ASA met WebVPN en Single Sign-on met ASDM en NTLMv1 Configuration Voorbeeld

Inleiding

Dit document beschrijft hoe u de Cisco Adaptieve Security Applicatie (ASA) kunt configureren om inloggegevens van WebVPN-gebruikers automatisch door te geven, evenals secundaire verificatie, aan servers die een extra aanmeldingsvalidatie vereisen tegen Windows Active Directory met NT LAN Manager versie 1 (NTLMv1). Deze functie wordt single-sign-on (SSO) genoemd. Het geeft links die geconfigureerd zijn voor een specifieke WebVPN groep de mogelijkheid om deze gebruikersverificatie-informatie door te geven, waardoor het voorkomen van meerdere verificatievragen. Deze optie kan ook worden gebruikt op het niveau van de wereldwijde configuratie of gebruikersconfiguratie.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

• Zorg ervoor dat NTLMv1- en Windows-machtigingen voor de beoogde VPN-gebruikers zijn geconfigureerd. Raadpleeg uw Microsoft-documentatie voor meer informatie over Windows-domeintoegangsrechten.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco ASA 7.1(1)

• Cisco Adaptieve Security Device Manager (ASDM) 5.1(2)

• Microsoft Internet Information Services (IIS)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

In deze sectie, wordt u voorgesteld met de informatie om ASA als server van WebVPN met SSO te vormen.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Een AAA-server toevoegen voor Windows-domeinverificatie

Voltooi deze stappen om ASA te vormen om een domeincontroller voor verificatie te gebruiken.

1. Selecteer Configuration > Properties > AAA Setup > AAA-servers en klik op Add. Geef een naam op voor de servergroep, zoals Windows_NT, en kies NT-domein als protocol.

   

2. Voeg een Windows-server toe.

   Selecteer de nieuwe groep en klik op Toevoegen. Selecteer de interface waar de server zich bevindt en voer het IP-adres en de naam van de domeincontroller in. Zorg ervoor dat de domeinnaam wordt ingevoerd in alle hoofdletters. Klik op OK wanneer u klaar bent.

   

   Dit venster toont de voltooide AAA-configuratie:

   

Een zelfondertekend certificaat maken

Voltooi deze stappen om ASA te vormen om een zelf-ondertekend certificaat te gebruiken.

Opmerking: in dit voorbeeld wordt een zelfondertekend certificaat gebruikt voor eenvoud. Raadpleeg Certificaten configureren voor andere opties voor de inschrijving van certificaten, zoals inschrijven bij een externe certificeringsinstantie.

1. Selecteer Configuratie > Eigenschappen > Certificaat > Trustpoint > Configuratie en klik op Toevoegen.

2. In het venster dat wordt weergegeven, voert u een Trustpoint Name in zoals Local-TP en controleert u een zelfondertekend certificaat genereren bij inschrijving. Andere opties kunnen met hun standaardinstellingen worden achtergelaten. Klik op OK wanneer u klaar bent.

   

   Dit venster toont de voltooide Trustpoint configuratie:

   

Web VPN op de buiteninterface inschakelen

Voltooi deze stappen om gebruikers buiten uw netwerk toe te staan om met behulp van WebVPN verbinding te maken.

1. Selecteer Configuratie > VPN > WebVPN > WebVPN Access.

2. Selecteer de gewenste interface, klik op Inschakelen en controleer de optie Vervolgkeuzelijst Tunnelgroep inschakelen op de WebVPN-inlogpagina.

   Opmerking: als dezelfde interface wordt gebruikt voor WebVPN- en ASDM-toegang, moet u de standaardpoort voor ASDM-toegang wijzigen van poort 80 naar een nieuwe poort zoals 8080. Dit gebeurt onder Configuratie > Eigenschappen > Apparaattoegang > HTTPS/ASDM.

   Opmerking: u kunt een gebruiker automatisch omleiden naar poort 443 als een gebruiker naar http://<ip_address> navigeert in plaats van naar https://<ip_address>. Selecteer Configuratie > Eigenschappen > HTTP/HTTPS, kies de gewenste interface, klik op Bewerken en selecteer HTTP doorsturen naar HTTPS.

   

Een URL-lijst configureren voor uw interne server(s)

Voltooi deze stappen om een lijst te maken die de servers bevat waarvoor u uw WebVPN-gebruikers toegang wilt verlenen.

1. Selecteer Configuration > VPN > WebVPN > Servers en URL’s en klik op Add.

2. Voer een naam in voor de URL-lijst. Deze naam is niet zichtbaar voor eindgebruikers. Klik op Add (Toevoegen).

3. Voer de naam van de URL-weergave in zoals deze aan de gebruikers moet worden weergegeven. Voer de URL-informatie van de server in. Dit moet de manier zijn waarop u normaal toegang tot de server hebt.

   

4. Klik op OK, OK, en pas vervolgens toe.

   

Een intern groepsbeleid configureren

Voltooi deze stappen om een groepsbeleid voor uw gebruikers van WebVPN te vormen.

1. Selecteer Configuration > VPN > General > Group Policy, klik op Add, en selecteer Internal Group Policy.

2. Specificeer op het tabblad Algemeen een beleidsnaam, zoals Internal-Group_POL_WEBVPN. Schakel vervolgens de optie Overnemen naast tunnelprotocollen uit en controleer WebVPN.

   

3. Selecteer op het tabblad WebVPN het tabblad Overige. Schakel Inherit naast Servers en URL Lists uit en selecteer de URL-lijst die u hebt geconfigureerd uit de vervolgkeuzelijst. Klik op OK wanneer u klaar bent.

   

Een tunnelgroep configureren

Voltooi deze stappen om een Tunnel Group te configureren voor uw WebVPN-gebruikers.

1. Selecteer Configuration > VPN > General > Tunnel Group, klik op Add en selecteer WebVPN Access...

   

2. Voer een naam in voor de tunnelgroep, zoals WEB_VPN-GRP. Selecteer op het tabblad Basic het Groepsbeleid dat u hebt gemaakt en controleer of het groepstype webvpn is.

   

3. Ga naar het tabblad AAA.

   Kies voor de Verificatieservergroep de groep die u hebt geconfigureerd om NTLMv1-verificatie met uw domeincontroller in te schakelen.

   Optioneel: controleer LOKAAL gebruiken als servergroep niet in staat is het gebruik van de LOKALE gebruikersdatabase in te schakelen als de geconfigureerde AAA-groep mislukt. Dit kan u helpen bij het oplossen van problemen op een later tijdstip.

   

4. Ga naar het tabblad WebVPN en ga vervolgens naar het subtabblad Groepsaliassen en URL's.

5. Typ een alias onder Groepsaliassen en klik op Toevoegen. Deze alias wordt weergegeven in de vervolgkeuzelijst die wordt gepresenteerd aan WebVPN-gebruikers bij aanmelding.

   

6. Klik op OK en pas het toe.

Automatische handtekening voor een server configureren

Switch naar de opdrachtregel om SSO in te schakelen voor uw interne server(s).

Opmerking: deze stap kan niet in de ASDM worden voltooid en moet via de opdrachtregel worden uitgevoerd. Raadpleeg Toegang tot de opdrachtregelinterface voor meer informatie.

Gebruik de opdracht automatisch ondertekenen om de netwerkbron te specificeren, zoals een server, waartoe u uw gebruikers toegang wilt geven. Hier wordt één IP-adres voor één server ingesteld, maar ook een netwerkbereik zoals 10.1.1.0 /24 kan worden gespecificeerd. Raadpleeg de opdracht automatisch ondertekenen voor meer informatie.

