PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI

Documentos relacionados
PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

ASA/PIX: IP Estático que endereça para o cliente do IPSec VPN com CLI e exemplo da configuração ASDM

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

ASA 8.3(x): Conecte três redes internas com o exemplo de configuração do Internet

ASA 8.3 e mais atrasado: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

ASA/PIX: Configurar e pesquise defeitos o Reverse Route Injection (RRI)

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

ACS 5.x: Exemplo de configuração do servidor ldap

Configuração de gerenciamento do usuário e do domínio na série do VPN Router RV320 e RV325

Configurando a Autenticação de Requisições HTTP com o CE Executando o ACNS e o Microsoft Active Directory

Índice. Introdução. As limitações da autenticação remota central UCS incluem:

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Exemplo de configuração da autenticação LDAP para a central UCS

Cliente de Anyconnect ao ASA com uso do DHCP para a atribuição de endereço

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

ASA 8.x: Cisco ASA no modo de contexto múltiplo sincronizado com o exemplo de configuração do servidor de NTP

Configurar um server público com Cisco ASDM

ACS 5.X: Fixe o exemplo de configuração do servidor ldap

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

ASA 8.X: Distribuindo o tráfego SSL VPN com o exemplo em túnel da configuração de gateway de voz padrão

Criação de túnel redundante entre Firewall usando o PDM

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

Índice. Introdução. Pré-requisitos. Requisitos

Configurar o servidor de backup para o gerente das comunicações unificadas de Cisco

Configurar o Access point de pouco peso como um suplicante do 802.1x

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Thin client SSL VPN (WebVPN) no ASA com exemplo da configuração ASDM

Como Atribuir Níveis de Privilégios com TACACS+ e RADIUS

Aplicação do aprimoramento de recursos ASA SNMP

Servidor DNS de Microsoft Windows 2003 para o exemplo de configuração da descoberta do controlador do Wireless LAN (WLC)

Exemplo de Configuração do PIX/ASA como um Servidor VPN Remoto com Autenticação Estendida Usando a Interface de Linha de Comando e o ASDM

Exemplo de configuração de SAML SSO da versão 10.5 da conexão de unidade

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Acesso portal administrativo ISE com exemplo de configuração das credenciais AD

ASA 8.X e mais tarde: Adicionar ou altere uma lista de acessos com o exemplo da configuração GUI ASDM

CS-MARS: Adicionar o sensor do ips Cisco como um dispositivo de relatório ao exemplo de configuração CS-MARS

Manual de configuração EAP-FAST da versão 1.02

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

Erros de GUI 7.x expressos do gerente das comunicações unificadas

Secure ACS para Windows v3.2 com autenticação da máquina do EAP-TLS

Configurando ajustes e Failover avançados do VPN de Site-para-Site no RV160 e no RV260

O ASA com WebVPN e escolhe Sinal-em usar o exemplo de configuração ASDM e NTLMv1

PIX/ASA como um servidor de VPN remoto com autenticação extendida usando o CLI e o exemplo da configuração ASDM

PIX/ASA como um servidor de VPN remoto com autenticação extendida usando o CLI e o exemplo da configuração ASDM

ASA 8.0: Configurar a autenticação RADIUS para usuários WebVPN

PIX/ASA e cliente VPN para os Internet públicas VPN em um exemplo de configuração da vara

Integração de Cisco ACS 5.X com o servidor de tokens do SecurID RSA

Exemplo de configuração de SAML SSO da versão de gerenciador 10.5 das comunicações unificadas

Integração de Cisco ACS 5.X com o servidor de tokens do SecurID RSA

ASA 8.3 e mais atrasado: Acesso de servidor do correio (S TP) no exemplo de configuração da rede interna

PIX 6.x: IPsec dinâmico entre um IOS Router estaticamente endereçado e o PIX Firewall dinamicamente endereçado com exemplo da configuração de NAT

ASA/PIX: Exemplo de Configuração de Habilitação do Tunelamento Dividido for VPN Clients no ASA

Integração do sistema de FireSIGHT com o ISE para a autenticação de usuário RADIUS

ASA 8.3 e mais atrasado: Acesso de servidor do correio (S TP) no exemplo de configuração da rede externa

Sistema operacional elástico de FirePOWER (FXO) 2.2: Authentication e autorização do chassi para o Gerenciamento remoto com ACS usando o TACACS+.

