ASA AnyConnect: RADIUS-аутентификация + Microsoft NPS + Downloadable ACLs (Cisco-AV-Pair)

Больше
4 года 8 мес. назад - 4 года 8 мес. назад #183 от PNV
COM_KUNENA_MESSAGE_CREATED_NEW
Это вложение скрыто для гостей.
Пожалуйста, зарегистрируйтесь или войдите, чтобы увидеть его.

В этой статье будет рассмотрена конфигурация Cisco ASA AnyConnect, в частности, настройка доменной (AD) аутентификации пользователя через RADIUS. А также настройка RADIUS-сервера для автоматического скачивания списков доступа (Downloadable ACL) на Cisco ASA, в зависимости от доменной группы в которую включен пользователь. В качестве RADIUS-сервера используется Microsoft Network Policy Server (NPS).
Также можно прочитать о настройке ASA AnyConnect в статьях: ASA AnyConnect: LDAP/RADIUS и ASA AnyConnect VPN & ISP load balance


Начнем с настройки сервера RADIUS на основе Microsoft NPS. В качестве серверной ОС используется Microsoft Windows Server 2012:

1.Установим роль NPS на сервере:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

2. Зарегистрируем RADIUS-сервер NPS в Active Directory, для связи с доменом:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

3. Перейдем во вкладку "RADIUS-клиенты и серверы". Добавим наше устройство Cisco ASA, как клиента с именем ASA:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

4. Далее переходим во вкладку "Политики" и создаем политику запросов на подключение:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

далее добавляем условие "Понятное имя клиента", в котором указываем имя ASA, которое мы присвоили в п.3 RADIUS-клиенту:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

5. Теперь создаем сетевую политику VPN-Admins (без ограничений доступа во внутреннюю сеть)
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

и добавляем в данную политику условие по группе пользователей, которое включает доменную группу "Gr-VPN-Admins"
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

таким образом, пользователи входящие в группу Gr-VPN-Admins будут иметь полный доступ к сети предприятия;

Далее в настройках проверки подлинности добавляем пункт "Проверка открытым текстом (PAP, SPAP)", которая используется в Cisco ASA для связи с RADIUS-сервером:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


Также есть возможность добавить условие ограничения доступа по времени:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


6. Далее создадим политику VPN-Users для подключения доменной группы пользователей Gr-VPN-Users, всё тоже самое что и в п.5, только меняем в условии группу на Gr-VPN-Users. Дополнительно в созданной политике добавим параметр Cisco "Зависящий от поставщика" и в данном параметре добавим атрибут Cisco-AV-Pair. В атрибуте пропишем значения соответствующие необходимому списку доступа (downloadable access-list) в формате ip:inacl#5=permit tcp any host 10.10.10.10 eq 80 (для примера), где 5 - номер строчки списка доступа. В конце добавляем например ip:inacl#1000=deny ip any any
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

Созданную политику VPN-Users двигаем на более высокую строчку чем политика VPN-Admins, чтобы сначала проверялась политика с более ограниченными правами доступа;

7. RADIUS-сервер настроен. Можно просматривать события на данном сервере:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]



Теперь настроим Cisco ASA:

1. Настроим группу RADIUS-серверов (основной и бэкапный):
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

2. Теперь настроим Webvpn и туннельные политики и группы, а также DHCP-пул для удалённых подключений:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]
Last edit: 4 года 8 мес. назад by PNV.
Спасибо сказали: wireshark

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
4 года 6 мес. назад - 4 года 6 мес. назад #184 от TOLLIFi
COM_KUNENA_MESSAGE_REPLIED_NEW
В дополнение к теме:

Подключение Cisco AnyConnect не будет работать в Windows, если запущена служба ICS (служба общего доступа к подключению Интернет), на этапе соединения будут возникать разного рода ошибки в VPN клиенте.

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Last edit: 4 года 6 мес. назад by TOLLIFi.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 10 мес. назад #200 от wireshark
COM_KUNENA_MESSAGE_REPLIED_NEW
Спасибо, помогли настроить.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум