PIX/ASA 7.x:CAC -思科VPN客戶端的智慧卡身份驗證
目錄
簡介
本文檔提供在思科自適應安全裝置(ASA)上使用通用訪問卡(CAC)進行身份驗證的網路遠端訪問配置示例。
本文檔的範圍包括使用自適應安全裝置管理器(ASDM)、Cisco VPN客戶端和Microsoft Active Directory (AD)/輕量級目錄訪問協定(LDAP)配置Cisco ASA。
本指南中的配置使用Microsoft AD/LDAP伺服器。本文檔還介紹了高級功能,如OCSP和LDAP屬性對映。
必要條件
需求
瞭解Cisco ASA、Cisco VPN客戶端、Microsoft AD/LDAP和公鑰基礎設施(PKI)的基本知識有助於瞭解整個設定。熟悉AD組成員資格和使用者屬性以及LDAP對象有助於在證書屬性和AD/LDAP對象之間關聯授權過程。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
執行軟體版本7.2(2)的Cisco 5500系列調適型安全裝置(ASA)
-
思科調適型安全裝置管理員(ASDM)版本5.2(1)
-
Cisco VPN使用者端4.x
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
Cisco ASA配置
本節介紹透過ASDM配置Cisco ASA。它介紹了透過IPSec連線部署VPN遠端訪問隧道所需的步驟。CAC證書用於身份驗證,並且證書中的使用者主體名稱(UPN)屬性填充到active directory中以進行授權。
部署注意事項
-
本指南不包括基本配置,例如介面、DNS、NTP、路由、裝置訪問或ASDM訪問等。假設網路操作員熟悉這些配置。
有關詳細資訊,請參閱多功能安全裝置。
-
某些部分是基本VPN訪問所需的必要配置。例如,可以使用CAC卡設定VPN隧道,而無需進行OCSP檢查、LDAP對映檢查。DoD要求OCSP檢查,但隧道在沒有配置OCSP的情況下工作。
-
所需基本ASA/PIX映像是7.2(2)和ASDM 5.2(1),但本指南使用臨時版本7.2.2.10和ASDM 5.2.2.54。
-
無需更改LDAP架構。
-
有關更多策略實施的LDAP和動態訪問策略對映示例,請參閱附錄A。
-
有關如何在MS中檢查LDAP對象,請參閱附錄D。
-
請參閱相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
26-May-2008 |
初始版本 |
意見