Exemplo de Configuração do ASA com WebVPN e Logon Único usando ASDM e NTLMv1

Introdução

Este documento descreve como configurar o Cisco Adaptive Security Appliance (ASA) para passar automaticamente as credenciais de login do usuário WebVPN, assim como a autenticação secundária, para servidores que exigem uma validação de login adicional contra o Windows Active Directory que executa o NT LAN Manager version 1 (NTLMv1). Esta característica é conhecido como login único (SSO). Ele fornece aos links configurados para um grupo específico de WebVPN a capacidade de passar sobre estas informações de autenticação de usuário, eliminando assim várias solicitações de autenticação. Esta característica também pode ser usada no nível global ou de configuração de usuário.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• Verifique se as permissões de NTLMv1 e Windows para os usuários da VPN de destino estão configuradas. Consulte a documentação da Microsoft para obter mais informações sobre os direitos de acesso ao domínio do Windows.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco ASA 7.1(1)

• Cisco Adaptive Security Device Manager (ASDM) 5.1(2)

• Serviços de Informações da Internet (IIS) da Microsoft

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você verá as informações para configurar o ASA como um servidor WebVPN com SSO.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Adicione um servidor AAA para a autenticação de domínio do Windows

Conclua estas etapas para configurar o ASA para usar um controlador de domínio para autenticação.

1. Selecione Configuration > Properties > AAA Setup > AAA Servers e clique em Add. Forneça um nome para o grupo de servidores, como Windows_NT, e escolha NT Domain como protocolo.

   

2. Adicione um servidor Windows.

   Selecione o grupo recém-criado e clique em Adicionar. Selecione a interface onde o servidor está localizado e insira o endereço IP e o nome do controlador de domínio. Certifique-se de que o nome do controlador de domínio seja digitado com todas as letras maiúsculas. Clique em OK quando terminar.

   

   Esta janela mostra a configuração de AAA concluída:

   

Criar um certificado autoassinado

Conclua estas etapas para configurar o ASA para usar um certificado autoassinado.

Observação: neste exemplo, um certificado autoassinado é usado para simplificar. Para obter outras opções de registro de certificado, como o registro com uma Autoridade de Certificação externa, consulte Configuração de Certificados.

1. Selecione Configuration > Properties > Certificate > Trustpoint > Configuration e clique em Add.

2. Na janela exibida, insira um Nome de ponto de confiança, como Local-TP, e marque Gerar um certificado autoassinado no registro. Outras opções podem ser deixadas com suas configurações padrão. Clique em OK quando terminar.

   

   Esta janela mostra a configuração concluída do ponto de confiança:

   

Habilitar WebVPN na Interface Externa

Conclua estas etapas para permitir que usuários fora da sua rede se conectem usando a WebVPN.

1. Selecione Configuration > VPN > WebVPN > WebVPN Access.

2. Selecione a interface desejada, clique em Enable e marque Enable Tunnel Group Drop-down List on WebVPN Login Page.

   Observação: Se a mesma interface for usada para acesso WebVPN e ASDM, você deverá alterar a porta padrão para acesso ASDM da porta 80 para uma nova porta, como 8080. Isso é feito em Configuration > Properties > Device Access > HTTPS/ASDM.

   Observação: você pode redirecionar automaticamente um usuário para a porta 443 caso ele navegue para http://<ip_address> em vez de https://<ip_address>. Selecione Configuration > Properties > HTTP/HTTPS, escolha a interface desejada, clique em Edit e selecione Redirect HTTP to HTTPS.

   

Configurar uma lista de URL para o(s) servidor(es) interno(s)

Conclua estas etapas para criar uma lista que contenha os servidores aos quais você deseja conceder acesso aos usuários da WebVPN.

1. Selecione Configuration > VPN > WebVPN > Servers and URLs e clique em Add.

2. Digite um nome para a lista de URLs. Este nome não é visível para os usuários finais. Clique em Add.

3. Digite o nome de exibição da URL da forma como ele deve ser exibido aos usuários. Insira as informações de URL do servidor. Deve ser assim que você normalmente acessa o servidor.

   

4. Clique em OK, OK e em Aplicar.

   

Configurar uma Política de Grupo Interna

Conclua estas etapas para configurar uma política de grupo para seus usuários do WebVPN.

1. Selecione Configuration > VPN > General > Group Policy, clique em Add e selecione Internal Group Policy.

2. Na guia Geral, especifique um nome de política, como Internal-Group_POL_WEBVPN. Em seguida, desmarque Inherit ao lado de Tunneling Protocols e marque WebVPN.

   

3. Na guia WebVPN, selecione a subguia Other. Desmarque Inherit ao lado de Servers and URL Lists e selecione a URL List que você configurou na lista suspensa. Clique em OK quando terminar.

   

Configurar um grupo de túneis

Conclua estas etapas para configurar um grupo de túneis para seus usuários do WebVPN.

1. Selecione Configuration > VPN > General > Tunnel Group, clique em Add e selecione WebVPN Access...

   

2. Insira um nome para o grupo de túneis, como WEB_VPN-GRP. Na guia Básico, selecione a Diretiva de grupo que você criou e verifique se o Tipo de grupo é webvpn.

   

3. Vá até a guia AAA.

   Para o Grupo de servidores de autenticação, escolha o grupo que você configurou para habilitar a autenticação NTLMv1 com o controlador de domínio.

   Opcional: marque Usar LOCAL se o grupo de servidores falhar para habilitar o uso do banco de dados de usuários LOCAL no caso de falha do grupo AAA configurado. Isso pode ajudá-lo a solucionar o problema posteriormente.

   

4. Vá para a guia WebVPN e vá para a subguia Group Aliases and URLs.

5. Insira um alias em Apelidos de grupo e clique em Adicionar. Esse alias aparece na lista suspensa apresentada aos usuários do WebVPN no login.

   

6. Clique em OK e, em seguida, em Apply.

Configurar o Autossignon para um Servidor

Mude para a linha de comando para ativar o SSO para o(s) servidor(es) interno(s).

Observação: esta etapa não pode ser concluída no ASDM e deve ser realizada usando a linha de comando. Consulte Acessando a interface de linha de comando para obter mais informações.

Use o comando autosignon para especificar o recurso de rede, como um servidor, ao qual você deseja conceder acesso aos usuários. Um endereço IP de servidor único é configurado aqui, mas um intervalo de rede como 10.1.1.0 /24 também pode ser especificado. Consulte o comando autosignon para obter mais informações.

ASA>enable
ASA#configure terminal
ASA(config)#webvpn
ASA(config-webpvn)#auto-signon allow ip 10.1.1.200 255.255.255.255 auth-type ntlm
ASA(config-webvpn)#quit
ASA(config)#exit
ASA#write memory

Nesta saída de exemplo, o comando autosignon é configurado globalmente para WebVPN. Esse comando também pode ser usado no modo de configuração de grupo WebVPN ou no modo de configuração de nome de usuário WebVPN. O uso desse comando no modo de configuração de grupo WebVPN o limita a um grupo específico. Da mesma forma, o uso desse comando no modo de configuração de nome de usuário da WebVPN o limita a um usuário individual. Consulte o comando autosignon para obter mais informações.

Configuração final do ASA

Este documento utiliza esta configuração:

ASA# show running-config 
: Saved
:
ASA Version 7.1(1) 
!
terminal width 200
hostname ASA
domain-name cisco.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 172.16.171.51 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!             
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
asdm image disk0:/asdm512.bin
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 172.16.171.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute


!--- AAA server configuration

aaa-server Windows_NT protocol nt
aaa-server Windows_NT host 10.1.1.200
 nt-auth-domain-controller ESC-SJ-7800


!--- Internal group policy configuration

group-policy Internal-GRP_POL_WEBVPN internal
group-policy Internal-GRP_POL_WEBVPN attributes
 vpn-tunnel-protocol webvpn
 webvpn
  url-list value webserver
username cisco password Q/odgwmtmVIw4Dcm encrypted privilege 15
aaa authentication http console LOCAL 
aaa authentication ssh console LOCAL 
aaa authentication enable console LOCAL 
http server enable 8181
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart


!--- Trustpoint/certificate configuration

crypto ca trustpoint Local-TP
 enrollment self
 crl configure
crypto ca certificate chain Local-TP
 certificate 31
    308201b0 30820119 a0030201 02020131 300d0609 2a864886 f70d0101 04050030 
    1e311c30 1a06092a 864886f7 0d010902 160d4153 412e6369 73636f2e 636f6d30 
    1e170d30 36303333 30313334 3930345a 170d3136 30333237 31333439 30345a30 
    1e311c30 1a06092a 864886f7 0d010902 160d4153 412e6369 73636f2e 636f6d30 
    819f300d 06092a86 4886f70d 01010105 0003818d 00308189 02818100 e47a29cd 
    56becf8d 99d6d919 47892f5a 1b8fc5c0 c7d01ea6 58f3bec4 a60b2025 03748d5b 
    1226b434 561e5507 5b45f30e 9d65a03f 30add0b5 81f6801a 766c9404 9cabcbde 
    44b221f9 b6d6dc18 496fe5bb 4983927f adabfb17 68b4d22c cddfa6c3 d8802efc 
    ec3af7c7 749f0aa2 3ea2c7e3 776d6d1d 6ce5f748 e4cda3b7 4f007d4f 02030100 
    01300d06 092a8648 86f70d01 01040500 03818100 c6f87c61 534bb544 59746bdb 
    4e01680f 06a88a15 e3ed8929 19c6c522 05ec273d 3e37f540 f433fb38 7f75928e 
    1b1b6300 940b8dff 69eac16b af551d7f 286bc79c e6944e21 49bf15f3 c4ec82d8 
    8811b6de 775b0c57 e60a2700 fd6acc16 a77abee6 34cb0cad 81dfaf5a f544258d 
    cc74fe2d 4c298076 294f843a edda3a0a 6e7f5b3c
  quit


!--- Tunnel group configuration

tunnel-group WEB_VPN-GRP type webvpn
tunnel-group WEB_VPN-GRP general-attributes
 authentication-server-group Windows_NT
 default-group-policy Internal-GRP_POL_WEBVPN
tunnel-group WEB_VPN-GRP webvpn-attributes
 group-alias Group-Selection enable
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global


!--- WebVPN Configuration

webvpn
 enable outside
 url-list webserver "Internal Server" https://10.1.1.200 1
 tunnel-group-list enable
 auto-signon allow ip 10.1.1.200 255.255.255.255 auth-type ntlm
Cryptochecksum:c80ac5f6232df50fc1ecc915512c3cd6
: end

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Testar um login de WebVPN

Faça login como um usuário para testar sua configuração.

1. Tente fazer login no ASA com informações de usuário do seu domínio NT. Selecione o alias de grupo configurado na etapa 5 em Configure a Tunnel Group.

   

2. Procure os links configurados para os servidores internos. Clique no link para verificar.

   

Sessões de monitoramento

Selecione Monitoring > VPN > VPN Statistics > Sessions e procure uma sessão WebVPN que pertença ao grupo configurado neste documento.

Depurar uma sessão WebVPN

Esta saída é um exemplo de depuração de uma sessão WebVPN bem-sucedida.

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

ASA#debug webvpn 255
INFO: debug webvpn enabled at level 255
ASA# 
ASA# webvpn_portal.c:ewaFormServe_webvpn_login[1570]
webvpn_portal.c:http_webvpn_kill_cookie[385]
webvpn_auth.c:webvpn_auth[286]
WebVPN: no cookie present!!
webvpn_portal.c:ewaFormSubmit_webvpn_login[1640]
webvpn_portal.c:http_webvpn_kill_cookie[385]
webvpn_auth.c:http_webvpn_pre_authentication[1782]

!--- Begin AAA
WebVPN: calling AAA with ewsContext (78986968) and nh (78960800)!
WebVPN: started user authentication...
webvpn_auth.c:webvpn_aaa_callback[3422]
WebVPN: AAA status = (ACCEPT)
webvpn_portal.c:ewaFormSubmit_webvpn_login[1640]
webvpn_auth.c:http_webvpn_post_authentication[1095]
WebVPN: user: (test) authenticated.

!--- End AAA
webvpn_auth.c:http_webvpn_auth_accept[2093]
webvpn_session.c:http_webvpn_create_session[159]
webvpn_session.c:http_webvpn_find_session[136]
WebVPN session created!
webvpn_session.c:http_webvpn_find_session[136]
webvpn_db.c:webvpn_get_server_db_first[161]
webvpn_db.c:webvpn_get_server_db_next[202]
traversing list: (webserver)
webvpn_portal.c:ewaFormServe_webvpn_cookie[1421]
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.

!--- Output supressed
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_auth.c:webvpn_auth[286]
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]
WebVPN: session has been authenticated.
webvpn_session.c:http_webvpn_find_session[136]
webvpn_session.c:webvpn_update_idle_time[924]

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

• Se a caixa suspensa Grupo não estiver presente na página de login do WebVPN, certifique-se de ter concluído a etapa 2 em Habilitar WebVPN na interface externa e a etapa 5 em Configurar um grupo de túneis. Se essas etapas não forem concluídas e a lista suspensa estiver ausente, a autenticação estará no Grupo padrão e provavelmente falhará.

• Embora não seja possível atribuir direitos de acesso ao usuário no ASDM ou no ASA, você pode restringir os usuários com direitos de acesso do Microsoft Windows no controlador de domínio. Adicione as permissões de grupo do NT necessárias para a página da Web na qual o usuário se autentica. Quando o usuário faz login na WebVPN com as permissões do grupo, o acesso às páginas especificadas é concedido ou negado de acordo. O ASA atua apenas como um host de autenticação de proxy em nome do controlador de domínio e todas as comunicações aqui são NTLMv1.

• Não é possível configurar o SSO para o Sharepoint via WebVPN porque o Sharepoint Server não oferece suporte à autenticação baseada em formulários. Como resultado, os marcadores com post ou o procedimento de plug-in post não se aplicam aqui.

Informações Relacionadas

• Dispositivos de segurança adaptáveis Cisco ASA 5500 Series
• Suporte Técnico e Documentação - Cisco Systems