Configurando o PPTP através da PAT para um Microsoft PPTP Server

O módulo ASA FirePOWER (SFR) pesquisa defeitos procedimentos de geração do arquivo usando ASDM (o Gerenciamento da Em-caixa)

PIX/ASA 7.x: Permita/comunicação do desabilitação entre relações

ASA/PIX 7.X: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo nãopadrão

Utilização de Números de Porta FTP Não- Padrão com NAT

Os ajustes remotos do dial-in user service da autorização (RAIO) em séries ESW2 350G controlaram o Switches

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

PIX/ASA 7.x e mais tarde: Exemplo de configuração do filtro VPN (porta específica ou protocolo da licença) para o L2L e o Acesso remoto

Atribuição do grupo de política para os clientes de AnyConnect que usam o LDAP no exemplo de configuração dos finais do cabeçalho do Cisco IOS

Integração do sistema de FireSIGHT com ACS 5.x para a autenticação de usuário RADIUS

Conexões de permissão PPTP/L2TP com o PIX/ASA/FWSM

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

PIX/ASA 7.x ASDM: Restrição do Acesso à Rede de Usuários de VPN de Acesso Remoto

PIX/ASA: Exemplo de configuração do PPPoE Client

Configurar o Access point de pouco peso como um suplicante do 802.1x

Configurando o Cisco Secure ACS for Windows v3.2 com autenticação da máquina PEAP-MS- CHAPv2

Grupos da autorização do comando shell ACS no exemplo de configuração IO e ASA/PIX/FWSM

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

Configurar a autenticação TACACS da prima 3.1 contra ISE 2.x

PIX/ASA: Promova uma imagem do software usando o ASDM ou o exemplo da configuração de CLI

Exemplo de configuração local da autenticação da Web do portal do convidado do Identity Services Engine

Configurar o RAIO para o server de Windows 2008 NP - WAAS AAA

Configuração do acesso remoto VPN de AnyConnect em FTD

Unidade organizacional personalizada para a integração LDAP entre o gerenciador de chamada e o diretório ativo

AnyConnect SSL sobre IPv4+IPv6 à configuração ASA

Configuração do objeto da autenticação LDAP no sistema de FireSIGHT

PIX/ASA 7.x e mais tarde com exemplo de configuração do Syslog

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

Encaixe da importação RDP ASA 8.x para o uso com exemplo de configuração WebVPN

Autenticação CS com ACS e autorização com exemplo de configuração local RBAC

Configurando o Cisco VPN 3000 Concentrator 4.7.x para obter um certificado digital e um certificado SSL

Travando usuários em um grupo do VPN 3000 Concentrator usando um servidor RADIUS

Client e configuração Nenhum-MODE

NAC(CCA) 4.x: Usuários do mapa a determinados papéis usando o exemplo da configuração ldap

As informações neste documento são baseadas nestas versões de software e hardware:

Configurar o RAIO e o TACACS+ para a autenticação GUI e CLI em 9800 controladores do Wireless LAN

Cisco CallManager: Restaurando um senha de art/car perdido

Transcrição:

PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Produtos Relacionados Convenções Informações de Apoio Configurar a authentication e autorização para os usuários VPN que usam o ASDM Configurar server da authentication e autorização Configurar um grupo de túneis VPN para a authentication e autorização Configurar a authentication e autorização para os usuários VPN que usam o CLI Verificar Troubleshooting Informações Relacionadas Introdução Este documento descreve como usar o Cisco Adaptive Security Device Manager (ASDM) para configurar a autenticação de Kerberos e os grupos de servidor de autorização LDAP na ferramenta de segurança da série do Cisco PIX 500. Neste exemplo, os grupos de servidor são usados pela política de um grupo de túneis VPN para autenticar e autorizar novos usuários. Pré-requisitos Requisitos Este documento supõe o PIX é plenamente operacional e configurado para permitir que o ASDM faça alterações de configuração. Nota: Refira permitir o acesso HTTPS para o ASDM a fim permitir que o PIX seja configurado pelo ASDM. Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware: Versão de software 7.x da ferramenta de segurança de Cisco PIX e mais tarde Versão ASDM Cisco 5.x e mais tarde As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Produtos Relacionados Esta configuração pode igualmente ser usada com versão 7.x adaptável da ferramenta de segurança de Cisco (ASA). Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Informações de Apoio Não todos os métodos de authentication e autorização possíveis disponíveis no software PIX/ASA 7.x são apoiados quando você trata os usuários VPN. Esta tabela detalha que métodos estão disponíveis para usuários VPN: Autenticaç ão Autorizaç ão Loc al RADI US Sim Sim Sim Sim TACAC S+ Sim Não SD I Si m Nã o NT Kerber os Si m Nã o LDA P Sim Não Não Sim Nota: O Kerberos é usado para a autenticação e o LDAP é usado para a autorização de usuários VPN neste exemplo. Configurar a authentication e autorização para os usuários VPN que usam o ASDM Configurar server da authentication e autorização Termine estas etapas a fim configurar grupos de servidor da authentication e autorização para usuários VPN com o ASDM. 1. Escolha a configuração > as propriedades > o AAA Setup > Grupos de servidores AAA, e o clique adiciona.

