PIX/ASA 7.x : CAC - Authentification SmartCards pour client VPN Cisco

Introduction

Ce document fournit un exemple de configuration sur Cisco Adaptive Security Appliance (ASA) pour l'accès réseau à distance avec la Common Access Card (CAC) pour l'authentification.

Ce document couvre la configuration de Cisco ASA avec Adaptive Security Device Manager (ASDM), le client VPN Cisco et Microsoft Active Directory (AD)/Lightweight Directory Access Protocol (LDAP).

La configuration de ce guide utilise le serveur Microsoft AD/LDAP. Ce document couvre également les fonctionnalités avancées, telles que les mappages d'attributs OCSP et LDAP.

Conditions préalables

Exigences

Une connaissance de base de Cisco ASA, Cisco VPN Client, Microsoft AD/LDAP et Public Key Infrastructure (PKI) est utile pour comprendre la configuration complète. La connaissance de l'appartenance à un groupe AD et des propriétés utilisateur, ainsi que des objets LDAP, permet de corréler le processus d'autorisation entre les attributs de certificat et les objets AD/LDAP.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Appareil de sécurité adaptatif (ASA) de la gamme Cisco 5500 qui exécute la version 7.2(2) du logiciel

• Cisco Adaptive Security Device Manager (ASDM) version 5.2(1)

• Client VPN Cisco 4.x

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Configuration de Cisco ASA

Cette section couvre la configuration de Cisco ASA via ASDM. Il couvre les étapes nécessaires au déploiement d'un tunnel d'accès à distance VPN via une connexion IPsec. Le certificat CAC est utilisé pour l'authentification et l'attribut User Principal Name (UPN) du certificat est renseigné dans Active Directory pour l'autorisation.

Considérations de déploiement

• Ce guide ne couvre PAS les configurations de base telles que les interfaces, DNS, NTP, le routage, l'accès aux périphériques ou l'accès ASDM, etc. Il est supposé que l’opérateur réseau connaît bien ces configurations.

  Pour plus d'informations, référez-vous à Appliances de sécurité multifonction.

• Certaines sections sont des configurations obligatoires requises pour l'accès VPN de base. Par exemple, un tunnel VPN peut être configuré avec la carte CAC sans vérification OCSP, ni vérification des mappages LDAP. Le DoD impose la vérification OCSP, mais le tunnel fonctionne sans le protocole OCSP configuré.

• L'image ASA/PIX de base requise est 7.2(2) et ASDM 5.2(1), mais ce guide utilise une version intermédiaire de 7.2.2.10 et ASDM 5.2.2.54.

• Aucune modification du schéma LDAP n'est nécessaire.

• Voir l'Annexe A pour des exemples de mappage de politiques d'accès LDAP et dynamique pour une application de politiques supplémentaire.

• Reportez-vous à l'annexe D sur la façon de vérifier les objets LDAP dans MS.

• Voir les informations associées