ASA 및 Cisco IOS Group-lock 기능, AAA 특성 및 WebVPN 컨피그레이션 예

ASA 및 Cisco IOS Group-lock 기능, AAA 특성및 WebVPN 컨피그레이션예 목차 소개사전요구사항요구사항사용되는구성요소구성 ASA 로컬그룹잠금 ASA with AAA Attribute VPN3000/ASA/PIX7.x-Tunnel-Group-Lock ASA with AAA attribute VPN3000/ASA/PIX7.x-IPSec-User-Group-Lock Cisco IOS Local Group-lock for Easy VPN Cisco IOS AAA ipsec: Easy VPN 용 user-vpn-group Cisco IOS AAA ipsec: user-vpn-group 및 Group-lock for Easy VPN IOS Webvpn 그룹잠금다음을확인합니다. 문제해결관련정보 소개 이문서에서는 Cisco ASA(Adaptive Security Appliance) 및 Cisco IOS 의그룹잠금기능에대해설명하고다양한 AAA(Authentication, Authorization, and Accounting) 특성에대한동작을소개합니다.Cisco IOS 의경우그룹잠금과사용자 -vpn- 그룹간의차이점에대해두보완기능을동시에사용하는예와함께설명합니다. 인증도메인과함께 Cisco IOS WebVPN 예도있습니다. 사전요구사항 요구사항 Cisco 에서는다음주제에대한기본적인지식을얻을것을권장합니다. ASA CLI 컨피그레이션및 SSL(Secure Sockets Layer) VPN 컨피그레이션 ASA 및 Cisco IOS의원격액세스 VPN 컨피그레이션 사용되는구성요소

이문서의정보는다음소프트웨어버전을기반으로합니다. ASA 소프트웨어, 버전 8.4 이상 Cisco IOS, 버전 15.1 이상이문서의정보는특정랩환경의디바이스를토대로작성되었습니다. 이문서에사용된모든디바이스는초기화된 ( 기본 ) 컨피그레이션으로시작되었습니다. 현재네트워크가작동중인경우, 모든명령어의잠재적인영향을미리숙지하시기바랍니다. 구성 ASA 로컬그룹잠금 사용자또는그룹정책에서이특성을정의할수있습니다. 다음은로컬사용자특성의예입니다. username cisco password 3USUcOPFUiMCO4Jk encrypted username cisco attributes group-lock value RA username cisco2 password BAtr3u1T7j1eEcYr encrypted username cisco2 attributes group-lock value RA2 tunnel-group RA type remote-access tunnel-group RA general-attributes default-group-policy MY tunnel-group RA webvpn-attributes group-alias RA enable tunnel-group RA2 type remote-access tunnel-group RA2 general-attributes default-group-policy MY tunnel-group RA2 webvpn-attributes group-alias RA2 enable group-policy MY attributes address-pools value POOL webvpn enable inside anyconnect enable tunnel-group-list enable cisco 사용자는 RA 터널그룹만사용할수있으며, cisco2 사용자는 RA2 터널그룹만사용할수있습니다. cisco2 사용자가 RA 터널그룹을선택하면연결이거부됩니다.

May 17 2013 17:24:54: %ASA-4-113040: Group <MY> User <cisco2> IP <192.168.1.88> Terminating the VPN connection attempt from <RA>. Reason: This connection is group locked to. ASA with AAA Attribute VPN3000/ASA/PIX7.x-Tunnel-Group-Lock AAA 서버에서반환되는특성 3076/85(Tunnel-Group-Lock) 는정확히동일합니다. 사용자또는정책그룹 ( 또는 IETF(Internet Engineering Task Force) 특성 25) 인증과함께전달되고특정터널그룹에서사용자를잠글수있습니다. 다음은 Cisco ACS(Access Control Server) 의인증프로파일의예입니다. AAA 에서특성을반환하면 RADIUS 디버그가이를나타냅니다. tunnel-group RA2 general-attributes authentication-server-group ACS54 Parsed packet data... Radius: Code = 2 (0x02) Radius: Identifier = 2 (0x02) Radius: Length = 61 (0x003D) Radius: Vector: E55D5EBF1558CA455DA46F5BF3B67354 Radius: Type = 1 (0x01) User-Name Radius: Length = 7 (0x07)

63 69 73 63 6f cisco Radius: Type = 25 (0x19) Class Radius: Length = 24 (0x18) 43 41 43 53 3a 61 63 73 35 34 2f 31 35 38 33 33 CACS:acs54/15833 34 34 38 34 2f 33 4484/3 Radius: Type = 26 (0x1A) Vendor-Specific Radius: Length = 10 (0x0A) Radius: Vendor ID = 3076 (0x00000C04) Radius: Type = 85 (0x55) The tunnel group that tunnel must be associated with Radius: Length = 4 (0x04) 52 41 RA rad_procpkt: ACCEPT RADIUS_ACCESS_ACCEPT: normal termination RA 터널그룹내에서그룹을잠그는동안 RA2 터널그룹에액세스하려고할때결과는동일합니다. May 17 2013 17:41:33: %ASA-4-113040: Group <MY> User <cisco> IP <192.168.1.88> Terminating the VPN connection attempt from <RA2>. Reason: This connection is group locked to ASA with AAA attribute VPN3000/ASA/PIX7.x-IPSec-User-Group-Lock 이특성은 ASA 에서상속된 VPN3000 디렉토리에서도가져옵니다.8.4 컨피그레이션가이드 ( 최신컨피그레이션가이드에서제거되지만 ) 및다음과같이설명됩니다. IPsec-User-Group-Lock 0 = Disabled 1 = Enabled Tunnel-Group-Lock 특성이있는경우에도그룹잠금을비활성화하기위해특성을사용할수있습니다.Tunnel-Group-Lock(Tunnel-Group-Lock) 과함께 0 으로설정된특성을반환하려고하면 ( 여전히사용자인증에만해당 ) 다음과같은결과가발생합니다. 특정터널그룹이름을반환하는동안그룹잠금을비활성화하려고하면이상하게보입니다. 디버깅표시 : Parsed packet data... Radius: Code = 2 (0x02) Radius: Identifier = 3 (0x03) Radius: Length = 73 (0x0049) Radius: Vector: 7C6260DDFC3E523CCC34AD8B828DD014 Radius: Type = 1 (0x01) User-Name Radius: Length = 7 (0x07) 63 69 73 63 6f cisco Radius: Type = 25 (0x19) Class

Radius: Length = 24 (0x18) 43 41 43 53 3a 61 63 73 35 34 2f 31 35 38 33 33 CACS:acs54/15833 34 34 38 34 2f 34 4484/4 Radius: Type = 26 (0x1A) Vendor-Specific Radius: Length = 12 (0x0C) Radius: Vendor ID = 3076 (0x00000C04) Radius: Type = 33 (0x21) Group-Lock Radius: Length = 6 (0x06) Radius: Value (Integer) = 0 (0x0000) Radius: Type = 26 (0x1A) Vendor-Specific Radius: Length = 10 (0x0A) Radius: Vendor ID = 3076 (0x00000C04) Radius: Type = 85 (0x55) The tunnel group that tunnel must be associated with Radius: Length = 4 (0x04) 52 41 RA rad_procpkt: ACCEPT 이렇게하면동일한결과가발생합니다 ( 그룹잠금이적용되었으며 IPSec-User-Group-Lock 이고려되지않음 ). May 17 2013 17:42:34: %ASA-4-113040: Group <MY> User <cisco> IP <192.168.1.88> Terminating the VPN connection attempt from <RA2>. Reason: This connection is group locked to 외부그룹정책에서 IPSec-User-Group-Lock=0 을반환하고사용자인증을위해 Tunnel-Group- Lock=RA 를가져왔습니다. 여전히사용자가잠겼으므로그룹잠금이수행되었음을의미합니다. 반대컨피그레이션의경우외부그룹정책은특정사용자에대해그룹잠금을비활성화하는동안특정터널그룹이름 (Tunnel-Group-Lock) 을반환하며 (IPSec-User-Group-Lock=0), 그룹잠금은해당사용자에대해계속시행되고있습니다. 그러면해당속성이더이상사용되지않음을확인합니다. 이특성은이전 VPN3000 시리즈에사용되었습니다.Cisco 버그 ID CSCui34066 이열렸습니다. Cisco IOS Local Group-lock for Easy VPN Cisco IOS 의그룹컨피그레이션아래의로컬그룹잠금옵션은 ASA 와다르게작동합니다.ASA 에서사용자가잠길터널그룹이름을지정합니다.Cisco IOS group-lock 옵션 ( 인수없음 ) 을사용하면추가확인을수행할수있으며사용자이름 ( 형식 user@group) 과 IKEID( 그룹이름 ) 를사용하여제공된그룹을비교합니다. 자세한내용은 Easy VPN Configuration Guide, Cisco IOS Release 15M&T 를참조하십시오. 예를들면다음과같습니다. aaa new-model aaa authentication login LOGIN local aaa authorization network LOGIN local username cisco1@group1 password 0 cisco1 username cisco2@group2 password 0 cisco2 crypto isakmp client configuration group GROUP1 key cisco pool POOL

