VPN через Cisco AnyConnect средствами LDAP без 2FA и средствами RADIUS с 2FA
Автор Maksim Efanov, Last modified by Mariya Vorozhba на 23 февраля 2024 03:44 AM

Подготовка:

  1. Создать сервисную учетную запись на контроллере домена для cisco, под которой cisco ASA будет подключаться к домену.
  2. Сервер с ролью  "Сервер политики сети" (Network Policy Server) и  установленное расширение Indeed AM NPS RADIUS Extension; Инструкция
  3. Также для работы потребуются установленные и настроенные продукты Indeed-Id:
    • Indeed AM Log Server; Инструкция
    • Indeed AM Server; Инструкция
    • Indeed AM Admin Console; Инструкция
    • необходимые провайдеры для используемых средств аутентификации;
    • первоначально настроенная Cisco ASA (сконфигурированы интерфейсы, предоставлен доступ ASDM). Инструкция

Настройка Cisco (ASA)

Настройка LDAP аутентификации на CiscoASA

Этот раздел показывает порядок настройки Cisco (ASA) для использования сервера LDAP при аутентификации клиентов. Сервер LDAP в этом примере - Microsoft Active Directory. Настройка выполняется в ASDM.

  1. Заходим в Cisco ASDM -> Configuration -> Remote Access VPN -> Network (Client) Access -> AnyConnect Connection Profiles
  2. Connection Profiles -> +Add

  3. Вводим Name: например LDAP
  4. Authentication -> Manage
  5. AAA Server Groups -> Add

  6. AAA Server Group - название
  7. Protocol: LDAP
  8. OK
  9. Выделяем созданную группу
  10. Servers in the Selected Group -> Add
  11. Interface Name: указываем наш интерфейс, через который будем подключаться к AD
  12. Server Name or IP Address: dns имя или ip адрес сервера с DC, например dc1.firma.local или 192.168.10.10
  13. Для защищенного подключения ставим галку Enable LDAP over SSL
  14. Server Type: Microsoft
  15. Base DN: имя вашего домена. Например, синтаксис для домена firma.local такой: DC=firma,DC=local
  16. Scope: All levels
  17. Naming Attribute: sAMAccountName
  18. Login DN: учетная запись в AD, для cisco. Например, учетка cisco в группе Users в домене firma.local:  CN=cisco,CN=Users,DC=firma,DC=local
  19. Login Password: пароль учетной записи
  20. OK
  21. OK
  22. Client Address Pools: Select...
  23. Add


  24. Name: наименование пула адресов, выдаваемых при подключении
  25. Starting IP Address: начальный адрес, например 192.168.10.100
  26. Ending IP Address: конечный адрес, например 192.168.10.200
  27. Subnet Mask: маска сети, например 255.255.255.0
  28. ОК

  29. Default Group Policy  -> Manage

  30. Group Policy: выбираем применяемую политику (можно оставить DfltGrpPolicy или создать новую)


  31. DNS Servers: DNS сервер, например 192.168.10.10
  32. Domain Name: Имя домена, например firma.local
  33. OK
  34. Apply

Настройка Radius аутентификации на Cisco ASA

Этот раздел показывает порядок настройки Cisco (ASA) для использования сервера Radius при аутентификации клиентов. Сервер Radius в этом примере - сервер с установленной ролью Microsoft Network Policy Server (NPS), входит в состав Windows Server. Настройка выполняется через ASDM.

  1. Заходим в cisco ASDM -> Configuration -> Remote Access VPN -> Network (Client) Access -> AnyConnect Connection Profiles
  2. Connection Profiles -> +Add
  3. Вводим Name:
  4. Authentication -> Manage
  5. AAA Server Groups -> Add

  6. AAA Server Group - название группы
  7. Protocol: RADIUS
  8. OK
  9. Выделяем созданную группу
  10. Servers in the Selected Group -> Add
  11. Interface Name: указываем наш интерфейс, через который будем подключаться к AD
  12. Server Name or IP Address: dns имя или ip адрес сервера с AD, например radius.firma.local или 192.168.10.11
  13. Timeout: можем увеличить таймаут в секундах, например до 60 сек
  14. Server Authentication Port: меняем на 1812
  15. Server Accounting Port: меняем на 1813
  16. Server Secret Key: секрет для соединения с радиусом. Для защиты сообщений клиент и сервер RADIUS обладают «общим секретом» или, проще говоря, ключом. Данный секрет должен совпадать на клиенте (Cisco ASA) и сервере (с ролью NPS).
  17. Common Password: повтор секрета
  18. ОК
  19. ОК
  20. Client Address Pools: Select...
  21. Выбрать существующий пул адресов или создать новый
  22. ОК
  23. Group Policy: выбираем применяемую политику (можно оставить DfltGrpPolicy или создать новую)
  24. OK

  25. Apply

Настройка запроса 2FA в Cisco ASA 

Если требуется добавить окно запроса второго фактора при вводе логина и пароля в Cisco Any Connect, потребуется включить Secondary Authentication.  

  1. Заходим в cisco ASDM -> Configuration
  2. Remote Access VPN
  3. Network (Client) Access -> AnyConnect Connection Profiles
  4. Выбираем профиль LDAP
  5. Edit

     

  1. Secondary Authentication
  2. Включаем "Use primary username"
  3. Manage

     

  1. Выбираем наш Radius сервер

    

    OK

    OK

    Apply

Настройка сервера с ролью NPS

Для того, чтобы пользователи могли подключаться через Radius сервер, его необходимо настроить. Добавить RADIUS клиента, политики сети, групповые политики.

Добавление RADIUS клиента

  1. Запускаем оснастку "Сервер политики сети"
  2. RADIUS-клиенты и серверы -> правой кнопкой мыши по "RADIUS-клиенты" -> Новый документ

  3. Отмечаем "Включить этот RADIUS-клиент"
  4. Задаем понятное имя: например ciscoasa
  5. Адрес IP или DNS: например 192.168.10.12 или cisco.firma.local
  6. Отмечаем "Вручную"
  7. Общий секрет: Вводим общий секрет. Данный секрет должен совпадать на клиенте (Cisco ASA) и сервере (с ролью NPS).
  8. Подтверждение общего секрета: Вводим секрет повторно

  9. ОК

Добавление политики сети

  1. Политики -> правой кнопкой мыши по "Сетевые политики" -> Новый документ

  2. Задаем имя политики: например vpn

  3. Нажимаем "Далее"
  4. Нажимаем "Добавить"
  5. Выбираем условие, например "Группы пользователей"

  6. Нажимаем "Добавить"
  7. Добавить группы, добавляем нужную группу


  8. OK
  9. Далее
  10. Доступ разрешен

  11. Далее

  12. Указываем методы проверки подлинности

  13. Далее
  14. Настраиваем ограничения, если требуется
  15. Далее
  16. Настройка параметров, если требуется

  17. Далее
  18. Проверяем условия, параметры, нажимаем "Готово"


Настройка политики запросов на подключение

Для работы сценария, в котором доменный пароль проверяется на уровне Cisco (профиль LDAP),  а второй фактор проверяется на Radius сервере, требуется настроить политику запросов на подключение.

  1. Политики -> правой кнопкой мыши по "Политики запросов на подключение" -> Новый документ
  2. Указываем имя политики
  3. Указываем условия

        

        

  1. В параметрах выбираем "Проверка подлинности"
  2. Принимать пользователей без проверки учетных данных

        

Настройка 2FA и провайдера

Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed AM. Файлы шаблонов политик входят в состав дистрибутива и расположены в каталоге Misc.

Для работы 2FA требуется указать группу и провайдера аутентификации в политике "Настройка способов входа для групп пользователей".

Включив эту политику, мы сообщаем Indeed Radius Extension: если пользователь в указанной группе, проверь у него указанный провайдер.

  1. Открываем редактор групповой политики
  2. Конфигурация компьютера -> Административные шаблоны -> Indeed ID  -> RADIUS -> Настройка способов входа для групп пользователей
  3. Включено
  4. Показать
  5. Имя значения - указываем значение атрибута "distinguishedName" требуемой группы пользователей с контроллера домена. Например атрибут группы Radius2FA из контейнера Users, в домене firma.local выглядит так: CN=Radius2FA,CN=Users,DC=firma,DC=local

  6. Значение - например, {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}

  7. Параметр "Значение" может иметь разные ID провайдеров:
    {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP
    {3F2C1156-B5AF-4643-BFCB-9816012F3F34} - StorageSms OTP
    {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP
    {B772829C-4076-482B-B9BD-53B55EA1A302} - Software OTP
    {631F1011-2DEE-47C5-95D8-75B9CAED7DC7} - HOTP Provider
    {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} - HTOTP Provider
    {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} - AirKey Provider
    {CA4645CC-5896-485E-A6CA-011FCC20DF1D} - Telegram OTP

  8. ОК
  9. ОК
  10. Перезапускаем службу NPS
  11. Подробнее о настройке сервера с ролью NPS, можно ознакомиться в инструкции

Настройка политики "Общая настройка способа входа"

 Включив эту политику, Indeed Radius Extension будет проверять указанный в политике провайдер у всех пользователей, а пускать только тех, кто находится в области действия Indeed. 

  1. Конфигурация компьютера -> Административные шаблоны -> Indeed ID  -> RADIUS -> Общая настройка способов входа
  2. Включено
  3. Указываем способ входа

       

Настройка Indeed AM Console

Для пользователей с 2FA требуется, чтобы пользователь попадал в политику (для выдачи лицензии)

  1. Для этого заходим в Indeed AM Console (https://DNS_ИМЯ_СЕРВЕРА_с_установленным_приложением_Indeed_AM_Console/am/mc/), например https://am.firma.local/am/mc/
  2. Политики -> + Создать политику

  3. Приоритет - можем оставить или, если требуется, изменить.
  4. Имя - Задаем имя политики, например Radius2FA.
  5. Описание - Добавляем описание политики, если требуется.
  6. Создать

  7. Приложения -> +Добавить приложение

  8. Добавляем из списка NPS RADIUS Extension

  9. Добавить

  10. Область действия -> +Добавить

  11. Имя - Имя группы на контроллере домена, например Radius2FA
  12. Тип объекта - Группа
  13. Поиск

  14. Ставим галочку на выбранной группе -> +Добавить

  15. Более подробно о создании и редактировании политик можно ознакомиться в инструкции

Варианты фильтров подключения

В данном разделе рассмотрены возможности фильтрации пользователей по доменной группе, по группе подключения и полный запрет доступа.

Фильтрация по доменной группе пользователя

Для ограничения доступа всем пользователям домена, кроме определенной группы, можем использовать фильтрацию по доменной группе пользователя.

  1. Dynamic Aссess Policies -> Add
  2. Policy Name: Имя политики
  3. Add
  4. AAA Attribute Type: LDAP
  5. Attribute ID: memberOf
  6. Value: ставим условие, Get AD Groups выбор группы, которой доступ разрешаем.
  7. OK
  8. Action -> Action: действие
  9. ОК
  10. Apply

Фильтрация по группе подключения (LDAP или RADIUS)

Иногда нужно ограничить пользователей по типу аутентификации, например, разрешить подключаться только по LDAP или только через Radius.

  1. Dynamic Access Policies -> Add
  2. Policy Name: Имя политики
  3. Add
  4. AAA Attribute Type: Cisco
  5. Отмечаем Connection Profile -> "=" -> требуемая группа, например Radius
  6. OK
  7. Action -> Action: указываем нужное действие
  8. ОК
  9. Apply

Запретить доступ всем, кроме разрешенных групп (политика по умолчанию пускает всех)

Cisco ASA, по умолчанию, разрешает подключение всем пользователям. Что бы это исправить, нужно в политике DfltAccessPolicy изменить действие (Action) c Continue на Terminate.

  1. Dynamic Access Policies
  2. DfltAccessPolicy
  3. Edit
  4. Action -> Terminate
  5. User Message: сообщение пользователю при блокировке подключения, например Access denied

  6. OK
  7. Apply

Распределение пользователей на RADIUS сервере по группам на 1FA и 2FA

Если требуется разделение пользователей по группам с 1FA и 2FA, на контроллере домена создаем две группы безопасности, например: Radius и Radius2FA

  1. Правой кнопкой мыши по созданной группе Radius -> Свойства -> Члены группы -> Добавить...
  2. Добавляем группу Radius2FA
  3. ОК

  4. Аналогично добавляем в группу Radius пользователей с 1FA; в группу Radius2FA - пользователей с 2FA.


  5. Далее настраиваем Indeed AM Console

Результат

Пользователь не состоит в группе Radius или Radius2FA:

Пользователь в группе Radius:

Пользователь в группе Radius2FA. На телефон приходит Push-запрос второго фактора:

После подтверждения соединение устанавливается

В сценарии, когда LDAP проверка проходит на Cisco, а второй фактор проверяется на радиус сервере, окно подключения будет иметь вид:

Где требуется указать:

  1. логин пользователя
  2. доменный пароль пользователя
  3. второй фактор
    (1 голос(а))
    Эта статья полезна
    Эта статья бесполезна

    Комментарии (0)
    Добавить новый комментарий
     
     
    Полное имя:
    Email:
    Комментарии: