Ce document décrit comment configurer l’appliance de sécurité pour authentifier des utilisateurs pour l’accès au réseau. Puisque vous pouvez implicitement activer des autorisations RADIUS, cette section ne contient aucun renseignement sur la configuration de l’autorisation RADIUS sur l’appliance de sécurité. Elle fournit néanmoins des renseignements sur la façon dont l’appliance de sécurité gère les renseignements de liste d’accès reçus des serveurs RADIUS.
Vous pouvez configurer un serveur RADIUS pour télécharger une liste d'accès sur l'appliance de sécurité ou un nom de liste d'accès au moment de l'authentification. L'utilisateur n'est autorisé à faire que ce qui est autorisé dans la liste de contrôle d'accès spécifique à l'utilisateur.
Les listes d'accès téléchargeables sont le moyen le plus évolutif lorsque vous utilisez Cisco Secure ACS pour fournir les listes d'accès appropriées pour chaque utilisateur. Pour plus d'informations sur les fonctionnalités de listes d'accès téléchargeables et sur Cisco Secure ACS, référez-vous à Configuration d'un serveur RADIUS pour envoyer des listes de contrôle d'accès téléchargeables et des listes de contrôle d'accès IP téléchargeables.
Référez-vous à ASA 8.3 et versions ultérieures : Exemple de configuration d'autorisation Radius (ACS 5.x) pour l'accès VPN à l'aide d'une liste de contrôle d'accès téléchargeable avec CLI et ASDM pour la configuration identique sur Cisco ASA avec les versions 8.3 et ultérieures.
Ce document suppose que l´ASA est complètement opérationnel et configuré pour permettre au Cisco ASDM ou CLI d'apporter des modifications de configuration.
Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM ou PIX/ASA 7.x : SSH sur l'exemple de configuration d'interface interne et externe pour permettre au périphérique d'être configuré à distance par l'ASDM ou Secure Shell (SSH).
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Logiciel Cisco Adaptive Security Appliance versions 7.x et ultérieures
Cisco Adaptive Security Device Manager versions 5.x et ultérieures
Client VPN Cisco Versions 4.x et ultérieures
Serveur de contrôle d'accès sécurisé Cisco 4.x
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Vous pouvez également utiliser cette configuration avec le dispositif de sécurité Cisco PIX Versions 7.x et ultérieures.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Vous pouvez utiliser des listes de contrôle d'accès IP téléchargeables pour créer des ensembles de définitions de listes de contrôle d'accès que vous pouvez appliquer à de nombreux utilisateurs ou groupes d'utilisateurs. Ces ensembles de définitions de listes de contrôle d’accès sont appelés contenus ACL. En outre, lorsque vous incorporez des NAF, vous contrôlez le contenu de la liste de contrôle d'accès qui est envoyé au client AAA à partir duquel un utilisateur demande l'accès. Autrement dit, une liste de contrôle d’accès IP téléchargeable comprend une ou plusieurs définitions de contenu de liste de contrôle d’accès, chacune étant associée à un NAF ou (par défaut) associée à tous les clients AAA. Le NAF contrôle l'applicabilité du contenu de la liste de contrôle d'accès spécifiée en fonction de l'adresse IP du client AAA. Pour plus d'informations sur les NAF et la façon dont ils réglementent les ACL IP téléchargeables, consultez À propos des filtres d'accès réseau.
Les listes de contrôle d’accès IP téléchargeables fonctionnent comme suit :
Lorsqu'ACS accorde à un utilisateur l'accès au réseau, ACS détermine si une liste de contrôle d'accès IP téléchargeable est attribuée à cet utilisateur ou au groupe de l'utilisateur.
Si ACS localise une liste de contrôle d'accès IP téléchargeable attribuée à l'utilisateur ou au groupe de l'utilisateur, il détermine si une entrée de contenu de liste de contrôle d'accès est associée au client AAA qui a envoyé la demande d'authentification RADIUS.
ACS envoie, dans le cadre de la session utilisateur, un paquet RADIUS access-accept, un attribut qui spécifie la liste de contrôle d'accès nommée et la version de la liste de contrôle d'accès nommée.
Si le client AAA répond qu'il n'a pas la version actuelle de la liste de contrôle d'accès dans son cache, c'est-à-dire que la liste de contrôle d'accès est nouvelle ou a changé, ACS envoie la liste de contrôle d'accès (nouvelle ou mise à jour) au périphérique.
Les listes de contrôle d'accès IP téléchargeables sont une alternative à la configuration des listes de contrôle d'accès dans l'attribut RADIUS Cisco-av-pair [26/9/1] de chaque utilisateur ou groupe d'utilisateurs. Vous pouvez créer une liste de contrôle d'accès IP téléchargeable une fois, lui attribuer un nom, puis attribuer la liste de contrôle d'accès IP téléchargeable à chaque utilisateur ou groupe d'utilisateurs applicable si vous référencez son nom. Cette méthode est plus efficace que si vous configurez l'attribut RADIUS Cisco cisco-av-pair pour chaque utilisateur ou groupe d'utilisateurs.
En outre, lorsque vous utilisez des NAF, vous pouvez appliquer différents contenus de liste de contrôle d'accès au même utilisateur ou groupe d'utilisateurs en ce qui concerne le client AAA qu'ils utilisent. Aucune configuration supplémentaire du client AAA n'est nécessaire une fois que vous avez configuré le client AAA pour utiliser des listes de contrôle d'accès IP téléchargeables à partir d'ACS. Les listes de contrôle d’accès téléchargeables sont protégées par le régime de sauvegarde ou de réplication que vous avez établi.
Lorsque vous entrez les définitions de liste de contrôle d'accès dans l'interface Web ACS, n'utilisez pas d'entrées de mot clé ou de nom ; à tous les autres égards, utilisez la syntaxe et la sémantique de commande de liste de contrôle d'accès standard pour le client AAA sur lequel vous souhaitez appliquer la liste de contrôle d'accès IP téléchargeable. Les définitions de liste de contrôle d’accès que vous entrez dans ACS comprennent une ou plusieurs commandes ACL. Chaque commande de liste de contrôle d’accès doit se trouver sur une ligne distincte.
Vous pouvez ajouter un ou plusieurs contenus de liste de contrôle d’accès nommée à une liste de contrôle d’accès IP téléchargeable. Par défaut, chaque contenu de liste de contrôle d'accès s'applique à tous les clients AAA, mais, si vous avez défini des NAF, vous pouvez limiter l'applicabilité de chaque contenu de liste de contrôle d'accès aux clients AAA qui sont répertoriés dans le NAF que vous associez à lui. En d'autres termes, lorsque vous utilisez des NAF, vous pouvez faire en sorte que chaque contenu de liste de contrôle d'accès, au sein d'une seule liste de contrôle d'accès IP téléchargeable, soit applicable à plusieurs périphériques réseau ou groupes de périphériques réseau différents, conformément à votre stratégie de sécurité réseau.
Vous pouvez également modifier l'ordre du contenu d'une liste de contrôle d'accès IP téléchargeable. ACS examine le contenu de la liste de contrôle d'accès, en commençant par le haut du tableau, et télécharge le premier contenu de la liste de contrôle d'accès qu'il trouve avec un NAF qui inclut le client AAA utilisé. Lorsque vous définissez l'ordre, vous pouvez garantir l'efficacité du système si vous placez le contenu de la liste de contrôle d'accès le plus applicable plus haut dans la liste. Vous devez comprendre que, si vos NAF incluent des populations de clients AAA qui se chevauchent, vous devez passer de la plus spécifique à la plus générale. Par exemple, ACS télécharge le contenu d'une liste de contrôle d'accès avec le paramètre NAF All-AAA-Clients et ne prend pas en compte les listes inférieures.