2. Defina um nome para o grupo de Authentication Server novo, e escolha um protocolo.a opção do modo da contabilidade é para o RAIO e o TACACS+ somente. APROVAÇÃO do clique quando você for

feito. 3. Repita etapas 1 e 2 a fim criar um grupo de servidor de autorização

novo. 4. O clique aplica-se a fim enviar as mudanças ao dispositivo.

Se você o tem configurado para fazer assim, o dispositivo inspeciona agora os comandos que são adicionados à configuração running. 5. O clique envia a fim enviar os comandos ao dispositivo.

Os grupos de servidor recém-criados devem agora ser povoados com server da authentication e autorização. 6. Escolha a configuração > as propriedades > o AAA Setup > servidores AAA, e o clique adiciona.

7. Configurar um Authentication Server. Clique a APROVAÇÃO quando você é

feito. Grupo de servidor Escolha o grupo de Authentication Server configurado em etapa 2.Nome da relação Escolha a relação em que o server reside.endereço IP do servidor Especifique o endereço IP de Um ou Mais Servidores Cisco ICM NT do Authentication Server.Intervalo Especifique o tempo máximo, nos segundos, esperar uma resposta do server.parâmetros Kerberos:Porta de servidor 88 são a porta padrão para o Kerberos.Intervalo de nova tentativa Escolha o intervalo de nova tentativa desejado.esfera de kerberos Dê entrada com o nome de sua esfera de kerberos. Este é frequentemente o Domain Name de Windows em todas as letras maiúsculas. 8. Configurar um servidor de autorização. Clique a APROVAÇÃO quando

terminado. G rupo de servidor Escolha o grupo de servidor de autorização configurado em etapa 3.Nome da relação Escolha a relação em que o server reside.endereço IP do servidor Especifique o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de autorização.intervalo Especifique o tempo máximo, nos segundos, esperar uma resposta do server.parâmetros LDAP:Porta de servidor 389 são a porta padrão para o LDAP.Base DN Entre no lugar na hierarquia LDAP onde o server deve começar ao procurar uma vez recebe um pedido de autorização.espaço Escolha a extensão a que o server deve procurar a hierarquia LDAP uma vez que recebe um pedido de autorização.atributos de nomeação Incorpore os atributos de nome destacado relativos por que as entradas no servidor ldap são definidas excepcionalmente. Os atributos de nomeação comuns são Common Name (CN) e usuário - identificação (uid).início de uma sessão DN Alguns servidores ldap, incluindo o server do microsoft ative directory, exigem o dispositivo estabelecer um aperto de mão através do emperramento autenticado antes que aceitem

pedidos para todas as outras operações de LDAP. O campo do início de uma sessão DN define as características de autenticação do dispositivo, que deve corresponder àqueles de um usuário com os privilégios da administração. Por exemplo, cn=administrator. Para o acesso anônimo, deixe esta placa do campo.senha de login Incorpore a senha para o início de uma sessão DN.Confirme a senha de login Confirme a senha para o início de uma sessão DN. 9. O clique aplica-se a fim enviar as mudanças aos server da authentication e autorização do dispositivo é adicionado afinal.se você o tem configurado para fazer assim, o PIX inspeciona agora os comandos que são adicionados à configuração running. 10. O clique envia a fim enviar os comandos ao dispositivo. Configurar um grupo de túneis VPN para a authentication e autorização Termine estas etapas a fim adicionar os grupos de servidor que você apenas configurou a um grupo de túneis VPN. 1. Escolha a configuração > o VPN > o grupo de túneis, e o clique adiciona a fim criar um grupo de túneis novo, ou edita a fim alterar um grupo existente. 2. No tab geral do indicador que aparece, selecione os grupos de servidor configurados mais cedo.