group-lock save-password crypto isakmp client configuration group GROUP2 key cisco pool POOL save-password crypto isakmp profile prof1 match identity group GROUP1 client authentication list LOGIN isakmp authorization list LOGIN client configuration address respond client configuration group GROUP1 virtual-template 1 crypto isakmp profile prof2 match identity group GROUP2 client authentication list LOGIN isakmp authorization list LOGIN client configuration address respond client configuration group GROUP2 virtual-template 2 crypto ipsec transform-set aes esp-aes 256 esp-sha-hmac mode tunnel crypto ipsec profile prof1 set transform-set aes set isakmp-profile prof1 crypto ipsec profile prof2 set transform-set aes set isakmp-profile prof2 interface Virtual-Template1 type tunnel ip unnumbered Ethernet0/0 tunnel mode ipsec ipv4 tunnel protection ipsec profile prof1 interface Virtual-Template2 type tunnel ip unnumbered Ethernet0/0 tunnel mode ipsec ipv4 tunnel protection ipsec profile prof2 ip local pool POOL 10.10.10.10 10.10.10.15 이것은그룹잠금확인이 GROUP1 에대해활성화되었음을보여줍니다. GROUP1 의경우, 허용된사용자는 cisco1@group1 뿐입니다. GROUP2( 그룹잠금없음 ) 의경우두사용자모두로그인할수있습니다. 인증에성공하려면 cisco1@group1 을 GROUP1 과함께사용하십시오. *May 19 18:21:37.983: ISAKMP:(0): Profile prof1 assigned peer the group named GROUP1 *May 19 18:21:40.595: ISAKMP/author: Author request for group GROUP1successfully sent to AAA 인증을위해 GROUP1 과함께 cisco2@group2 을사용합니다. *May 19 18:24:10.210: ISAKMP:(1011):User Authentication in this group failed

Cisco IOS AAA ipsec: Easy VPN 용 user-vpn-group ipsec:user-vpn-group 은 AAA 서버에서반환한 RADIUS 특성이며사용자인증에만적용할수있습니다 ( 그룹에그룹잠금이사용됨 ). 두기능모두상호보완적이며서로다른단계에적용됩니다. 자세한내용은 Easy VPN Configuration Guide, Cisco IOS Release 15M&T 를참조하십시오. 그룹잠금과다르게작동하며동일한결과를얻을수있습니다. 차이점은특성에특정값 ( 예 : ASA 의경우 ) 이있어야하며해당특정값을 ISAKMP(Internet Security Association and Key Management Protocol) IKEID(Group Name) 와비교한다는것입니다. 일치하지않으면연결이실패합니다. 다음은클라이언트 AAA 인증을위해이전예를변경하고지금은그룹잠금을비활성화하는경우발생하는작업입니다. username cisco password 0 cisco #for testing aaa authentication login AAA group radius crypto isakmp client configuration group GROUP1 no group-lock crypto isakmp client configuration group GROUP2 no group-lock crypto isakmp profile prof1 client authentication list AAA crypto isakmp profile prof2 client authentication list AAA 사용자에대해 ipsec:user-vpn-group 특성이정의되고그룹에대해 group-lock 이정의됩니다. ACS 에는 cisco1 과 cisco2 라는두명의사용자가있습니다. cisco1 사용자의경우이속성이반환됩니다.ipsec:user-vpn-group=GROUP1. cisco2 사용자의경우이속성이반환됩니다. ipsec:uservpn-group=group2. cisco2 사용자가 GROUP1 을사용하여로그인을시도하면다음오류가보고됩니다. debug radius verbose debug crypto isakmp debug crypto isakmp aaa *May 19 19:44:10.153: RADIUS: Cisco AVpair [1] 29 "ipsec:user-vpn-group=group2" *May 19 19:44:10.153: RADIUS(00000055): Received from id 1645/23 AAA/AUTHOR/IKE: Processing AV user-vpn-group *May 19 19:44:10.154: AAA/AUTHOR/IKE: User group GROUP2 does not match VPN group GROUP1 - access denied 이는 cisco2 사용자의 ACS 가 ipsec:user-vpn-group=group2 를반환하기때문입니다. 이는 Cisco IOS 와 GROUP1 의비교결과입니다. 이렇게하면그룹잠금에대한동일한목표가달성됩니다. 이제최종사용자가 user@group 을사용자이름으로제공할필요는없지만 @group 없이사용자를사용할수있습니다. Cisco IOS 가마지막부품 (@ 이후 ) 을제거하고 IKEID( 그룹이름 ) 와비교했으므로그룹잠금에는 cisco1@group1 을사용해야합니다. ipsec:user-vpn-group 의경우해당사용자가 ACS 에정의되어있고특정 ipsec:user-vpn-group 이반환되고 ( 이경우사용자 -vpn-group = GROUP1) 해당특성이 IKEID 와비교되므로 Cisco VPN 클라이

언트에서 cisco1 만사용할수있습니다. Cisco IOS AAA ipsec: user-vpn-group 및 Group-lock for Easy VPN 두기능을동시에사용하지않는이유는무엇입니까? 그룹잠금을다시추가할수있습니다. crypto isakmp client configuration group GROUP1 group-lock crypto isakmp client configuration group GROUP2 group-lock 플로우는다음과같습니다. 1. Cisco VPN 사용자는 GROUP1 연결을구성하고연결합니다. 2. 적극적인모드단계가성공했으며 Cisco IOS는사용자이름및비밀번호에대해 xauth 요청을전송합니다. 3. Cisco VPN 사용자는팝업을수신하고 ACS에정의된올바른비밀번호로 cisco1@group1 사용자이름을입력합니다. 4. Cisco IOS는그룹잠금을확인합니다. 사용자이름에제공된그룹이름을제거하고 IKEID와비교합니다. 성공적이다. 5. Cisco IOS는 ACS 서버에 AAA 요청을보냅니다 ( 사용자 cisco1@group1). 6. ACS는 ipsec:user-vpn-group=group1을사용하여 RADIUS-Accept를반환합니다. 7. Cisco IOS 는두번째확인을수행합니다. 이번에는 RADIUS 특성에서제공한그룹을 IKEID 와비교합니다. 4 단계 ( 그룹잠금 ) 에서오류가발생하면자격증명을제공한후즉시오류가기록됩니다. *May 19 20:14:31.678: ISAKMP/xauth: reply attribute XAUTH_USER_NAME_V2 *May 19 20:14:31.678: ISAKMP/xauth: reply attribute XAUTH_USER_PASSWORD_V2 *May 19 20:14:31.678: ISAKMP:(1041):User Authentication in this group failed 7 단계 (ipsec:user-vpn-group) 에서장애가발생하면 AAA 인증을위한 RADIUS 특성을수신한후오류가반환됩니다. AAA/AUTHOR/IKE: User group GROUP2 does not match VPN group GROUP1 - access denied IOS Webvpn 그룹잠금 ASA 에서 Tunnel-Group-Lock 을모든원격액세스 VPN 서비스 (IPSec, SSL, WebVPN) 에사용할수있습니다. Cisco IOS 그룹잠금및 ipsec:user-vpn-group 의경우 IPSec(easy VPN 서버 ) 에서만작동합니다. 특정 WebVPN 컨텍스트 ( 및연결된그룹정책 ) 에서특정사용자를그룹잠그려면인증도메인을사용해야합니다.

예를들면다음과같습니다. aaa new-model aaa authentication login LIST local username cisco password 0 cisco username cisco1@c1 password 0 cisco username cisco2@c2 password 0 cisco webvpn gateway GW ip address 10.48.67.137 port 443 http-redirect port 80 logging enable inservice webvpn install svc flash:/webvpn/anyconnect-win-3.1.02040-k9.pkg sequence 1 webvpn context C1 ssl authenticate verify all policy group C1 functions file-access functions file-browse functions file-entry functions svc-enabled svc address-pool "POOL" svc default-domain "cisco.com" svc keep-client-installed default-group-policy C1 aaa authentication list LIST aaa authentication domain @C1 gateway GW domain C1 #accessed via https://ip/c1 logging enable inservice webvpn context C2 ssl authenticate verify all url-list "L2" heading "Link2" url-text "Display2" url-value "http://2.2.2.2" policy group C2 url-list "L2" default-group-policy C2 aaa authentication list LIST aaa authentication domain @C2 gateway GW domain C2 logging enable inservice #accessed via https://ip/c2 ip local pool POOL 7.7.7.10 7.7.7.20 다음예에서는두개의컨텍스트가있습니다.C1 및 C2. 각컨텍스트에는특정설정을가진고유한그룹정책이있습니다.C1 에서는 AnyConnect 액세스를허용합니다. 게이트웨이는두컨텍스트를모두수신하도록구성됩니다.C1 및 C2. cisco1 사용자가 https://10.48.67.137/c1 을사용하여 C1 컨텍스트에액세스하면인증도메인은 C1 을추가하고로컬로정의된 ( 목록 LIST) cisco1@c1 사용자이름에대해인증합니다.

debug webvpn aaa debug webvpn *May 20 16:30:07.518: WV: validated_tp : cert_username : matched_ctx : *May 20 16:30:07.518: WV-AAA: AAA authentication request sent for user: "cisco1" *May 20 16:30:07.518: WV: ASYNC req sent *May 20 16:30:07.518: WV-AAA: AAA Authentication Passed *May 20 16:30:07.518: %SSLVPN-5-LOGIN_AUTH_PASSED: vw_ctx: C1 vw_gw: GW remote_ip: 10.61.218.146 user_name: cisco1, Authentication successful, user logged in *May 20 16:30:07.518: WV-AAA: User "cisco1" has logged in from "10.61.218.146" to gateway "GW" context "C1" C1 컨텍스트 (https://10.48.67.137/c1) 에액세스하는동안사용자이름으로 cisco2 를사용하여로그인하려고하면이오류가보고됩니다. *May 20 16:33:56.930: WV: validated_tp : cert_username : matched_ctx : *May 20 16:33:56.930: WV-AAA: AAA authentication request sent for user: "cisco2" *May 20 16:33:56.930: WV: ASYNC req sent *May 20 16:33:58.930: WV-AAA: AAA Authentication Failed *May 20 16:33:58.930: %SSLVPN-5-LOGIN_AUTH_REJECTED: vw_ctx: C1 vw_gw: GW remote_ip: 10.61.218.146 user_name: cisco2, Failed to authenticate user credentials 정의된 cisco2@c1 사용자가없기때문입니다.cisco 사용자는어떤컨텍스트에도로그인할수없습니다. 다음을확인합니다. 현재이구성에대해사용가능한확인절차가없습니다. 문제해결 현재이컨피그레이션에사용할수있는특정문제해결정보가없습니다. 관련정보

Easy VPN 컨피그레이션가이드, Cisco IOS 릴리스 15M&T Cisco ASA Series VPN CLI 컨피그레이션가이드, 9.1 기술지원및문서 Cisco Systems