Keywords: AAA ACS VPn3000 Radius TACACS+
本文記錄利用Cisco Secure ACS服務(wù)器為VPN3000提供AAA服務(wù)的設(shè)置方法:
概述: Cisco Secure ACS是一種AAA服務(wù)器。所謂AAA,是指:
認(rèn)證(authentication):當(dāng)NAS(Network Access Server網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)器)收到一個(gè)用戶(hù)認(rèn)證的請(qǐng)求,它把有關(guān)信息通過(guò)UDP 1645發(fā)給Radius服務(wù)器,服務(wù)器檢查用戶(hù)數(shù)據(jù)庫(kù)確定是否為授權(quán)用戶(hù),如果是,則給NAS返回驗(yàn)證通過(guò)的信息。(參考:
RFC 2058 )
記帳(accounting): 如果需要,用戶(hù)連接結(jié)束后,NAS可以將連接持續(xù)的時(shí)間、流量等信息發(fā)給Radius服務(wù)器進(jìn)行記錄,作為計(jì)費(fèi)參考資料。(參考: RFC 2059 )
授權(quán)(authorization): 通過(guò)Radius服務(wù)器還可以限定用戶(hù)可以訪(fǎng)問(wèn)的服務(wù)。
AAA服務(wù)器和NAS之間也可以通過(guò)TACACS+(TCP 49)協(xié)議來(lái)通訊。Cisco Secure ACS(Access Control Server)支持Radius和TACACS+協(xié)議。Cisco VPN3030只支持Radius協(xié)議。 必須要注意的是Radius是非標(biāo)準(zhǔn)的協(xié)議,每個(gè)廠(chǎng)家都有各自不同的實(shí)現(xiàn)方法,所以對(duì)不同的NAS還必需進(jìn)行協(xié)議的定制。在A(yíng)CS中已經(jīng)為多種設(shè)備定制了Radius協(xié)議,如Radius(IOS Devices) Radius(VPN3000)和Radius(Microsoft)等等。
通過(guò)引入AAA服務(wù)器,可以:
1.解決用戶(hù)數(shù)限制: 例如VPN3030只支持定義500個(gè)用戶(hù),用ACS可以支持更多用戶(hù)
2.計(jì)費(fèi):ACS記錄的用戶(hù)連接時(shí)間,通訊量等信息可作計(jì)費(fèi)資料
3.增強(qiáng)安全性: 可以限定用戶(hù)訪(fǎng)問(wèn)的服務(wù);用戶(hù)訪(fǎng)問(wèn)的日志可用于安全審計(jì)
4.方便管理:用戶(hù)定義可用于一組設(shè)備,無(wú)需分別設(shè)置和維護(hù)
一.ACS安裝:
系統(tǒng)需求:PII300 以上CPU/256M內(nèi)存/Windows 2000 Server 英文版(不安裝SP)
注1:ACS v2.5在安裝了SP的Windows 2000系統(tǒng)上運(yùn)行有問(wèn)題,需要v3.0才能解決
注2:可以安裝“用戶(hù)自助修改密碼(web)界面”模塊,但該模塊需IIS。不安裝SP的Windows系統(tǒng)上運(yùn)行IIS有嚴(yán)重安全問(wèn)題,所以本安裝選擇不安裝該模塊和IIS。
使用ACS光盤(pán)上的Install程序交互完成安裝。主要選項(xiàng)為:
1.是否保留現(xiàn)有數(shù)據(jù)庫(kù): 全新安裝回答“否”;升級(jí)安裝回答“是”。
2.是否導(dǎo)入配置:如需導(dǎo)入已保存的配置回答“是”。
3.只使用ACS的用戶(hù)數(shù)據(jù)庫(kù)或同時(shí)使用Windows系統(tǒng)用戶(hù)數(shù)據(jù)庫(kù):根據(jù)需要選擇,本安裝選擇“只使用ACS的用戶(hù)數(shù)據(jù)庫(kù)”。
4.“Authenticate Users Using”認(rèn)證協(xié)議:選擇“Radius(Cisco VPN 3000)”。
5.“Access Server Name”訪(fǎng)問(wèn)服務(wù)器名稱(chēng):輸入“VPN3030”。
6.“Access Server IP Address”訪(fǎng)問(wèn)服務(wù)器IP地址:輸入“10.1.1.18”。
7.“Windows NT Server IP Address” ACS服務(wù)器的IP地址:自動(dòng)設(shè)為“10.1.1.51”(本機(jī)地址)。
8.“TACACS+ or RADIUS Key”共享的密匙:輸入“cisco”。
9.選擇要顯示的屬性:全選。
10.“Remedial Action on log-in failure”登錄失敗時(shí)的措施:Script to Exec: *Restart ALL
完成安裝后,通過(guò)web界面管理ACS,地址為:http://127.0.0.1:2002(或真實(shí)IP),注意在本機(jī)上管理時(shí)無(wú)需登錄。
二.ACS配置:
登錄ACS的WEB管理界面:http://10.1.1.51:2002。
檢查網(wǎng)絡(luò)配置:選擇Network Configuration,點(diǎn)擊“VPN3030”可檢查或修該安裝過(guò)程中對(duì)Access Server的定義(參數(shù)見(jiàn)上一節(jié))。
檢查接口配置:選擇Interface Configuration,點(diǎn)擊“Radius Cisco VPN 3000”,如需通過(guò)ACS設(shè)置用戶(hù)組的VPN3000專(zhuān)有屬性,請(qǐng)選中各項(xiàng)Group [26] Vendor-Specific屬性,然后可以在組屬性中進(jìn)行設(shè)置。如需設(shè)置特定用戶(hù)的VPN3000專(zhuān)有屬性,您還需在Interface Configuration / Advanced Options中先選定“Per-User TACACS+/RADIUS Attributes”。一般而言,通過(guò)VPN3030中的組屬性頁(yè)面管理這些屬性更為方便,推薦使用。某些屬性,如為用戶(hù)制定特定的IP地址,并不屬于VPN3000的專(zhuān)有屬性,因而也無(wú)需啟用Vendor-Specific屬性。
設(shè)置組:選擇Group Setup,并把Group 10該名為"VPN3030 USERS".如果需要,點(diǎn)擊Edit Settings 修改組屬性。
添加用戶(hù):選擇User Setup,輸入用戶(hù)名并點(diǎn)擊Add/Edit,修改“Password Authentication”項(xiàng):選擇“CiscoSecure Database”;在“CiscoSecure PAP - Password”一欄輸入和確認(rèn)用戶(hù)密碼;在“Group to which the user is assigned” 一欄選擇"VPN3030 USERS"組。根據(jù)需要修改其他用戶(hù)屬性,如指定IP地址等。
三.VPN3030配置:
首先確保配置前能夠用VPN3030設(shè)置的內(nèi)置帳號(hào)建立VPN連接。
登錄VPN3030的WEB管理界面:http://10.1.1.18。
選擇: Configuration > System > Servers > Authentication,點(diǎn)擊Add。
選擇Radius協(xié)議,輸入認(rèn)證服務(wù)器地址10.1.1.51及共享的密匙:“cisco”。
Authentication和Accounting的端口號(hào)分別是UDP 1645和UDP1646,均為默認(rèn)值。
通過(guò)Test功能進(jìn)行認(rèn)證測(cè)試,成功后保存配置。
記帳服務(wù)的配置:Configuration > System > Servers > Accounting參數(shù)同上。
選擇: Configuration > User Management > Groups 并點(diǎn)擊Add。
在Identity(識(shí)別)配置夾中輸入組名Group Name[本安裝中輸入ext]、組密碼Password[ciscoacs]并設(shè)置組類(lèi)別Type為:internal。請(qǐng)務(wù)必在VPN客戶(hù)端配置相同的組名和密碼。在IPSec配置夾中選擇Tunnel Type為“Remote-Access”; Authentication為“RADIUS”; 選中“Mode Config”多選框。
應(yīng)用(Apply)并保存配置。
如需為某些組配置不同的Radius服務(wù)器,可點(diǎn)擊組屬性中的“Modify Auth. Servers”。
四.查看日志:
記帳信息:Reports and Activity > RADIUS Accounting
失敗的認(rèn)證記錄:Reports and Activity > Failed attempts
當(dāng)前登錄的用戶(hù)信息:Reports and Activity > Logged-in Users