cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel

Configuração de usuários de VPN com autenticação RADIUS no ACS 5.x

Configuração de usuários de VPN com autenticação RADIUS no  ACS 5.x

 

O  seguinte documento mostra um exemplo  de configuração para  autenticação de clientes de VPN com ACS 5.x através do protocolo RADIUS.


Requisitos

O ASA deve ser adicionado como um cliente AAA no ACS, utlizando a chave correta. Você deve verificar a conectividade entre o ASA e ACS.
 

Componentes usados

ASA 8.2
ACS protocolo RADIUS 5.2

 

Configuração do ASA

Configuração da interface

hostname(config)# interface ethernet0
hostname(config-if)# ip address 192.168.1.5 255.255.0.0
hostname(config-if)# nameif outside
hostname(config)# no shutdown
hostname(config)# interface ethernet1
hostname(config-if)# ip address 192.168.1.4 255.255.0.0
hostname(config-if)# nameif inside
hostname(config)# no shutdown

 

Configuração da política de ISAKMP

hostname(config)# isakmp policy 1 authentication pre-share
hostname(config)# isakmp policy 1 encryption 3des
hostname(config)# isakmp policy 1 hash sha 
hostname(config)# isakmp policy 1 group 2
hostname(config)# isakmp policy 1 lifetime 43200
hostname(config)# isakmp enable outside

 

Configuração do pool de endereços IP.

hostname(config)# ip local pool testpool 192.168.0.10-192.168.0.15

 

Adicionar o usuário

hostname(config)# username testuser password 12345678

 

Configuração do Transform Set

hostname(config)# crypto ipsec transform-set FirstSet esp-3des esp-md5-hmac

 

Configuração do túnel

hostname(config)# tunnel-group testgroup type ipsec-ra
hostname(config)# tunnel-group testgroup general-attributes
hostname(config-general)# address-pool testpool
hostname(config)# tunnel-group testgroup ipsec-attributes
hostname(config-ipsec)# pre-shared-key 44kkaol59636jnfx

 

Configuração do crypto dinámico

hostname(config)# crypto dynamic-map dyn1 1 set transform-set FirstSet
hostname(config)# crypto dynamic-map dyn1 1 set reverse-route

 

Configuração do crypto estático e aplicar na interface

hostname(config)# crypto map mymap 1 ipsec-isakmp dynamic dyn1
hostname(config)# crypto map mymap interface outside

 

Configuração do RADIUS no ASA

ciscoasa(config)# aaa-server RADIUS protocol RADIUS
ciscoasa(config-aaa-server-group)# exit
ciscoasa(config)# aaa-server RADIUS (inside) host 192.168.1.2
ciscoasa(config-aaa-server-host)# key CISCO123
ciscoasa(config-aaa-server-host)# exit

 

Adicionar o RADIUS no túnel

ciscoasa(config)#tunnel-group testgroup general-attributes
ciscoasa(config-tunnel-general)#authentication-server-group RADIUS

 

Adicionar o ASA como cliente de AAA

Configurar o endereço e a chave

vpn2.jpg

 

Criar a regra dentro da política de Network Default Access

 

1. Selecionar o "Identity Store" para autenticação interna o externa.

2. Configuração da política de autorização (permitir o negar).

 

Access policy.jpg

internal users.jpg

rule for permit access.jpg

authorization.jpg

 

Verificação

 

O comando  "test aaa" ajuda para verificar a autenticação.

 

ciscoasa#test aaa-server authentication RADIUS host 192.168.1.2
   username cisco password cisco123INFO: Attempting Authentication test to IP address <192.168.1.2>
   (timeout: 12 seconds)
INFO: Authentication Successful

 

Solução de problemas

 

Ativar os seguintes debugs se tem problemas

  • #Debug Radius
  • #Debug aaa common 255

 

Documento original de Minkumar

https://supportforums.cisco.com/document/139141/remote-access-vpn-authentication-acs-5x-using-radius-protocol

 

Documento traduzido por Itzcoatl

 

 

 

182
Apresentações
0
Útil
0
Comentários