ASA>enable
ASA#configure terminal
ASA(config)#webvpn
ASA(config-webpvn)#auto-signon allow ip 10.1.1.200 255.255.255.255 auth-type ntlm
ASA(config-webvpn)#quit
ASA(config)#exit
ASA#write memory

In deze voorbeelduitvoer wordt de opdracht met automatische handtekeningen wereldwijd voor WebVPN geconfigureerd. Deze opdracht kan ook worden gebruikt in de configuratiemodus van de WebVPN-groep of in de configuratiemodus van de webVPN-gebruikersnaam. Het gebruik van dit commando in WebVPN groepsconfiguratiemodus beperkt het tot een bepaalde groep. Op dezelfde manier beperkt het gebruik van deze opdracht in de configuratiemodus van de webVPN-gebruikersnaam het tot een individuele gebruiker. Raadpleeg de opdracht automatisch ondertekenen voor meer informatie.

Definitieve ASA-configuratie

Dit document gebruikt deze configuratie:

ASA# show running-config 
: Saved
:
ASA Version 7.1(1) 
!
terminal width 200
hostname ASA
domain-name cisco.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 172.16.171.51 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!             
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
asdm image disk0:/asdm512.bin
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 172.16.171.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- AAA server configuration

aaa-server Windows_NT protocol nt
aaa-server Windows_NT host 10.1.1.200
 nt-auth-domain-controller ESC-SJ-7800


!--- Internal group policy configuration

group-policy Internal-GRP_POL_WEBVPN internal
group-policy Internal-GRP_POL_WEBVPN attributes
 vpn-tunnel-protocol webvpn
 webvpn
  url-list value webserver
username cisco password Q/odgwmtmVIw4Dcm encrypted privilege 15
aaa authentication http console LOCAL 
aaa authentication ssh console LOCAL 
aaa authentication enable console LOCAL 
http server enable 8181
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- Trustpoint/certificate configuration

crypto ca trustpoint Local-TP
 enrollment self
 crl configure
crypto ca certificate chain Local-TP
 certificate 31
    308201b0 30820119 a0030201 02020131 300d0609 2a864886 f70d0101 04050030 
    1e311c30 1a06092a 864886f7 0d010902 160d4153 412e6369 73636f2e 636f6d30 
    1e170d30 36303333 30313334 3930345a 170d3136 30333237 31333439 30345a30 
    1e311c30 1a06092a 864886f7 0d010902 160d4153 412e6369 73636f2e 636f6d30 
    819f300d 06092a86 4886f70d 01010105 0003818d 00308189 02818100 e47a29cd 
    56becf8d 99d6d919 47892f5a 1b8fc5c0 c7d01ea6 58f3bec4 a60b2025 03748d5b 
    1226b434 561e5507 5b45f30e 9d65a03f 30add0b5 81f6801a 766c9404 9cabcbde 
    44b221f9 b6d6dc18 496fe5bb 4983927f adabfb17 68b4d22c cddfa6c3 d8802efc 
    ec3af7c7 749f0aa2 3ea2c7e3 776d6d1d 6ce5f748 e4cda3b7 4f007d4f 02030100 
    01300d06 092a8648 86f70d01 01040500 03818100 c6f87c61 534bb544 59746bdb 
    4e01680f 06a88a15 e3ed8929 19c6c522 05ec273d 3e37f540 f433fb38 7f75928e 
    1b1b6300 940b8dff 69eac16b af551d7f 286bc79c e6944e21 49bf15f3 c4ec82d8 
    8811b6de 775b0c57 e60a2700 fd6acc16 a77abee6 34cb0cad 81dfaf5a f544258d 
    cc74fe2d 4c298076 294f843a edda3a0a 6e7f5b3c
  quit


!--- Tunnel group configuration

tunnel-group WEB_VPN-GRP type webvpn
tunnel-group WEB_VPN-GRP general-attributes
 authentication-server-group Windows_NT
 default-group-policy Internal-GRP_POL_WEBVPN
tunnel-group WEB_VPN-GRP webvpn-attributes
 group-alias Group-Selection enable
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global


!--- WebVPN Configuration

webvpn
 enable outside
 url-list webserver "Internal Server" https://10.1.1.200 1
 tunnel-group-list enable
 auto-signon allow ip 10.1.1.200 255.255.255.255 auth-type ntlm
Cryptochecksum:c80ac5f6232df50fc1ecc915512c3cd6
: end

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

Een WebVPN-aanmelding testen

Login als gebruiker om uw configuratie te testen.

1. Probeer u aan te melden bij de ASA met gebruikersinformatie uit uw NT-domein. Selecteer de groep alias geconfigureerd in stap 5 onder Een tunnelgroep configureren.

   

2. Zoek naar de link(s) die zijn geconfigureerd voor de interne server(s). Klik op de link om te verifiëren.

   

Monitorsessies

Selecteer Bewaking > VPN > VPN-statistieken > Sessies en zoek naar een WebVPN-sessie die behoort tot de groep die in dit document is geconfigureerd.

Debug een Web VPN-sessie

Deze output is een voorbeelddebug van een succesvolle WebVPN-sessie.

Opmerking: raadpleeg Belangrijke informatie over debug-opdrachten voordat u debug-opdrachten gebruikt.

ASA#debug webvpn 255
INFO: debug webvpn enabled at level 255
ASA# 
ASA# webvpn_portal.c:ewaFormServe_webvpn_login[1570]
webvpn_portal.c:http_webvpn_kill_cookie[385]
webvpn_auth.c:webvpn_auth[286]
WebVPN: no cookie present!!
webvpn_portal.c:ewaFormSubmit_webvpn_login[1640]
webvpn_portal.c:http_webvpn_kill_cookie[385]
webvpn_auth.c:http_webvpn_pre_authentication[1782]

!--- Begin AAA
WebVPN: calling AAA with ewsContext (78986968) and nh (78960800)!
WebVPN: started user authentication...
webvpn_auth.c:webvpn_aaa_callback[3422]
WebVPN: AAA status = (ACCEPT)
webvpn_portal.c:ewaFormSubmit_webvpn_login[1640]
webvpn_auth.c:http_webvpn_post_authentication[1095]
WebVPN: user: (test) authenticated.

!--- End AAA
webvpn_auth.c:http_webvpn_auth_accept[2093]
webvpn_session.c:http_webvpn_create_session[159]
webvpn_session.c:http_webvpn_find_session[136]
WebVPN session created!
webvpn_session.c:http_webvpn_find_session[136]
webvpn_db.c:webvpn_get_server_db_first[161]
webvpn_db.c:webvpn_get_server_db_next[202]
traversing list: (webserver)
webvpn_portal.c:ewaFormServe_webvpn_cookie[1421]
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.

!--- Output supressed
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

• Als de vervolgkeuzelijst Groep niet op de WebVPN-inlogpagina staat, dient u er zeker van te zijn dat u stap 2 hebt voltooid onder Enable WebVPN on the Outside Interface en stap 5 onder Configure a Tunnel Group. Als deze stappen niet zijn voltooid en de vervolgkeuzelijst ontbreekt, valt de authenticatie onder de standaardgroep en zal dit waarschijnlijk mislukken.

• Hoewel u geen toegangsrechten kunt toekennen aan de gebruiker in ASDM of op de ASA, kunt u gebruikers beperken met Microsoft Windows-toegangsrechten op uw domeincontroller. Voeg de gewenste NT-groepstoestemmingen toe aan de webpagina waaraan de gebruiker verificatie uitvoert. Zodra de gebruiker zich met de permissies van de groep aanmeldt bij WebVPN, wordt toegang tot de opgegeven pagina's verleend of geweigerd. De ASA fungeert alleen als een proxy-authenticatie-host namens de domeincontroller en alle communicatie hier is NTLMv1.

• U kunt SSO niet configureren voor Sharepoint via WebVPN omdat de Sharepoint Server geen op formulieren gebaseerde verificatie ondersteunt. Hierdoor zijn de bladwijzers met post of de post plugin procedure hier niet van toepassing.

Gerelateerde informatie

• Adaptieve security applicaties van Cisco ASA 5500 Series
• Technische ondersteuning en documentatie – Cisco Systems