Afin d'utiliser une liste de contrôle d'accès IP téléchargeable sur un client AAA particulier, le client AAA doit suivre ces instructions :
Utiliser RADIUS pour l'authentification
Prise en charge des ACL IP téléchargeables
Voici des exemples de périphériques Cisco prenant en charge les listes de contrôle d'accès IP téléchargeables :
Périphériques ASA et PIX
Concentrateurs VPN série 3000
Périphériques Cisco exécutant la version 12.3(8)T ou ultérieure de la plate-forme logicielle Cisco IOS
Voici un exemple du format que vous devez utiliser pour entrer des ACL VPN 3000/ASA/PIX 7.x+ dans la zone Définitions d'ACL :
permit ip 10.153.0.0 0.0.255.255 host 10.158.9.1 permit ip 10.154.0.0 0.0.255.255 10.158.10.0 0.0.0.255 permit 0 any host 10.159.1.22 deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log permit TCP any host 10.160.0.1 eq 80 log permit TCP any host 10.160.0.2 eq 23 log permit TCP any host 10.160.0.3 range 20 30 permit 6 any host HOSTNAME1 permit UDP any host HOSTNAME2 neq 53 deny 17 any host HOSTNAME3 lt 137 log deny 17 any host HOSTNAME4 gt 138 deny ICMP any 10.161.0.0 0.0.255.255 log permit TCP any host HOSTNAME5 neq 80
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : Utilisez l’outil de recherche de commandes (clients enregistrés seulement) pour en savoir plus sur les commandes employées dans cette section.
Ce document utilise la configuration réseau suivante :
Remarque : les schémas d'adressage IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.
Procédure ASDM
Complétez ces étapes afin de configurer le VPN d'accès à distance :
Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Policies > Add afin de créer une stratégie ISAKMP.
Fournissez les détails de la stratégie ISAKMP comme indiqué.
Cliquez sur OK et sur Apply.
Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IKE Parameters pour activer l'IKE sur l'interface externe.
Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > IPSec Transform Sets > Add afin de créer le jeu de transformation ESP-3DES-SHA, comme illustré.
Cliquez sur OK et sur Apply.
Choisissez Configuration > Remote Access VPN > Network (Client) Access > Advanced > IPSec > Crypto Maps > Add afin de créer une carte de chiffrement avec une stratégie dynamique de priorité 1, comme indiqué.
Cliquez sur OK et sur Apply.
Choisissez Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools et cliquez sur Add pour ajouter le client VPN pour les utilisateurs du client VPN.
Choisissez Configuration > Remote Access VPN > AAA Setup > AAA Server Groups et cliquez sur Add pour ajouter le nom et le protocole du groupe de serveurs AAA .
Ajoutez l'adresse IP du serveur AAA (ACS) et l'interface qu'il connecte. Ajoutez également la clé Server Secret dans la zone RADIUS Parameters. Click OK.
Choisissez Configuration > Remote Access VPN > Network (Client) Access > IPSec Connection Profiles > Add afin d'ajouter un groupe de tunnel, par exemple, TunnelGroup1 et la clé pré-partagée comme cisco123, comme illustré.
Sous l'onglet Basic, sélectionnez le groupe de serveurs comme vpn pour le champ User Authentication.
Sélectionnez vpnclient comme pools d'adresses client pour les utilisateurs du client VPN.
Click OK.
Activez l'interface externe pour l'accès IPSec. Cliquez sur Apply pour continuer.
Complétez ces étapes afin de configurer le serveur DHCP pour fournir des adresses IP aux clients VPN à partir de la ligne de commande. Référez-vous à Configurer les vpn d'accès à distance ou Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5505-Références de commande pour plus d'informations sur chaque commande qui est utilisée.
Exécution de la configuration sur le périphérique ASA |
---|
ASA# sh run ASA Version 8.0(2) ! !--- Specify the hostname for the Security Appliance. hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted names ! !--- Configure the outside and inside interfaces. interface Ethernet0/0 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet0/1 nameif DMZ security-level 100 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0 !--- Output is suppressed. passwd 2KFQnbNIdI.2KYOU encrypted boot system disk0:/asa802-k8.bin ftp mode passive access-list 101 extended permit ip 10.1.1.0 255.255.255.0 192.168.5.0 255.255.255.0 !--- Radius Attribute Filter access-list new extended deny ip any host 10.1.1.2 access-list new extended permit ip any any pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 ip local pool vpnclient1 192.168.5.1-192.168.5.10 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 !--- Specify the location of the ASDM image for ASA to fetch the image for ASDM access. asdm image disk0:/asdm-613.bin no asdm history enable arp timeout 14400 global (outside) 1 192.168.1.5 nat (inside) 0 access-list 101 nat (inside) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 192.168.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy !--- Create the AAA server group "vpn" and specify the protocol as RADIUS. !--- Specify the CSACS server as a member of the "vpn" group and provide the !--- location and key. aaa-server vpn protocol radius max-failed-attempts 5 aaa-server vpn (DMZ) host 172.16.1.1 retry-interval 1 timeout 30 key cisco123 http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart !--- PHASE 2 CONFIGURATION ---! !--- The encryption types for Phase 2 are defined here. !--- A Triple DES encryption with !--- the sha hash algorithm is used. crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac !--- Defines a dynamic crypto map with !--- the specified encryption settings. crypto dynamic-map outside_dyn_map 1 set transform-set ESP-3DES-SHA !--- Binds the dynamic map to the IPsec/ISAKMP process. crypto map outside_map 1 ipsec-isakmp dynamic outside_dyn_map !--- Specifies the interface to be used with !--- the settings defined in this configuration. crypto map outside_map interface outside !--- PHASE 1 CONFIGURATION ---! !--- This configuration uses ISAKMP policy 2. !--- The configuration commands here define the Phase !--- 1 policy parameters that are used. crypto isakmp enable outside crypto isakmp policy 2 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 no crypto isakmp nat-traversal telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global ! group-policy DfltGrpPolicy attributes vpn-tunnel-protocol IPSec webvpn group-policy GroupPolicy1 internal !--- Associate the vpnclient pool to the tunnel group using the address pool. !--- Associate the AAA server group (VPN) with the tunnel group. tunnel-group TunnelGroup1 type remote-access tunnel-group TunnelGroup1 general-attributes address-pool vpnclient authentication-server-group vpn !--- Enter the pre-shared-key to configure the authentication method. tunnel-group TunnelGroup1 ipsec-attributes pre-shared-key * prompt hostname context Cryptochecksum:e0725ca9ccc28af488ded9ee36b7822d : end ASA# |
Essayez de vous connecter à Cisco ASA avec le client VPN Cisco afin de vérifier que l'ASA est correctement configuré.
Sélectionnez Start > Programs > Cisco Systems VPN Client > VPN Client (démarrer > programmes > client VPN Cisco Systems > client VPN).
Cliquez sur New pour ouvrir la fenêtre Create New VPN Connection Entry.
Complétez les détails de votre nouvelle connexion.
Entrez le nom de l'entrée de connexion avec une description. Entrez l'adresse IP externe de l'ASA dans le champ Host. Saisissez ensuite le nom du groupe de tunnels VPN (TunnelGroup1) et le mot de passe (Pre-shared Key - cisco123), comme configuré dans ASA. Cliquez sur Save.
Cliquez sur la connexion que vous voulez utiliser, et cliquez sur Connect dans la fenêtre principale de VPN Client.
À l'invite, entrez le Nom d'utilisateur : cisco et le Mot de passe : password1 comme configuré dans l'ASA pour xauth, et cliquez sur OK pour vous connecter au réseau distant.
Le client VPN est connecté à l'ASA sur le site central.
Une fois la connexion établie avec succès, choisissez Statistics dans le menu Status pour vérifier les détails du tunnel.
Vous pouvez configurer des listes d'accès téléchargeables sur Cisco Secure ACS en tant que composant de profil partagé, puis attribuer la liste d'accès à un groupe ou à un utilisateur individuel.
Afin d'implémenter des listes d'accès dynamiques, vous devez configurer le serveur RADIUS pour le prendre en charge. Lorsque l'utilisateur s'authentifie, le serveur RADIUS envoie une liste d'accès téléchargeable ou un nom de liste d'accès à l'appliance de sécurité. L'accès à un service donné est autorisé ou refusé par la liste d'accès. L'appliance de sécurité supprime la liste d'accès lorsque la session d'authentification expire.
Dans cet exemple, l'utilisateur VPN IPSec "cisco" s'authentifie avec succès et le serveur RADIUS envoie une liste d'accès téléchargeable au dispositif de sécurité. L'utilisateur « cisco » peut accéder uniquement au serveur 10.1.1.2 et refuse tout autre accès. Afin de vérifier la liste de contrôle d'accès, consultez la section Liste de contrôle d'accès téléchargeable pour utilisateur/groupe.
Complétez ces étapes afin de configurer RADIUS dans un Cisco Secure ACS.
Choisissez Network Configuration sur la gauche, et cliquez sur Add Entry pour ajouter une entrée pour l'ASA dans la base de données du serveur RADIUS.
Entrez 172.16.1.2 dans le champ Client IP address et entrez "cisco123" dans le champ Shared secret Key. Sélectionnez RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) dans la liste déroulante Authenticate Using. Cliquez sur Submit. .
Saisissez le nom d'utilisateur dans le champ User de la base de données Cisco Secure, puis cliquez sur Add/Edit.
Dans cet exemple, le nom d'utilisateur est cisco.
Dans la fenêtre suivante, entrez le mot de passe pour "cisco". Dans cet exemple, le mot de passe est également password1. Lorsque vous avez terminé, cliquez sur Envoyer.
La page Options avancées permet de déterminer les options avancées affichées par ACS. Vous pouvez simplifier les pages qui apparaissent dans d'autres zones de l'interface Web ACS si vous masquez les options avancées que vous n'utilisez pas. Cliquez sur Interface Configuration, puis sur Advanced Options pour ouvrir la page Advanced Options.
Cochez la case ACL téléchargeables au niveau de l'utilisateur et ACL téléchargeables au niveau du groupe.
Listes de contrôle d'accès téléchargeables au niveau de l'utilisateur : lorsque cette option est sélectionnée, elle active la section Listes de contrôle d'accès téléchargeables de la page Configuration utilisateur.
Listes de contrôle d'accès téléchargeables au niveau du groupe : lorsque cette option est sélectionnée, elle active la section Listes de contrôle d'accès téléchargeables de la page Configuration du groupe.
Dans la barre de navigation, cliquez sur Shared Profile Components, puis sur Downloadable IP ACLs.
Remarque : si les listes de contrôle d'accès IP téléchargeables n'apparaissent pas sur la page Composants du profil partagé, vous devez activer les listes de contrôle d'accès téléchargeables au niveau de l'utilisateur, les listes de contrôle d'accès téléchargeables au niveau du groupe ou les deux dans la page Options avancées de la section Configuration d'interface.
Cliquez sur Add. La page Downloadable IP ACL s'affiche.
Dans la zone Nom, tapez le nom de la nouvelle liste de contrôle d'accès IP.
Remarque : le nom d'une liste de contrôle d'accès IP peut contenir jusqu'à 27 caractères. Le nom ne doit pas contenir d'espaces ni aucun des caractères suivants : trait d'union (-), crochet gauche ([), crochet droit (]), barre oblique (/), barre oblique inverse (\), guillemets ("), crochet angulaire gauche (<), crochet angulaire droit (>) ou tiret (-).