3. Opcional: Configurar os parâmetros remanescente nas outras abas se você adiciona um grupo de túneis novo. 4. Clique a APROVAÇÃO quando você é feito. 5. O clique aplica-se a fim enviar as mudanças ao dispositivo depois que a configuração do grupo de túneis está completa.se você o tem configurado para fazer assim, o PIX inspeciona agora os comandos que são adicionados à configuração running. 6. O clique envia a fim enviar os comandos ao dispositivo. Configurar a authentication e autorização para os usuários VPN que usam o CLI Esta é a configuração de CLI equivalente para os grupos de servidor da authentication e autorização para usuários VPN. Configuração de CLI da ferramenta de segurança

pixfirewall#show run : Saved : PIX Version 7.2(2)! hostname pixfirewall domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names! interface Ethernet0 shutdown no nameif no security-level no ip address! interface Ethernet1 nameif inside security-level 100 ip address 172.22.1.105 255.255.255.0!!--- Output is suppressed.! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid pager lines 24 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-522.bin!--- Output is suppressed. aaa-server my_authent_grp protocol kerberos aaa-server my_authent_grp host 172.22.1.100 kerberos-realm REALM.CISCO.COM aaa-server my_author_grp protocol ldap aaa-server my_author_grp host 172.22.1.101 ldap-base-dn ou=cisco ldap-scope onelevel ldap-namingattribute uid http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart tunnel-group DefaultRAGroup generalattributes authentication-server-group my_authent_grp authorization-server-group my_author_grp!!--- Output is suppressed. Verificar Termine estas etapas a fim verificar a autenticação de usuário entre o PIX/ASA e o servidor AAA: 1. Escolha a configuração > as propriedades > o AAA Setup > servidores AAA, e selecione o grupo de servidor (my_authent_grp). Clique então o teste a fim validar as credenciais do usuário. 2. Forneça o nome de usuário e senha (por exemplo, username: teste e senha: o teste), e clica a APROVAÇÃO a fim

3. validar. Você pode ver que a autenticação é bem sucedida. Troubleshooting 1. Uma causa frequente da falha de autenticação é enviesamento do pulso de disparo. Seja certo que os pulsos de disparo no PIX ou no ASA e seu Authentication Server estão sincronizados.quando a autenticação falha devido cronometrar o enviesamento, você pode receber este Mensagem de Erro: :- ERRO: Autenticação rejeitada: Segundos enviesados do pulso de disparo maior de 300. Também, este mensagem de registro aparece:%pix ASA-3-113020: Erro do Kerberos: Enviesamento do pulso de disparo com segundos dos ip_address do server maiores de 300 ip_address O endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Kerberos.Esta mensagem é indicada quando a autenticação para um usuário do IPsec ou WebVPN através de um servidor Kerberos falha porque os pulsos de disparo na ferramenta de segurança e no server são mais de cinco minutos (300 segundos) distante. Quando isto ocorre, a tentativa de conexão está rejeitada.a fim resolver esta edição, sincronize os pulsos de disparo na ferramenta de segurança e no servidor Kerberos. 2. a PRE-autenticação no diretório ativo (AD) deve ser desabilitada, ou ele pode conduzir à falha da autenticação de usuário.

3. Os usuários de cliente VPN são incapazes de autenticar contra o Microsoft certificate server. Este Mensagem de Erro aparece: Erro que processa o payload (erro 14) A fim resolver esta edição, desmarcar não exigem a caixa de seleção Pré-autenticação do kerberose no Authentication Server. Informações Relacionadas Configurando servidores AAA e o base de dados local Sustentação do produto do Dispositivos de segurança adaptáveis Cisco ASA série 5500 Cisco PIX Firewall Software Referências do comando Cisco Secure PIX Firewall Avisos de campo de produto de segurança (incluindo PIX) Solicitações de Comentários (RFCs) Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback