使用MSCHAPv2通过RADIUS配置FTD远程访问VPN

下载选项

  • PDF     (952.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (729.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (567.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2021 年 10 月 6 日
文档 ID:217437

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何通过Firepower管理中心(FMC)将Microsoft质询握手身份验证协议第2版(MS-CHAPv2)启用为身份验证方法,用于具有远程身份验证拨入用户服务(RADIUS)身份验证的远程访问VPN客户端。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • Firepower威胁防御(FTD)
    • Firepower管理中心(FMC)
    • 身份服务引擎 (ISE)
    • Cisco AnyConnect 安全移动客户端
    • RADIUS协议

    使用的组件

    本文档中的信息基于以下软件版本:

    • FMCv - 7.0.0(内部版本94)
    • FTDv - 7.0.0(内部版本94)
    • ISE - 2.7.0.356
    • AnyConnect - 4.10.02086
    • Windows 10专业版

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    默认情况下,FTD使用密码身份验证协议(PAP)作为AnyConnect VPN连接的RADIUS服务器的身份验证方法。

    PAP为用户提供了一种简单的方法来通过双向握手建立其身份。PAP密码使用共享密钥加密,是最不完善的身份验证协议。PAP不是强身份验证方法,因为它几乎不能抵御反复的试错攻击。

    MS-CHAPv2身份验证引入对等体之间的相互身份验证和更改密码功能。

    要启用MS-CHAPv2作为ASA和RADIUS服务器之间用于VPN连接的协议,必须在连接配置文件中启用密码管理。启用密码管理会生成从FTD到RADIUS服务器的MS-CHAPv2身份验证请求。

    配置

    网络图

    TZ_ISE_Authentication_Authorization_AnyConnect

    通过FMC配置RA VPN的AAA/RADIUS身份验证

    有关分步过程,请参阅本文档和此视频:

    步骤1.配置Remote Access VPN后,导航至Devices > Remote Access,编辑新创建的连接配置文件,然后导航至AAA选项卡。

    TZ_MSCHAPv2_RADIUS_FTD_01

    展开“高级设置”部分,然后单击“启用密码管理”复选框。Click Save.

    TZ_MSCHAPv2_RADIUS_FTD_02

    保存部署

    TZ_MSCHAPv2_RADIUS_FTD_03

    FTD CLI上的远程访问VPN配置为:

    ip local pool AC_Pool 10.0.50.1-10.0.50.100 mask 255.255.255.0

    interface GigabitEthernet0/0
     nameif Outside_Int
     security-level 0
     ip address 192.168.0.100 255.255.255.0

    aaa-server ISE_Server protocol radius
    aaa-server ISE_Server host 172.16.0.8
     key *****
     authentication-port 1812
     accounting-port 1813

    crypto ca trustpoint RAVPN_Self-Signed_Cert
     enrollment self
     fqdn none
     subject-name CN=192.168.0.100
     keypair <Default-RSA-Key>
     crl configure

    ssl trust-point RAVPN_Self-Signed_Cert

    webvpn
     enable Outside_Int
     http-headers
      hsts-server
       enable
       max-age 31536000
       include-sub-domains
       no preload
      hsts-client
       enable
      x-content-type-options
      x-xss-protection
      content-security-policy
     anyconnect image disk0:/csm/anyconnect-win-4.10.02086-webdeploy-k9.pkg 1 regex "Windows"
     anyconnect enable
     tunnel-group-list enable
     cache
      no disable
     error-recovery disable

    group-policy DfltGrpPolicy attributes
     vpn-tunnel-protocol ikev2 ssl-client
     user-authentication-idle-timeout none
     webvpn
      anyconnect keep-installer none
      anyconnect modules value none
      anyconnect ask none default anyconnect
      http-comp none
      activex-relay disable
      file-entry disable
      file-browsing disable
      url-entry disable
      deny-message none

    tunnel-group RA_VPN type remote-access
    tunnel-group RA_VPN general-attributes
     address-pool AC_Pool
     authentication-server-group ISE_Server
     password-management
    tunnel-group RA_VPN webvpn-attributes
     group-alias RA_VPN enable

    将ISE配置为支持MS-CHAPv2作为身份验证协议

    假设:

    1. FTD已添加为ISE上的网络设备,因此它可以处理来自FTD的RADIUS访问请求。
    2. ISE至少有一个用户可用于验证AnyConnect客户端。

    步骤2.导航至Policy > Policy Sets,并找到Allowed Protocols policy attached to Policy Set,在其中对AnyConnect用户进行身份验证。在本示例中,仅存在一个策略集,因此所讨论的策略是默认网络访问

    TZ_MSCHAPv2_RADIUS_FTD_04

    TZ_MSCHAPv2_RADIUS_FTD_05

    步骤3.导航至Policy > Policy Elements > Results。在Authentication > Allowed Protocols下,选择并编辑Default Network Access

    TZ_MSCHAPv2_RADIUS_FTD_06

    TZ_MSCHAPv2_RADIUS_FTD_07

    确保选中“允许MS-CHAPv2”复选框。向下滚动并存。

    TZ_MSCHAPv2_RADIUS_FTD_08

    验证

    导航至安装Cisco AnyConnect安全移动客户端的客户端计算机。连接到FTD头端(本示例中使用Windows计算机)并键入用户凭证。

    TZ_MSCHAPv2_RADIUS_FTD_09

    ISE上的RADIUS实时日志显示:

    TZ_MSCHAPv2_RADIUS_FTD_10

    TZ_MSCHAPv2_RADIUS_FTD_11

    TZ_MSCHAPv2_RADIUS_FTD_12

    意:test aaa-server authentication命令始终使用PAP向RADIUS服务器发送身份验证请求,无法强制防火墙使用此命令使用MS-CHAPv2。

    firepower# test aaa-server authentication ISE_Server host 172.16.0.8 username user1 password XXXXX
    信息:尝试对IP地址(172.16.0.8)进行身份验证测试(超时:12 秒)
    信息:身份验证成功

    注意:请勿通过Flex-config修改隧道组ppp-attributes,因为这对通过RADIUS协商的AnyConnect VPN(SSL和IPSec)连接的身份验证协议没有影响。

    tunnel-group RA_VPN ppp-attributes
     no authentication pap
     身份验证CHAP
     authentication ms-chap-v1
     no authentication ms-chap-v2
     no authentication eap-proxy

    故障排除

    本节提供可用于排除配置故障的信息。

    在F上TD:

    • debug radius all

    在ISE上:

    • RADIUS实时日志

    修订历史记录

    版本 发布日期 备注
    1.0
    06-Oct-2021
    初始版本
    TAC Authored

    由思科工程师提供

    • David Rivera Perez
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品