Dans la zone Description, tapez une description de la nouvelle liste de contrôle d’accès IP. La description peut comporter jusqu'à 1 000 caractères.
Afin d'ajouter un contenu ACL à la nouvelle ACL IP, cliquez sur Add.
Dans la zone Nom, tapez le nom du nouveau contenu de la liste de contrôle d’accès.
Remarque : le nom d'un contenu de liste de contrôle d'accès peut contenir jusqu'à 27 caractères. Le nom ne doit pas contenir d'espaces ni aucun des caractères suivants : trait d'union (-), crochet gauche ([), crochet droit (]), barre oblique (/), barre oblique inverse (\), guillemets ("), crochet angulaire gauche (<), crochet angulaire droit (>) ou tiret (-).
Dans la zone Définitions de liste de contrôle d’accès, tapez la nouvelle définition.
Remarque : lorsque vous entrez les définitions de liste de contrôle d'accès dans l'interface Web ACS, n'utilisez pas de mots clés ou d'entrées de nom ; commencez plutôt par un mot clé permit ou deny.
Afin d'enregistrer le contenu de l'ACL, cliquez sur Submit.
La page Downloadable IP ACLs s'affiche avec le nouveau contenu de la liste de contrôle d'accès répertorié par nom dans la colonne ACL Contents. Afin d'associer un NAF au contenu de la liste de contrôle d'accès, choisissez un NAF dans la zone Network Access Filtering à droite du nouveau contenu de la liste. Par défaut, NAF est (All-AAA-Clients). Si vous n'attribuez pas de NAF, ACS associe le contenu de la liste de contrôle d'accès à tous les périphériques réseau, ce qui est la valeur par défaut.
Afin de définir l'ordre du contenu de la liste de contrôle d'accès, cliquez sur la case d'option pour une définition de liste de contrôle d'accès, puis cliquez sur Up ou Down pour la repositionner dans la liste.
Afin d'enregistrer l'ACL IP, cliquez sur Submit.
Remarque : l'ordre du contenu des listes de contrôle d'accès est significatif. De haut en bas, ACS ne télécharge que la première définition de liste de contrôle d'accès qui a un paramètre NAF applicable, qui inclut le paramètre par défaut All-AAA-Clients, s'il est utilisé. En règle générale, votre liste de contenu de liste de contrôle d’accès passe de la liste NAF la plus spécifique (la plus étroite) à la liste NAF la plus générale (tous clients AAA).
Remarque : ACS entre la nouvelle liste de contrôle d'accès IP, qui prend effet immédiatement. Par exemple, si la liste de contrôle d'accès IP doit être utilisée avec les pare-feu PIX, elle peut être envoyée à n'importe quel pare-feu PIX qui tente d'authentifier un utilisateur qui a cette liste de contrôle d'accès IP téléchargeable attribuée à son profil d'utilisateur ou de groupe.
Accédez à la page User Setup et modifiez la page User. Dans la section Downloadable ACLs, cliquez sur la case à cocher Assign IP ACL:. Sélectionnez une liste de contrôle d’accès IP dans la liste. Si vous avez terminé la configuration des options du compte d'utilisateur, cliquez sur Submit pour enregistrer les options.
Suivez les étapes 1 à 9 de la section Configure ACS for Downloadable ACL for Individual User et suivez ces étapes afin de configurer la liste de contrôle d'accès téléchargeable pour le groupe dans un Cisco Secure ACS.
Dans cet exemple, l'utilisateur VPN IPSec « cisco » appartient aux groupes VPN. Les stratégies de groupe VPN sont appliquées à tous les utilisateurs du groupe.
L'utilisateur du groupe VPN « cisco » s'authentifie correctement et le serveur RADIUS envoie une liste d'accès téléchargeable au dispositif de sécurité. L'utilisateur « cisco » peut accéder uniquement au serveur 10.1.1.2 et refuse tout autre accès. Afin de vérifier la liste de contrôle d'accès, référez-vous à la section Liste de contrôle d'accès téléchargeable pour utilisateur/groupe.
Dans la barre de navigation, cliquez sur Group Setup. La page Group Setup Select s'ouvre.
Renommez le groupe 1 en VPN, puis cliquez sur Submit.
Dans la liste Groupe, sélectionnez un groupe, puis cliquez sur Modifier les paramètres.
Dans la section Downloadable ACLs, cliquez sur la case à cocher Assign IP ACL. Sélectionnez une liste de contrôle d’accès IP dans la liste.
Afin d'enregistrer les paramètres de groupe que vous venez de faire, cliquez sur Submit.
Accédez à la page User Setup et modifiez l'utilisateur que vous souhaitez ajouter au groupe : VPN. Lorsque vous avez terminé, cliquez sur Envoyer.
Maintenant, la liste de contrôle d'accès téléchargeable configurée pour le groupe VPN est appliquée pour cet utilisateur.
Afin de continuer à spécifier d'autres paramètres de groupe, effectuez les autres procédures de ce chapitre, le cas échéant
Afin de télécharger un nom pour une liste d'accès que vous avez déjà créée sur l'appliance de sécurité à partir du serveur RADIUS lorsqu'un utilisateur s'authentifie, configurez l'attribut IETF RADIUS filter-id (attribut numéro 11) comme suit :
filter-id=acl_name
L'utilisateur du groupe VPN"cisco" s'authentifie avec succès et le serveur RADIUS télécharge un nom de liste de contrôle d'accès (nouveau) pour une liste d'accès que vous avez déjà créée sur l'appliance de sécurité . L'utilisateur « cisco » peut accéder à tous les périphériques qui se trouvent à l'intérieur du réseau de l'ASA, à l'exception du serveur 10.1.1.2. Afin de vérifier l'ACL, consultez la section Filter-Id ACL.
Comme dans l'exemple, la liste de contrôle d'accès nommée new est configurée pour le filtrage dans ASA.
access-list new extended deny ip any host 10.1.1.2 access-list new extended permit ip any any
Ces paramètres apparaissent uniquement lorsqu'ils sont vrais. Vous avez configuré
Client AAA pour utiliser l'un des protocoles RADIUS dans la configuration réseau
Attributs RADIUS de niveau groupe sur la page RADIUS (IETF) de la section Configuration d'interface de l'interface Web
Les attributs RADIUS sont envoyés en tant que profil pour chaque utilisateur d'ACS au client AAA demandeur.
Afin de configurer les paramètres d'attribut IETF RADIUS pour qu'ils s'appliquent en tant qu'autorisation pour chaque utilisateur du groupe actuel, effectuez les actions suivantes :
Dans la barre de navigation, cliquez sur Group Setup.
La page Group Setup Select s'ouvre.
Dans la liste Groupe, sélectionnez un groupe, puis cliquez sur Modifier les paramètres.
Le nom du groupe apparaît en haut de la page Paramètres du groupe.
Faites défiler jusqu'à Attributs RADIUS IEFT. Pour chaque attribut RADIUS IETF, vous devez autoriser le groupe actif. Cochez la case de l'attribut [011] Filter-Id, puis ajoutez le nom de la liste de contrôle d'accès définie par ASA (new) dans l'autorisation pour l'attribut dans le champ. Reportez-vous au résultat de la commande ASA show running configuration.
Pour enregistrer les paramètres de groupe que vous venez de définir et les appliquer immédiatement, cliquez sur Submit and Apply.
Remarque : pour enregistrer vos paramètres de groupe et les appliquer ultérieurement, cliquez sur Envoyer. Lorsque vous êtes prêt à implémenter les modifications, choisissez System Configuration > Service Control. Sélectionnez ensuite Redémarrer.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
show crypto isakmp sa — Affiche toutes les associations de sécurité actuelles IKE (SA) sur un homologue.
ciscoasa# sh crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 192.168.10.2 Type : user Role : responder Rekey : no State : AM_ACTIVE ciscoasa#
show crypto ipsec sa — Affiche les paramètres utilisés par les SA en cours.
ciscoasa# sh crypto ipsec sa interface: outside Crypto map tag: outside_dyn_map, seq num: 1, local addr: 192.168.1.1 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (192.168.5.1/255.255.255.255/0/0) current_peer: 192.168.10.2, username: cisco dynamic allocated peer ip: 192.168.5.1 #pkts encaps: 65, #pkts encrypt: 65, #pkts digest: 65 #pkts decaps: 65, #pkts decrypt: 65, #pkts verify: 65 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 192.168.1.1, remote crypto endpt.: 192.168.10.2 path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: EEF0EC32 inbound esp sas: spi: 0xA6F92298 (2801345176) transform: esp-3des esp-sha-hmac none in use settings ={RA, Tunnel, } slot: 0, conn_id: 86016, crypto-map: outside_dyn_map sa timing: remaining key lifetime (sec): 28647 IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0xEEF0EC32 (4008766514) transform: esp-3des esp-sha-hmac none in use settings ={RA, Tunnel, } slot: 0, conn_id: 86016, crypto-map: outside_dyn_map sa timing: remaining key lifetime (sec): 28647 IV size: 8 bytes replay detection support: Y
Vérifiez la liste de contrôle d'accès téléchargeable pour l'utilisateur Cisco. Les ACL sont téléchargées à partir du CSACS.
ciscoasa(config)# sh access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 access-list 101; 1 elements access-list 101 line 1 extended permit ip 10.1.1.0 255.255.255.0 192.168.5.0 255.255.255.0 (hitcnt=0) 0x8719a411 access-list #ACSACL#-IP-VPN_Access-49bf68ad; 2 elements (dynamic) access-list #ACSACL#-IP-VPN_Access-49bf68ad line 1 extended permit ip any host 10.1.1.2 (hitcnt=2) 0x334915fe access-list #ACSACL#-IP-VPN_Access-49bf68ad line 2 extended deny ip any any (hitcnt=40) 0x7c718bd1
L'ID de filtre [011] a été appliqué pour le groupe - VPN, et les utilisateurs du groupe sont filtrés conformément à la liste de contrôle d'accès (new) définie dans l'ASA.
ciscoasa# sh access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 access-list 101; 1 elements access-list 101 line 1 extended permit ip 10.1.1.0 255.255.255.0 192.168.5.0 255.255.255.0 (hitcnt=0) 0x8719a411 access-list new; 2 elements access-list new line 1 extended deny ip any host 10.1.1.2 (hitcnt=4) 0xb247fec8 access-list new line 2 extended permit ip any any (hitcnt=39) 0x40e5d57c
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. L'exemple de sortie Debug est également affiché.
Remarque : pour plus d'informations sur le dépannage du VPN IPSec d'accès à distance, référez-vous à Solutions de dépannage de VPN IPSec L2L et d'accès à distance les plus courantes.
Lorsque vous effectuez un dépannage, assurez-vous d'effacer les associations de sécurité existantes après avoir effectué une modification. En mode privilégiée du PIX, utilisez les commandes suivantes :
clear [crypto] ipsec sa - Supprime les SA IPSec actives. Le mot clé crypto est facultatif.
clear [crypto] isakmp sa — supprime les SA IKE actives. Le mot clé crypto est facultatif.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.
debug crypto ipsec 7 — Affiche les négociations IPsec de la phase 2.
debug crypto isakmp 7 — Affiche les négociations ISAKMP de la phase 1.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
18-Mar-2009 |
Première publication |