Configuration de groupes l'autorisation via ASDM

Slides:



Advertisements
Présentations similaires
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Advertisements

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Client VPN SSL avec ASDM
Catalyst 500E - Réinitialisation avec les Paramètres usine
Chapitre10 Prise en charge des utilisateurs distants
le Split Tunneling pour les clients VPN
Client léger VPN SSL avec ASDM
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - VPN - Configurer le client VPN SSL
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Configuration du PIX/ASA Authentification étendue
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Sécurité - Cisco ASA Outil de capture WebVPN
Commande ip nat service
- Configuration de l'authentification LDAP
Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
AAA - Présentation ccnp_cch ccnp_cch.
Sécurité - Cisco ASA Supervision du contenu
Configuration de Syslog
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration de base de AAA sur un Server d'accès
PIX/ASA - Configuration Serveur et Client DHCP
Sécurité - ASA - Configuration d'un serveur AAA LDAP
- Configuration de l'authentification RADIUS
Commande show standby ccnp_cch ccnp_cch.
Transfert de fichiers utilisant HTTP ou HTTPS
- Enrôlement pour des Certificats numériques
Sécurité 11/2010 (Packet Tracer) - Cfi_CCH.
Hot Standby Router Protocol standby preempt et standby track
Préparation de mise à jour
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Intégration de NAT avec les VPNs MPLS
- Comment changer le titre WebVPN
Proxy ARP ccnp_cch ccnp_cch.
Support de NAT pour IPSec ESP Phase II
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR2 Cfi_CCH.
QoS - Configuration RSVP
OSPF - Commande show ip ospf neighbor.
Sécurité - Configuration de
- Comment changer le Logo WebVPN
Sécurité - Configuration de -
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
trois réseaux internes
Sécurité - ASA - Configuration de Single Sign-On pour WebVPN
- Configuration ASA/PIX
Commande show ip dhcp database
- Restreindre l'accès réseau des utilisateurs VPN distants avec l'ASDM
IOS Firewall - Blocage d'applets Java
Configurer l'Autorisation
trois réseaux internes
QoS - Configuration Fragmentation
Windows Server 2012 Objectifs
Tapez les détails de votre événement ici
Transcription de la présentation:

Configuration de groupes l'autorisation via ASDM PIX ASA 7.x - Configuration de groupes de Serveurs pour l'authentification et l'autorisation via ASDM ccnp_cch

Sommaire  Introduction - Prérequis - Composants utilisés - Produits liés  Rappel  Configurer l'authentification et l'autorisation des utilisateurs VPN - Configurer les serveurs d'authentification et d'autorisation - Configurer un groupe Tunnel VPN pour l'authentification et l'autorisation  Résolution de problèmes ccnp_cch

Introduction Rappel Prérequis Composants utilisés Produits liés Ce document montre comment utiliser l'ASDM (Adaptive Security Device Manager) pour l'authentification et l'autorisation sur l'appliance de sécurité Cisco PIX 500. Dans cet exemple, les groupes de serveurs crées sont utilisés par la politique d'un groupe tunnel VPN pour authentifier et autoriser des utilisateurs entrants. Prérequis Ce document présume que le PIX est totalement opérationnel et configuré pour per- mettre à l'ASDM de faire des modifications de configuration. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes:  Cisco PIX Security Appliance Software Version 7.0(4)  Cisco ASDM Version 5.0(4) Produits liés Cette configuration peut être également utilisée avec l'ASA (Adaptive Security Appli- ance) version 7.x. Rappel Toutes les méthodes d(authentification et d'autorisation possibles disponibles dans le PIX, ASA 7.x ne sont pas supportées quand vous les utilisez avec des utilisateurs VPN. Ce tableau détaille quelles méthodes sont disponibles pour les utilisateurs VPN. Local RADIUS TACACS+ SDI NT Kerberos LDAP Authentification Oui Autorisation Non Note: Kerberos est utilisé pour l'authentification et LDAP est utilisé pour l'autorisation des utilisateurs VPN dans cet exemple. ccnp_cch

Configurer l'authentification et l'autorisation pour les utilisateurs VPN Configurer les serveurs d'authentification et d'autorisation Exécutez ces étapes pour configurer les groupes de serveurs d'authentification et d'autorisation pour les utilisateurs VPN via l'ASDM. 1. Choisissez Configuration > Properties > AAA Setup > AAA Server Groups puis cliquez sur Add. ccnp_cch

2. Définissez un nom pour le nouveau groupe de serveurs d'authentification et choi- sissez un protocole. L'option Accounting Mode est pour RADIUS et TACACS+ uniquement. Cliquez sur OK quand vous l'avez fait. 3. Répétez les étapes 1 et 2 pour créer un nouveau groupe de serveurs d'autorisation. ccnp_cch

4. Cliquez sur Apply pour transmettre les modifications à l'équipement. Si vous l'avez déjà configuré pour cela, l'équipement peut maintenant prévisualiser les commandes qui sont ajoutées à la configuration courante. ccnp_cch

5. Cliquez sur Send pour transmettre les modifications à l'équipement. Les groupes de serveurs nouvellement crées doivent être renseignés avec les serveurs d'authentification et d'autorisation. ccnp_cch

6. Choisissez Configuration > Properties > AAA Setup > AAA Servers puis cliquez sur Add. ccnp_cch

7. Configurez le serveur d'authentification 7. Configurez le serveur d'authentification. Cliquez sur OK quand cela est fait.  Server Group - Choisissez le groupe de serveurs configuré à l'étape 2.  Interface Name - Choisissez l'interface sur laquelle réside le serveur.  Server IP Address - Spécifie l'adresse IP du serveur d'authentification.  Timeout - Spécifie le temps maximum (secondes) d'attente d'une réponse du serveur.  Kerberos Parameters: ◊ Server Port - 88 est le port standard pour Kerberos. ◊ Retry Interval - Choisissez l'intervalle de retransmission. ◊ Kerberos Realm - Entrez le nom de votre realm Kerberos. Cela est fréquemment le nom de domaine Windows en lettres majuscules. ccnp_cch

8. Configurez le serveur d'autorisation 8. Configurez le serveur d'autorisation. Cliquez sur OK quand cela est fait.  Server Group - Choisissez le groupe de serveurs configuré à l'étape 3.  Interface Name - Choisissez l'interface sur laquelle réside le serveur.  Server IP Address - Spécifie l'adresse IP du serveur d'autorisation.  Timeout - Spécifie le temps maximum (secondes) d'attente d'une réponse du serveur.  LDAP Parameters: ◊ Server Port - 89 est le port LDAP par défaut. ◊ Base DN - Entrez l'emplacement dans la hiérarchie LDAP à partir duquel le serveur doit chercher lorsqu'il reçoit une requête d'autorisation. ◊ Scope - Choisissez l'extension à partir de laquelle le serveur doit chercher dans la hiérarchie lorsqu'il reçoit une requête d'autorisation. ccnp_cch

l'autorisation ccnp_cch ◊ Server Port - 89 est le port LDAP par défaut. ◊ Base DN - Entrez l'emplacement dans la hiérarchie LDAP à partir duquel le serveur doit chercher lorsqu'il reçoit une requête d'autorisation. ◊ Scope - Choisissez l'extension à partir de laquelle le serveur doit chercher dans la hiérarchie lorsqu'il reçoit une requête d'autorisation. ◊ Naming Attribute(s) - Entrez l'attribut(s) Relative Distinguished Name par lequel les entrées sur le serveur sont définies de manière unique. Les attributs communs de nommage sont Common Name (cn) et User ID (uid). ◊ Login DN - Certains serveurs LDAP, y compris le serveur Microsoft Active Directory, requièrent l'établissement d'un échange via un lien d'authentification avant qu'ils acceptent d'autres requêtes pour des opérations LDAP. Le champ Login DN définit les caractéristiques d'au- thentification de l'équipement qui doivent correspondre à celles d'un utilisateur avec des privilèges d'administration. Par exemple, cn=administrator. Pour un accès anonyme, laissez ce champ blanc. ◊ Login Password - Entrez le mot de passe pour Login DN. ◊ Confirm Login Password - Confirmez le mot de passe pour Login DN. 9. Cliquez sur Apply pour transmettre les modifications à l'équipement après que tous les serveurs d'authentification et d'autorisation aient été ajoutés. Si vous l'avez déjà configuré pour cela, l'équipement peut maintenant prévisualiser les commandes qui sont ajoutées à la configuration courante. 10. Cliquez sur Send pour transmettre les commandes à l'équipement. Configurer un groupe Tunnel VPN pour l'authentification et l'autorisation Exécutez ces étapes pour ajouter des groupes de serveurs que vous venez de configu- rer à un groupe tunnel VPN. 1. Choisissez Configuration > VPN > Tunnel Group puis cliquez sur Add pour créer un nouveau groupe tunnel ou sur Edit pour modifier un group existant. ccnp_cch

2. Dans l'onglet General da la fenêtre qui est affichée, sélectionnez les groupes de serveurs configurés plus tôt. ccnp_cch

3. Optionnel: Configurez les autres paramètres avec les autres onglets si vous ajoutez un nouveau groupe tunnel. 4. Cliquez sur OK quand cela est fait. 5. Cliquez sur Apply pour transmettre les modifications à l'équipement une fois que la configuration du groupe tunnel est faite. Si vous l'avez déjà configuré pour cela, l'équipement peut maintenant prévisualiser les commandes qui sont ajoutées à la configuration courante. 6. Cliquez sur Send pour transmettre les commandes à l'équipement. ccnp_cch

Résolution de problèmes Une cause fréquente d'échec d'authentification est le décalage d'horloge. Assurez-vous que les horloges sur le PIX ou l'ASA et celle du serveur d'authentification et d'autorisa- sion sont synchronisées. ccnp_cch