Настройка сценария использования сертификатов и второго фактора с помощью NPS RADIUS при подключении в VPN Cisco Anyconnect
Автор Vladislav Fomichev, Last modified by Vladislav Fomichev на 22 октября 2020 05:26 PM

Предварительные требования:

  • Домен с установленным и настроенным УЦ типа Standalone, т.к потребуется выдавать сертификат по запросу с ASA, версия Enterprise не может выдавать сертификат без существующего шаблона. 
  • Установленный и настроенный Cisco ASA.
  • Развернутая и настроенная система Indeed AM с компонентом Indeed AM NPS Radius.
  • Токен с установленным валидным сертификатом.

Запрос и установка сертификатов  

Корневой сертификат

  1. Для аутентификации с использованием сертификатов потребуется экспортировать корневой сертификат домена на ASA. Откройте менеджер управления УЦ. Нажмите правой кнопкой мыши по УЦ и выберете “Properties”.
  2. На вкладке “General” нажмите “View Certificate”. 
  3. В окне “Certificate” выберете вкладку “Details” и нажмите “Copy to File...”.
  4. Выберете формат “Base-64” и сохраните в файл.
  5. Откройте ASDM и выберите  "Configuration"→"Device Management"→"Certificate Management"→"CA Certificates"→"Add". 
  6. Выберете “Install from a file”, нажмите “Browse” и выберете корневой сертификат УЦ.

Сертификат для ASA

  1. Откройте ASDM и выберите  "Configuration"→"Device Management"→"Certificate Management"→"Identity Certificates"→"Add"
  2. Выберете “Add a new identity certificate” и нажмите “Add Certificate”.
  3. Укажите путь для сохранения файла запроса и нажмите “ОК”.
  4. Откройте менеджер управления УЦ. Нажмите правой кнопкой мыши по УЦ -> All Tasks -> Submit new request...
  5. Выберете файл запроса сертификата для ASA.
  6. Перейдите в раздел "Pending requests", нажмите правой кнопкой мыши по заявке и выберете  "All Tasks"→"Issue".
  7. Перейдите в раздел "Issued Certificates"и выберете выданный сертификат для ASA.
  8. В окне “Certificate” выберете вкладку “Details” и нажмите “Copy to File...”.
  9. Выберете формат “Base-64” и сохраните в файл.
  10. Откройте ASDM "Configuration"→"Device Management"→"Certificate Management"→"Identity Certificates", выберите созданный запрос и нажмите "Install". 
  11. Выберете файл сертификата и нажмите “Install Certificate”.
  12. Нажмите “Apply”, чтобы сохранить изменения.

Настройка Cisco ASA

  1. Откройте ASDM "Configuration"→"Remote access VPN"→"AAA/Local Users"→"AAA Server Groups" и нажмите “Add”.
  2. В окне “Add AAA Server Group” укажите:
    1. AAA Server Group - Произвольное название для группы.
    2. Protocol - Radius
    3. Нажмите “OK”.
  3. Для созданной группы в блоке “Servers in the Selected Group” нажмите “Add”.
  4. Укажите данные для подключения к серверу с ролью NPS. 
  5. Откройте ASDM "Configuration"→"Remote access VPN"→"Network client Access"→"AnyConnect Connection Profiles"
  6. Установите параметр "Enable Cisco AnyConnect VPN Client access on the interfaces selected in the table below" (После включения потребуется добавить пакеты с AnyConnect формата *.pkg ). Также необходимо разрешить подключение через входной интерфейс.
  7. Для профиля “DefaultWEBVPNGroup” установите опцию SSL Enabled и нажмите “Edit”.
  8. В поле “Method” выберете “AAA and certificate”.
  9. В поле “AAA Server Group” выберете созданную ранее группу для Radius.
  10. В поле “DNS Servers“ укажите Ip адрес DNS сервера и нажмите “OK”. 
  11. Нажмите “Apply” чтобы применить изменения.



Настройка NPS сервера 

В данной инструкции подразумевается, что в инфраструктуре есть NPS сервер с установленным и настроенным компонентом Indeed AM NPS Radius. 

Для аутентификации должны использоваться и указываться провайдеры поддерживающиеся в сценарии с 1FA.

  1. Откройте оснастку NPS и выберете “Connection Request Policies”.
  2. Откройте основную используемую политику.
  3. Откройте вкладку “Settings”, выберете “Authentication” и установите параметр “Accept users without validating credentials”. Внимание! У всех пользователей должны быть обучены аутентификаторы. В данном сценарии отключена проверка кредов на стороне Radius и осуществляется проверка только OTP пользователя на Indeed AM Server
  4. Сохраните настройки и перезапустите службу NPS.



Пример аутентификации

  1. Подключаемся через AnyConnect.
  2. Указываем пин код используемого токена.
  3. Указываем имя пользователя и OTP

(0 голос(а))
Эта статья полезна
Эта статья бесполезна

Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: