Задача:
Аутентифицировать Remote IPSec VPN пользователей, терминирующихся на ASA, в домене Windows.
Решение:
Используем для этого Radius. В качестве Radius сервера настроим Microsoft Network Policy Server.
1. ASA получает запрос на установление туннеля от клиента.
2. ASA отсылает запрос на аутентификацию/авторизацию к Radius серверу, чьи функции выполняет NPS.
3. NPS делает запрос в AD.
4. AD отвечает NPS.
5. NPS посылает ответ ASA по Radius протоколу.
6. Устанавливается (или не устанавливается) IPSec туннель.
1. Настройка Cisco ASA.
1) Запустить ASDM, выбрать вкладку
Configuration.
2) Выбрать секцию
Remote Access VPN
3) Выбрать в меню AAA Setup -> AAA Server Groups
4) Выбрать
Add рядом с секцией
AAA Server Groups
5) Выбрать имя группе, например NSP-RADIUS
и не забыть указать протокол RADIUS
6) Оставить все остальные настройки по умолчанию и нажать
OK.
7) Выбрать только что созданную
Server Group.
8) Ниже в секции
Servers in the Selected Group нажать
Add
9) В поле
Interface Name вырать интерфейс, через который ASA будет отсылать запросы на Radius Server.
10) В поле
Server Name or IP Address ввести IP адрес нашего Radius сервера.
11) Придумать (и запомнить) пароль и ввести его в поле
Server Secret Key. Его же вводим в поле
Common Password.
12) Остальное по дефолту и нажать OK.
2. Настройка Microsoft Windows Network Policy Server
Установить Windows Server 2008, который будет нашим Radius сервером.
Добавить функцию Network Policy Server на установленный сервер.
1) На Windows Server 2008 запустить Server Manager.
2) Выбрать
Roles и нажать правую клавишу мыши и выбрать
Add Roles.
3) На странице
Before You Begin нажать
Next.
4) Выбрать роль
Network Policy and Access Services role и нажать
Next.
5) Среди
Role Service выбрать только
Network Policy Server service и нажать
Next.
6) Нажать
Install.
По окончании инсталляции регистрируем сервер. Для выполнения этой процедуры нужны права администратора домена.
7) Выбираем
Roles -> Network Policy ans Access Services -> NPS(Local) и нажимаем правую клавишу.
8) В меню выбираем
Register Server in Active Directory.
9) Выбираем все по дефолту.
Создаем клиентскую запись для ASA.
10) Выбираем
NPS(Local) -> RADIUS Clients and Servers -> Radius Clients.
11) По правой клавише выбираем
New.
12) Придумываем
Friendly Name для нашей ASA. Например, “ASA” :)
13) Вводим
Address(IP or DNS).
14) Вводим
Server Secret Key, который мы указывали в шаге 11 при настройке ASA.
15) Остальное оставляем по дефолту.
Создаем Connection Request Policy.
16) Выбираем
NPS(Local) -> Policies -> Connection Request Policies.
17) В правой половине окна выбираем политику по умолчанию, щелкаем правой клавишей и выбираем
Disable.
18) Встаем обратно на
NPS(Local) -> Policies -> Connection Request Policies и правой клавишей выбираем
New.
19) Выбираем осмысленное имя политики, например ASA.
20) Оставляем в поле
Type of Access значение
Unspecified, кликаем
Next.
21) На странице
Conditions щелкаем
Add. Выбираем и указываем
Client IPv4 Address.
22) Щелкаем
Next, на остальных страницах оставляем настройки по умолчанию.
Создаем Network Policy.
23) По правыму щелчку мыши на
Network Policy выбрать
New.
24) Дать осмысленный
Policy Name. Оставить в поле
Type of network access server значение
Unspecified и нажать
Next.
25) Требуется определить хотя бы 1 условие в
Conditions. Нжимаем
Add.
26) Добавим
UsersGroup, чтобы обозначить, что данная политика применяется для соответствуюшей группы в AD. Можно добавить
Client IPv4 Address или любые другие условия. Нажать
Next.
27) В секции
Access Permission оставим
Access granted (в принципе этот параметр утрачивает влияние, если в шаге 30) мы определим атрибут
Class. Но если хотим по-простому можно контролировать доступ этой кнопкой). Жмем
Next.
28) В качестве
Authentication methods выбираем только
Unencrypted authentication (PAP, SPAP). жмем
Next.
29) Для доступа по VPN выбираем
NAS Port Type = Virtual(VPN). жмем
Next.
30) В
Settings -> RADIUS Attributes -> Standard выбираем
Service-Type = Framed,
Framed-Protocol = PPP. По желанию, можно добавить
Class с названием политики на ASA, которую надо применять к данному подключению. Жмем
Next.
31) Жмем
Finish.
Перестартуем Network Policy Server service.
Проверяем RADIUS аутентификацию.
1) В ASDM выбираем
Configuration -> Remote Access VPN -> AAA Setup -> AAA Server Groups
2) Выбираем только что созданную группу.
3) Внизу выбираем сервер и нажимаем справа кнопку
Test.
4) Выбираем
Authentication, вводим логин, пароль и убеждаемся, что все работает.
Ссылки:
