PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI



Documentos relacionados
PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI

PIX/ASA 7.x: Adicionar/remova uma rede em um exemplo existente da configuração de túnel L2L VPN

SoftPhone e Integração de diretório ativo

Como mudar a senha de NT para a troca e as contas de serviço de Unity

Configurando o Cisco IP SoftPhone com a ferramenta de personalização

Expandindo um banco de dados SQL de ICM

Mensagem de Erro de Cisco CR: Pergunta "FCVRS228 SQL falhada com erro SQL

Configurando o Balanceamento de Carga em Concentradores VPN 3000

Exemplo de Configuração de VPN SSL Sem Cliente (WebVPN) com o ASDM no ASA

Como recuperar e mudar o endereço IP de Um ou Mais Servidores Cisco ICM NT do RateMux C6920

NAT: Definições locais e globais

ASA 8.X: Permita o aplicativo de usuário ser executado com o restabelecimento do túnel L2L VPN

Remote Authentication Dial in User Service (RADIUS) Rômulo Rosa Furtado

AnyConnect sobre IKEv2 ao ASA com AAA e certificado de autenticação

ASA/PIX: IP Estático que endereça para o cliente do IPSec VPN com CLI e exemplo da configuração ASDM

Configurando o DDNS Management System

CONFIGURANDO O SERVIÇO DE VPN NO WINDOWS SERVER 2008 R2

Guia para o Google Cloud Print

Configurando o PIX Firewall e VPN Clients Usando PPTP, MPPE e IPSec

Guia para o Google Cloud Print

Obs: É necessário utilizar um computador com sistema operacional Windows 7.

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Clientes VPN para Mac OS X FAQ

Guia Rápido de Instalação

Guia de Configuração das Funções de Digitalização

MANUAL DO USUÁRIO DE REDE

Instalação de impressora no Mac OS

Comm5 Tecnologia Manual de utilização da família MI. Manual de Utilização. Família MI

TeamWork Manual do Utilizador FortiClient

Conceitos de relação de confiança

Instalando e usando o Document Distributor 1

Instalação e utilização do Document Distributor

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel

ADMINISTRAÇÃO DE SISTEMAS OPERACIONAIS

ALTERNATIVA PARA CONEXÃO VIA INTERNET DE IP MASCARADO A IP REAL

Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede

Instalando e configurando o Active Directory Windows Server 2008 R2 em ambiente virtual (VirtualBox)

Se você possui uma tomada de telefone no padrão TeleBrás siga este diagrama:

Roteamento e Comutação

Autenticação de dois fatores no SonicOS

Firmware Versioning de Cisco UCS

Suporte de NAT para conjuntos múltiplos utilizando mapas de rota

Laboratório - Gerenciamento de arquivos de configuração de roteador com software de emulação de terminal

Configuração de Digitalizar para

Gonçalves, Adriel - Porto Alegre, RS Brazil. Guia de Configuração TACACS+ no NR2G-3200.

CHECK 2000 Instalação e Uso do Check 2000 Cliente Servidor com o ZENworks 2

Visualização de alto nível dos Certificados e das autoridades em CUCM

Guia de instalação Command WorkStation 5.6 com o Fiery Extended Applications 4.2

Manual de Administração

Compreenda como a característica automática da atualização de assinatura do ips Cisco trabalha

PIX/ASA: Alternativo e restauração os arquivos de configuração da ferramenta de segurança usando o servidor TFTP

COMO o processador das mídias de série: Fluência RTP/3GPP

DSL-500B Configuração modo Router PPPoE

Guia para o Google Cloud Print

ACESSO REMOTO EM NUVEM Guia Rápido

Guia para o Google Cloud Print

Como atualizar o arquivo de licença do HSC ISS Free

Guia do Usuário Administrativo Bomgar 10.2 Enterprise

INSTALANDO SQL SERVER 2008

Gateway TT211S/S+/O/O+/SO/SO+

Certifique-se de que você possui todas as informações necessárias e equipamento em mãos antes de iniciar a instalação.

CallManager expresso: Crie uma imagem de fundo personalizada para o telefone IP 7970

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Manual de configuração do push em dispositivos móveis

Lab - Configurar o Roteador Sem Fio no Windows XP

FTP - Protocolo. O protocolo FTP é o serviço padrão da Internet para a transferência de arquivos entre computadores.

Esta nota apresenta como definir o SSL VPN no roteador Vigor.

Guia de conexão na rede wireless

ACESSO REMOTO EM NUVEM Guia Rápido

Administração do Windows Server 2003

Manual de Configuração D-LINK Modelo: DVG-1402S Firmware:

Manual Integra S_Line

Parte I. Demoiselle Mail

Geral: Manual de Utilização do Software de Teste Gradual Windows

Transferindo a carga da autenticação remota dos servidores

Guia do Revendedor Windows

Lista de Erros Discador Dial-Up

Software de monitoramento Módulo CONDOR CFTV V1 R1

Tutorial 02 Promovendo o Windows 2000/2003 Server a um Controlador de Domínio

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

MANUAL DE UTILIZAÇÃO Aplicativo Controle de Estoque Desktop

Configuração do Servidor DHCP no Windows Server 2003

Arquivos de configuração alternativos e da restauração

Manual sobre configuração de VPN para acesso completo dos conteúdos digitais fora da rede da Unisul

Maker Planet Manual do Usuário

MANUAL DE INSTALAÇÃO E PROGRAMAÇÃO CONVERSOR - IP / USB / SERIAL RV1

Laboratório - Exploração do FTP

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Guia de instalação Command WorkStation 5.5 com o Fiery Extended Applications 4.1

Instalação do software da Fiery para Windows e Macintosh

COMPARTILHAMENTO DO DISCO E PERMISSÕES DE REDE PÚBLICAS E DE GRUPOS DE TRABALHO.

s editores de s Como configurar contas de nos principais Como configurar contas de s nos principais editores de s

ASA 8.3(x): Conecte três redes internas com o exemplo de configuração do Internet

V 1.0 LINAEDUCA - GUIA DE USO

1 REQUISITOS BÁSICOS PARA INSTALAR O SMS PC REMOTO

ASA 8.3 e mais atrasado: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Manual de Administração

GUNIX GRUPO DE ESTUDOS LINUX

Transcrição:

PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Produtos Relacionados Convenções Informações de Apoio Configurar a authentication e autorização para os usuários VPN que usam o ASDM Configurar server da authentication e autorização Configurar um grupo de túneis VPN para a authentication e autorização Configurar a authentication e autorização para os usuários VPN que usam o CLI Verificar Troubleshooting Informações Relacionadas Introdução Este documento descreve como usar o Cisco Adaptive Security Device Manager (ASDM) para configurar a autenticação de Kerberos e os grupos de servidor de autorização LDAP na ferramenta de segurança da série do Cisco PIX 500. Neste exemplo, os grupos de servidor são usados pela política de um grupo de túneis VPN para autenticar e autorizar novos usuários. Pré-requisitos Requisitos Este documento supõe o PIX é plenamente operacional e configurado para permitir que o ASDM faça alterações de configuração. Nota: Refira permitir o acesso HTTPS para o ASDM a fim permitir que o PIX seja configurado pelo ASDM. Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: Versão de software 7.x da ferramenta de segurança de Cisco PIX e mais tarde Versão ASDM Cisco 5.x e mais tarde As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Produtos Relacionados Esta configuração pode igualmente ser usada com versão 7.x adaptável da ferramenta de segurança de Cisco (ASA). Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Informações de Apoio

Não todos os métodos de authentication e autorização possíveis disponíveis no software PIX/ASA 7.x são apoiados quando você trata os usuários VPN. Esta tabela detalha que métodos estão disponíveis para usuários VPN: Local RADIUS TACACS+ SDI NT Kerberos LDAP Autenticação Sim Sim Sim Sim Sim Sim Não Autorização Sim Sim Não Não Não Não Sim Nota: O Kerberos é usado para a autenticação e o LDAP é usado para a autorização de usuários VPN neste exemplo. Configurar a authentication e autorização para os usuários VPN que usam o ASDM Configurar server da authentication e autorização Termine estas etapas a fim configurar grupos de servidor da authentication e autorização para usuários VPN com o ASDM. 1. Escolha a configuração > as propriedades > o AAA Setup > Grupos de servidores AAA, e o clique adiciona. 2. Defina um nome para o grupo de Authentication Server novo, e escolha um protocolo. A opção do modo da contabilidade é para o RAIO e o TACACS+ somente. APROVAÇÃO do clique quando você for feito.

3. Repita etapas 1 e 2 a fim criar um grupo de servidor de autorização novo. 4. O clique aplica-se a fim enviar as mudanças ao dispositivo. Se você o tem configurado para fazer assim, o dispositivo inspeciona agora os comandos que são adicionados à configuração running. 5. O clique envia a fim enviar os comandos ao dispositivo.

Os grupos de servidor recém-criados devem agora ser povoados com server da authentication e autorização. 6. Escolha a configuração > as propriedades > o AAA Setup > servidores AAA, e o clique adiciona. 7. Configurar um Authentication Server. Clique a APROVAÇÃO quando você é feito.

8. Grupo de servidor Escolha o grupo de Authentication Server configurado em etapa 2. Nome da relação Escolha a relação em que o server reside. Endereço IP do servidor Especifique o endereço IP de Um ou Mais Servidores Cisco ICM NT do Authentication Server. Intervalo Especifique o tempo máximo, nos segundos, esperar uma resposta do server. Parâmetros Kerberos: Porta de servidor 88 são a porta padrão para o Kerberos. Intervalo de nova tentativa Escolha o intervalo de nova tentativa desejado. Esfera de kerberos Dê entrada com o nome de sua esfera de kerberos. Este é frequentemente o Domain Name de Windows em todas as letras maiúsculas. Configurar um servidor de autorização. Clique a APROVAÇÃO quando terminado.

Grupo de servidor Escolha o grupo de servidor de autorização configurado em etapa 3. Nome da relação Escolha a relação em que o server reside. Endereço IP do servidor Especifique o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de autorização. Intervalo Especifique o tempo máximo, nos segundos, esperar uma resposta do server. Parâmetros LDAP: 9. Porta de servidor 389 são a porta padrão para o LDAP. Base DN Entre no lugar na hierarquia LDAP onde o server deve começar ao procurar uma vez recebe um pedido de autorização. Espaço Escolha a extensão a que o server deve procurar a hierarquia LDAP uma vez que recebe um pedido de autorização. Atributos de nomeação Incorpore os atributos de nome destacado relativos por que as entradas no servidor ldap são definidas excepcionalmente. Os atributos de nomeação comuns são Common Name (CN) e usuário - identificação (uid). Início de uma sessão DN Alguns servidores ldap, incluindo o server do microsoft ative directory, exigem o dispositivo estabelecer um aperto de mão através do emperramento autenticado antes que aceitem pedidos para todas as outras operações de LDAP. O campo do início de uma sessão DN define as características de autenticação do dispositivo, que deve corresponder àqueles de um usuário com os privilégios da administração. Por exemplo, cn=administrator. Para o acesso anónimo, deixe esta placa do campo. Senha de login Incorpore a senha para o início de uma sessão DN. Confirme a senha de login Confirme a senha para o início de uma sessão DN. O clique aplica-se a fim enviar as mudanças aos server da authentication e autorização do dispositivo é adicionado afinal. Se você o tem configurado para fazer assim, o PIX inspeciona agora os comandos que são adicionados à configuração running. 10. O clique envia a fim enviar os comandos ao dispositivo. Configurar um grupo de túneis VPN para a authentication e autorização Termine estas etapas a fim adicionar os grupos de servidor que você apenas configurou a um grupo de túneis VPN. 1. Escolha a configuração > o VPN > o grupo de túneis, e o clique adiciona a fim criar um grupo de túneis novo, ou edita a fim alterar um grupo existente.

2. No tab geral do indicador que aparece, selecione os grupos de servidor configurados mais cedo. 3. 4. 5. Opcional: Configurar os parâmetros remanescente nas outras abas se você adiciona um grupo de túneis novo. Clique a APROVAÇÃO quando você é feito. O clique aplica-se a fim enviar as mudanças ao dispositivo depois que a configuração do grupo de túneis está completa. Se você o tem configurado para fazer assim, o PIX inspeciona agora os comandos que são adicionados à configuração running. 6. O clique envia a fim enviar os comandos ao dispositivo.

Configurar a authentication e autorização para os usuários VPN que usam o CLI Esta é a configuração de CLI equivalente para os grupos de servidor da authentication e autorização para usuários VPN. Configuração de CLI da ferramenta de segurança pixfirewall#show run : Saved : PIX Version 7.2(2) hostname pixfirewall domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 shutdown no nameif no security-level no ip address interface Ethernet1 nameif inside security-level 100 ip address 172.22.1.105 255.255.255.0 --- Output is suppressed. passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid pager lines 24 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-522.bin --- Output is suppressed. aaa-server my_authent_grp protocol kerberos aaa-server my_authent_grp host 172.22.1.100 kerberos-realm REALM.CISCO.COM aaa-server my_author_grp protocol ldap aaa-server my_author_grp host 172.22.1.101 ldap-base-dn ou=cisco ldap-scope onelevel ldap-naming-attribute uid http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart tunnel-group DefaultRAGroup general-attributes authentication-server-group my_authent_grp authorization-server-group my_author_grp --- Output is suppressed. Verificar Termine estas etapas a fim verificar a autenticação de usuário entre o PIX/ASA e o servidor AAA: 1. Escolha a configuração > as propriedades > o AAA Setup > servidores AAA, e selecione o grupo de servidor (my_authent_grp). Clique então o teste a fim validar as credenciais do usuário.

2. Forneça o nome de usuário e senha (por exemplo, username: teste e senha: o teste), e clica a APROVAÇÃO a fim validar. 3. Você pode ver que a autenticação é bem sucedida. Troubleshooting 1. Uma causa frequente da falha de autenticação é enviesamento do pulso de disparo. Seja certo que os pulsos de disparo no PIX ou no ASA e seu Authentication Server estão sincronizados. Quando a autenticação falha devido cronometrar o enviesamento, você pode receber este Mensagem de Erro: :- ERRO: Autenticação rejeitada: Segundos enviesados do pulso de disparo maior de 300. Também, este mensagem de registro aparece: %PIX ASA-3-113020: Erro do Kerberos: Enviesamento do pulso de disparo com segundos dos ip_address do server maiores de 300 ip_address O endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Kerberos. Esta mensagem é indicada quando a autenticação para um usuário do IPsec ou WebVPN através de um servidor Kerberos falha porque os pulsos de disparo na ferramenta de segurança e no server são mais de cinco minutos (300 segundos) distante. Quando isto ocorre, a tentativa de conexão está rejeitada. 2. 3. A fim resolver esta edição, sincronize os pulsos de disparo na ferramenta de segurança e no servidor Kerberos. a PRE-autenticação no diretório ativo (AD) deve ser desabilitada, ou ele pode conduzir à falha da autenticação de usuário. Os usuários de cliente VPN são incapazes de autenticar contra o Microsoft certificate server. Este Mensagem de Erro aparece:

Erro que processa o payload (erro 14) A fim resolver esta edição, desmarcar não exigem a caixa de seleção Pré-autenticação do kerberose no Authentication Server. Informações Relacionadas Solicitações de Comentários (RFCs) Exemplos de Configuração e Notas Técnicas 1992-2015 Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 12 Agosto 2015 http://www.cisco.com/cisco/web/support/br/104/1044/1044014_aa-svrgrps-asdm.html

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback