Configuration de groupes l'autorisation via ASDM PIX ASA 7.x - Configuration de groupes de Serveurs pour l'authentification et l'autorisation via ASDM ccnp_cch
Sommaire Introduction - Prérequis - Composants utilisés - Produits liés Rappel Configurer l'authentification et l'autorisation des utilisateurs VPN - Configurer les serveurs d'authentification et d'autorisation - Configurer un groupe Tunnel VPN pour l'authentification et l'autorisation Résolution de problèmes ccnp_cch
Introduction Rappel Prérequis Composants utilisés Produits liés Ce document montre comment utiliser l'ASDM (Adaptive Security Device Manager) pour l'authentification et l'autorisation sur l'appliance de sécurité Cisco PIX 500. Dans cet exemple, les groupes de serveurs crées sont utilisés par la politique d'un groupe tunnel VPN pour authentifier et autoriser des utilisateurs entrants. Prérequis Ce document présume que le PIX est totalement opérationnel et configuré pour per- mettre à l'ASDM de faire des modifications de configuration. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: Cisco PIX Security Appliance Software Version 7.0(4) Cisco ASDM Version 5.0(4) Produits liés Cette configuration peut être également utilisée avec l'ASA (Adaptive Security Appli- ance) version 7.x. Rappel Toutes les méthodes d(authentification et d'autorisation possibles disponibles dans le PIX, ASA 7.x ne sont pas supportées quand vous les utilisez avec des utilisateurs VPN. Ce tableau détaille quelles méthodes sont disponibles pour les utilisateurs VPN. Local RADIUS TACACS+ SDI NT Kerberos LDAP Authentification Oui Autorisation Non Note: Kerberos est utilisé pour l'authentification et LDAP est utilisé pour l'autorisation des utilisateurs VPN dans cet exemple. ccnp_cch
Configurer l'authentification et l'autorisation pour les utilisateurs VPN Configurer les serveurs d'authentification et d'autorisation Exécutez ces étapes pour configurer les groupes de serveurs d'authentification et d'autorisation pour les utilisateurs VPN via l'ASDM. 1. Choisissez Configuration > Properties > AAA Setup > AAA Server Groups puis cliquez sur Add. ccnp_cch
2. Définissez un nom pour le nouveau groupe de serveurs d'authentification et choi- sissez un protocole. L'option Accounting Mode est pour RADIUS et TACACS+ uniquement. Cliquez sur OK quand vous l'avez fait. 3. Répétez les étapes 1 et 2 pour créer un nouveau groupe de serveurs d'autorisation. ccnp_cch
4. Cliquez sur Apply pour transmettre les modifications à l'équipement. Si vous l'avez déjà configuré pour cela, l'équipement peut maintenant prévisualiser les commandes qui sont ajoutées à la configuration courante. ccnp_cch
5. Cliquez sur Send pour transmettre les modifications à l'équipement. Les groupes de serveurs nouvellement crées doivent être renseignés avec les serveurs d'authentification et d'autorisation. ccnp_cch
6. Choisissez Configuration > Properties > AAA Setup > AAA Servers puis cliquez sur Add. ccnp_cch
7. Configurez le serveur d'authentification 7. Configurez le serveur d'authentification. Cliquez sur OK quand cela est fait. Server Group - Choisissez le groupe de serveurs configuré à l'étape 2. Interface Name - Choisissez l'interface sur laquelle réside le serveur. Server IP Address - Spécifie l'adresse IP du serveur d'authentification. Timeout - Spécifie le temps maximum (secondes) d'attente d'une réponse du serveur. Kerberos Parameters: ◊ Server Port - 88 est le port standard pour Kerberos. ◊ Retry Interval - Choisissez l'intervalle de retransmission. ◊ Kerberos Realm - Entrez le nom de votre realm Kerberos. Cela est fréquemment le nom de domaine Windows en lettres majuscules. ccnp_cch
8. Configurez le serveur d'autorisation 8. Configurez le serveur d'autorisation. Cliquez sur OK quand cela est fait. Server Group - Choisissez le groupe de serveurs configuré à l'étape 3. Interface Name - Choisissez l'interface sur laquelle réside le serveur. Server IP Address - Spécifie l'adresse IP du serveur d'autorisation. Timeout - Spécifie le temps maximum (secondes) d'attente d'une réponse du serveur. LDAP Parameters: ◊ Server Port - 89 est le port LDAP par défaut. ◊ Base DN - Entrez l'emplacement dans la hiérarchie LDAP à partir duquel le serveur doit chercher lorsqu'il reçoit une requête d'autorisation. ◊ Scope - Choisissez l'extension à partir de laquelle le serveur doit chercher dans la hiérarchie lorsqu'il reçoit une requête d'autorisation. ccnp_cch
l'autorisation ccnp_cch ◊ Server Port - 89 est le port LDAP par défaut. ◊ Base DN - Entrez l'emplacement dans la hiérarchie LDAP à partir duquel le serveur doit chercher lorsqu'il reçoit une requête d'autorisation. ◊ Scope - Choisissez l'extension à partir de laquelle le serveur doit chercher dans la hiérarchie lorsqu'il reçoit une requête d'autorisation. ◊ Naming Attribute(s) - Entrez l'attribut(s) Relative Distinguished Name par lequel les entrées sur le serveur sont définies de manière unique. Les attributs communs de nommage sont Common Name (cn) et User ID (uid). ◊ Login DN - Certains serveurs LDAP, y compris le serveur Microsoft Active Directory, requièrent l'établissement d'un échange via un lien d'authentification avant qu'ils acceptent d'autres requêtes pour des opérations LDAP. Le champ Login DN définit les caractéristiques d'au- thentification de l'équipement qui doivent correspondre à celles d'un utilisateur avec des privilèges d'administration. Par exemple, cn=administrator. Pour un accès anonyme, laissez ce champ blanc. ◊ Login Password - Entrez le mot de passe pour Login DN. ◊ Confirm Login Password - Confirmez le mot de passe pour Login DN. 9. Cliquez sur Apply pour transmettre les modifications à l'équipement après que tous les serveurs d'authentification et d'autorisation aient été ajoutés. Si vous l'avez déjà configuré pour cela, l'équipement peut maintenant prévisualiser les commandes qui sont ajoutées à la configuration courante. 10. Cliquez sur Send pour transmettre les commandes à l'équipement. Configurer un groupe Tunnel VPN pour l'authentification et l'autorisation Exécutez ces étapes pour ajouter des groupes de serveurs que vous venez de configu- rer à un groupe tunnel VPN. 1. Choisissez Configuration > VPN > Tunnel Group puis cliquez sur Add pour créer un nouveau groupe tunnel ou sur Edit pour modifier un group existant. ccnp_cch
2. Dans l'onglet General da la fenêtre qui est affichée, sélectionnez les groupes de serveurs configurés plus tôt. ccnp_cch
3. Optionnel: Configurez les autres paramètres avec les autres onglets si vous ajoutez un nouveau groupe tunnel. 4. Cliquez sur OK quand cela est fait. 5. Cliquez sur Apply pour transmettre les modifications à l'équipement une fois que la configuration du groupe tunnel est faite. Si vous l'avez déjà configuré pour cela, l'équipement peut maintenant prévisualiser les commandes qui sont ajoutées à la configuration courante. 6. Cliquez sur Send pour transmettre les commandes à l'équipement. ccnp_cch
Résolution de problèmes Une cause fréquente d'échec d'authentification est le décalage d'horloge. Assurez-vous que les horloges sur le PIX ou l'ASA et celle du serveur d'authentification et d'autorisa- sion sont synchronisées. ccnp_cch