Device Manager (ASDM) para configurar a autenticação Kerberos e grupos de servidores de autorização LDAP no Cisco PIX 500 Series Security Appliance. Neste exemplo, os grupos de servidores são usados pela política de um grupo de túneis VPN para autenticar e autorizar usuários de entrada.

Pré-requisitos

Requisitos

Este documento supõe que o PIX esteja totalmente operacional e configurado para permitir que o ASDM faça alterações de configuração.

Observação: consulte Permitindo o Acesso HTTPS para o ASDM para permitir que o PIX seja configurado pelo ASDM.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Software Cisco PIX Security Appliance Versão 7.x ou posterior

  • Cisco ASDM versão 5.x e posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Essa configuração também pode ser usada com o Cisco Adaptive Security Appliance (ASA) versão 7.x.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Nem todos os possíveis métodos de autenticação e autorização disponíveis no software PIX/ASA 7.x são suportados quando você lida com usuários de VPN. Esta tabela detalha quais métodos estão disponíveis para usuários VPN:

  Local RADIUS TACACS+ SDI NT Kerberos LDAP
Autenticação Yes Yes Yes Yes Yes Yes No
Autorização Yes Yes No No No No Yes

Observação: Kerberos é usado para a autenticação e LDAP é usado para a autorização de usuários VPN neste exemplo.

Configurar Autenticação e Autorização para Usuários VPN Usando ASDM

Configurar servidores de autenticação e autorização

Conclua estas etapas para configurar grupos de servidores de autenticação e autorização para usuários de VPN através do ASDM.

  1. Selecione Configuration > Properties > AAA Setup > AAA Server Groups e clique em Add.

    aa-svrgrps-asdm-1.gif

  2. Defina um nome para o novo grupo de servidores de autenticação e escolha um protocolo.

    A opção Modo de contabilização é somente para RADIUS e TACACS+. Clique em OK quando terminar.

    aa-svrgrps-asdm-2.gif

  3. Repita as etapas 1 e 2 para criar um novo grupo de servidores de autorização.

    aa-svrgrps-asdm-3.gif

  4. Clique em Apply para enviar as alterações ao dispositivo.

    aa-svrgrps-asdm-4.gif

    Se estiver configurado para fazer isso, o dispositivo visualizará agora os comandos adicionados à configuração de execução.

  5. Clique em Send para enviar os comandos para o dispositivo.

    aa-svrgrps-asdm-5.gif

    Os grupos de servidores recém-criados agora devem ser preenchidos com servidores de autenticação e autorização.

  6. Selecione Configuration > Properties > AAA Setup > AAA Servers e clique em Add.

    aa-svrgrps-asdm-6.gif

  7. Configure um servidor de autenticação. Clique em OK quando terminar.

    aa-svrgrps-asdm-7.gif

    • Grupo de servidores — Escolha o grupo de servidores de autenticação configurado na etapa 2.

    • Nome da interface — Escolha a interface na qual o servidor reside.

    • Endereço IP do servidor — Especifique o endereço IP do servidor de autenticação.

    • Tempo limite — Especifique o tempo máximo, em segundos, para aguardar uma resposta do servidor.

    • Parâmetros Kerberos:

      • Porta do Servidor — 88 é a porta padrão do Kerberos.

      • Intervalo de repetição — Escolha o intervalo de repetição desejado.

      • Território Kerberos — Digite o nome do seu território Kerberos. Este é frequentemente o nome de domínio do Windows em letras maiúsculas.

  8. Configure um servidor de autorização. Clique em OK quando terminar.

    aa-svrgrps-asdm-8.gif

    • Grupo de servidores — Escolha o grupo de servidores de autorização configurado na etapa 3.

    • Nome da interface — Escolha a interface na qual o servidor reside.

    • Endereço IP do servidor — Especifique o endereço IP do servidor de autorização.

    • Tempo limite — Especifique o tempo máximo, em segundos, para aguardar uma resposta do servidor.

    • Parâmetros LDAP:

      • Porta do servidor — 389 é a porta padrão para LDAP.

      • DN base — Digite o local na hierarquia LDAP onde o servidor deve começar a pesquisar depois que receber uma solicitação de autorização.

      • Escopo — Escolha a extensão em que o servidor deve pesquisar a hierarquia LDAP depois de receber uma solicitação de autorização.

      • Atributo(s) de nomeação — insira o(s) atributo(s) de nome distinto relativo(s) pelo(s) qual(is) as entradas no servidor LDAP são definidas exclusivamente. Os atributos de nomeação comuns são Nome comum (cn) e ID de usuário (uid).

      • Login DN — Alguns servidores LDAP, incluindo o servidor do Microsoft Ative Diretory, exigem que o dispositivo estabeleça um handshake através de ligação autenticada antes de aceitarem solicitações para quaisquer outras operações LDAP. O campo DN de login define as características de autenticação do dispositivo, que devem corresponder às de um usuário com privilégios administrativos. Por exemplo, cn=administrator. Para acesso anônimo, deixe este campo em branco.

      • Senha de Login — Digite a senha para o DN de Login.

      • Confirmar Senha de Login — Confirme a senha para o DN de Login.

  9. Clique em Apply para enviar as alterações ao dispositivo depois que todos os servidores de autenticação e autorização forem adicionados.

    Se estiver configurado para fazer isso, o PIX visualizará agora os comandos adicionados à configuração de execução.

  10. Clique em Send para enviar os comandos para o dispositivo.

Configurar um grupo de túnel VPN para autenticação e autorização

Conclua estas etapas para adicionar os grupos de servidores que você acabou de configurar a um grupo de túneis VPN.

  1. Escolha Configuration > VPN > Tunnel Group e clique em Add para criar um novo grupo de túneis, ou Edit para modificar um grupo existente.

    aa-svrgrps-asdm-9.gif

  2. Na guia Geral da janela exibida, selecione os grupos de servidores configurados anteriormente.

    aa-svrgrps-asdm-10.gif

  3. Opcional: Configure os parâmetros restantes nas outras guias se você adicionar um novo grupo de túneis.

  4. Clique em OK quando terminar.

  5. Clique em Apply para enviar as alterações ao dispositivo depois que a configuração do grupo de túneis estiver concluída.

    Se estiver configurado para fazer isso, o PIX visualizará agora os comandos adicionados à configuração de execução.

  6. Clique em Send para enviar os comandos para o dispositivo.

Configurar autenticação e autorização para usuários VPN usando CLI

Esta é a configuração CLI equivalente para os grupos de servidores de Autenticação e Autorização para usuários VPN.

Configuração da CLI do dispositivo de segurança 
pixfirewall#show run
: Saved
:
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.105 255.255.255.0
!

!--- Output is suppressed.

!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-522.bin


!--- Output is suppressed.


aaa-server my_authent_grp protocol kerberos
aaa-server my_authent_grp host 172.22.1.100
 kerberos-realm REALM.CISCO.COM
aaa-server my_author_grp protocol ldap
aaa-server my_author_grp host 172.22.1.101
 ldap-base-dn ou=cisco
 ldap-scope onelevel
 ldap-naming-attribute uid

http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

tunnel-group DefaultRAGroup general-attributes
 authentication-server-group my_authent_grp
 authorization-server-group my_author_grp

!

!--- Output is suppressed.

Verificar

Conclua estes passos para verificar a autenticação de usuário entre o PIX/ASA e o servidor AAA:

  1. Escolha Configuration > Properties > AAA Setup > AAA Servers e selecione o grupo de servidores (my_authent_grp). Em seguida, clique em Testar para validar as credenciais do usuário.

    aa-svrgrps-asdm-11.gif

  2. Forneça o Nome de usuário e a Senha (por exemplo, nome de usuário: teste e senha: teste) e clique em OK para validar.

    aa-svrgrps-asdm-12.gif

  3. Você pode ver que a autenticação foi bem-sucedida.

    aa-svrgrps-asdm-13.gif

Troubleshooting

  1. Uma causa frequente de falha de autenticação é o desvio de relógio. Certifique-se de que os relógios no PIX ou ASA e no servidor de autenticação estejam sincronizados.

    Quando a autenticação falha devido à distorção do relógio, você pode receber esta mensagem de erro: :- ERRO: Autenticação rejeitada: Desvio do relógio maior que 300 segundos.. Além disso, esta mensagem de log é exibida:

    %PIX|ASA-3-113020: Erro Kerberos: desvio de relógio com endereço_ip do servidor maior que 300 segundos

    ip_address— O endereço IP do servidor Kerberos.

    Esta mensagem é exibida quando a autenticação para um usuário de IPSec ou WebVPN através de um servidor Kerberos falha porque os relógios no Security Appliance e no servidor estão a mais de cinco minutos (300 segundos) de distância. Quando isso ocorre, a tentativa de conexão é rejeitada.

    Para resolver esse problema, sincronize os relógios no Security Appliance e no servidor Kerberos.

  2. A pré-autenticação no Ative Diretory (AD) deve ser desabilitada ou pode levar a falha de autenticação do usuário.

  3. Os usuários do VPN Client não conseguem se autenticar no servidor certificado da Microsoft. Esta mensagem de erro é exibida:

    "Erro ao processar carga útil" (Erro 14)

    Para resolver esse problema, desmarque a caixa de seleção não exigir pré-autenticação de kerberose no servidor de autenticação.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
26-Jan-2006
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos