|
Настройка Cisco ASA 9.18.3.56 для аутентификации через Indeed NPS RADIUS Extension
Автор Kirill Osipov, Last modified by Kirill Osipov на 15 декабря 2023 10:34 AM
|
|
Пример настройки двухфакторной аутентификации для доступа к Cisco ASA 9.18.3.56 (Cisco Secure Client) с использованием модуля Indeed NPS RADIUS Extension.
Для корректной работы нам понадобится:
-
- Установленные и настроенные продукты Indeed-Id:
- Сервер с установленной ролью Network Policy Server (инструкция).
- Первичная настройка Cisco ASA
Входим в консоль ASA и получаем привилегированные права командой en, при необходимости задаем enable пароль:
Далее нам необходимо настроить внутренний сетевой интерфейс для подключения к Cisco ASDM из локальной сети. В данном примере мы будем использовать ip адрес 192.168.1.70, находящийся в нашей локальной сети.
Входим в режим конфигурации командой conf t и настраиваем интерфейс Management 0/0:
- interface management 0/0 - выбираем интерфейс Cisco ASA (management 0/0);
- ip address 192.168.1.70 255.255.255.0 - указываем ip адрес и маску локальной сети (192.168.1.70 255.255.255.0);
- nameif inside - указываем имя для интерфейса (inside);
- no shutdown - включаем интерфейс;
- Exit - выходим из режима настройки интерфейса;
- http server enable - включаем доступ для подключения через ASDM;
- http 0 0 inside - предоставляем доступ для подключения ASDM через inside интерфейс;
- route inside 0 0 192.168.1.1 - задаем шлюз 192.168.1.1 для интерфейса inside;
- wr mem - сохраняем изменения.
Теперь у нас появляется доступ к веб интерфейсу Cisco ASA по адресу https://192.168.1.70.
Скачиваем инсталлятор Cisco ASDM: нажимаем кнопку Install ASDM Launcher и вводим заданный ранее enable пароль (поле логин оставляем пустым).
Для работы Cisco ASDM требуется Java, её нужно заранее установить. Также, стоит обратить внимание на то, что ASDM Launcher x32 разрядности, поэтому потребуется машина с соответствующей разрядностью системы.
- Настройка Cisco ASA через ADSM
- Авторизация в Cisco ASDM
Запускаем Cisco ADSM и подключаемся к inside интерфейсу Cisco ASA по заданному ранее IP адресу https://192.168.1.70. В качестве пароля используем enable пароль.
- Добавление сетевого интерфейса для доступа к внешней сети
Переходим во вкладку Configuration и в Device Setup выбираем Interfaces. В результате откроется окно редактирования интерфейсов.
Настроим интерфейс для доступа Cisco ASA к внешней сети (в нашем случае адрес внешней сети 192.168.11.150) - в предложенном списке редактируем необходимый интерфейс:
- Interface Name: out;
- Enable Interface: checked;
- IP Address: 213.148.81.253;
- Subnet Mask: 255.255.255.0;
Нажимаем ОК.
Далее применяем настройки Apply (1) и сохраняем конфигурацию в память (2).
- Настройка Secure Connect VPN
Настройку VPN мы произведем с помощью VPN Wizard. Запускаем Secure Client VPN Wizard через меню Wizard - VPN Wizards.
На первом шаге просто Next.
Далее вводим имя профиля подключения и выбираем внешний (out) интерфейс.
Создаем самоподписанный сертификат.
Для этого нажимаем кнопку Manage, добавляем сертификат кнопкой Add и создаем новый самоподписанный сертификат.
Добавляем дистрибутив Cisco Secure Client чтобы пользователи могли скачивать Secure Client через веб интерфейс: нажимаем кнопку Add, затем кнопку Upload , Browse Local Files и загружаем выбранный файл (дистрибутив с расширением.pkg нужно заранее скачать) кнопкой Upload.
В качестве метода аутентификации выбираем Radius сервер. Создаем новую AAA Server Group и вводим данные Radius сервера (интерфейс выбираем Inside, т.к. по нему доступен сервер NPS).
В списке AAA Server Group Details кнопкой Edit открываем на редактирование созданную группу увеличиваем значение timeout до 30-60 секунд и изменяем порты на прослушиваемые Radius сервером. По умолчанию для Server Authentication Port используется порт 1812 и для Server Accounting Port порт 1813.
Пункт №6 пропускаем.
Создаем пул неиспользуемых в локальной сети ip адресов, которые будут выдаваться VPN клиентам:
Задаём адрес DNS сервера:
На остальных шагах настройки Wizard VPN оставляем значения по умолчанию и завершаем настройку нажатием кнопки Finish:
Далее открываем на редактирование созданный профиль, переходим на вкладку Advanced - Group Alias и добавляем URL, по которому доступен VPN client из внешней сети.
- Включение службы SVC
Теперь, когда мы создали VPN подключение и загрузили образ клиента для скачивания, нужно включить службу SVC в консоли Cisco.
Входим в режим конфигурации командой conf t и настраиваем сервис webvpn:
- webvpn - входим в настройки сервиса;
- svc enable - включаем службу;
- exit - выход;
- wr mem - сохраняем конфигурацию.
- Подключение к VPN
На удаленном клиентском ПК переходим на веб интерфейс внешнего интерфейса (out) Cisco ASA. В нашем случае внешнему интерфейсу задан ip адрес 192.168.11.150, поэтому переходим на адрес https://192.168.11.150 и авторизуемся под доменной учетной записью.
При условии наличия настроенной двухфакторной аутентификации средствами Indeed AM и присутствия на сервере Radius необходимой политики авторизации, также появится запрос на аутентификацию через Indeed NPS RADIUS Extension.
После успешного подключения скачиваем по предложенной веб лаунчером ссылке дистрибутив Cisco Secure Clientи устанавливаем его.
Завершив установку Cisco Secure Client мы сможем подключиться к VPN. Для этого в Трее или меню Пуск находим иконку приложения Cisco Secure Client, запускаем его и вводим внешний адрес Cisco ASA.
Далее вводим данные доменной учетной записи, выполняем аутентификацию через Indeed NPS RADIUS Extension (при условии наличия необходимых настроек) и подключаемся к внутренней сети VPN.
Подключение установлено.
Получили ip адрес из указанного нами пула.
В консоли администрирования наблюдаем сообщение об успешной аутентификации.
|
 (2 голос(а)) Эта статья полезна Эта статья бесполезна
|
