RADIUS を使用した Windows 2008 NPS サーバ
(Active Directory)に対する ASA VPN ユーザ
認証の設定例
目次
概要
前提条件
要件
使用するコンポーネント
設定
ネットワーク図
設定
ASDM の設定
CLI 設定
NPS 設定の Windows 2008 サーバ
確認
ASA のデバッグ
トラブルシューティング
概要
レガシー Cisco VPN Client/AnyConnect/Clientless WebVPN ユーザがアクティブ ディレクトリに
対して認証されるようにこの資料に RADIUSプロトコルの Microsoft Windows 2008 ネットワーク
ポリシー サーバ(NPS)と通信するために適応型セキュリティ アプライアンス(ASA)ソフト
ウェア設定する方法を(ASA)説明されています。 NPS は Windows 2008 サーバによって提示
されるサーバ役割の 1 つです。 それは Windows 2003 サーバと同等、リモート ダイヤルイン ユ
ーザ 認証を提供する RADIUSサーバの実装の IAS (Internet Authentication Service)です。 同様
に、Windows 2008 サーバで、NPS は RADIUSサーバの実装です。 基本的には、ASA は NPS
RADIUSサーバへ RADIUSクライアントです。 ASA は VPN ユーザに代わって Radius
Authentication 要求を送信 し、NPS はアクティブ ディレクトリに対してそれらを認証します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
バージョン 9.1(4)を実行する ASA
●アクティブ ディレクトリ ディレクトリー・サービスを用いる Windows 2008 R2 サーバおよ
びインストールされる NPS 役割
●このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 こ
のドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始して
います。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく
必要があります。
設定
注: このセクションで使用されているコマンドの詳細を調べるには、
Command Lookup
Tool
(
登録
ユーザ専用)を使用してください。
ネットワーク図
設定
ASDM の設定
NPS 認証が必要となるトンネル グループを選択して下さい。
1.
基本を『Edit』 をクリック し、選択して下さい。
2.
Authentication セクションで、『Manage』 をクリック して下さい。
3.
AAA サーバ グループでは区分して下さい、『Add』 をクリック して下さい。
4.
AAAサーバグループ フィールドでは、サーバグループの名前を入力して下さい(たとえば
、NPS)。
5.
プロトコル ドロップダウン リストから、『RADIUS』 を選択 して下さい。
6.
[OK] をクリックします。
7.
選択したグループ セクションのサーバでは、追加される AAAサーバグループを選択し、『
Add』 をクリック して下さい。
8.
サーバ名か IP Address フィールドでは、サーバのIPアドレスを入力して下さい。
9.
サーバシークレット Key フィールドでは、秘密鍵を入力して下さい。
10.
サーバが別のポートで受信しなかったらデフォルト値でサーバ認証 ポートおよびサーバ ア
カウンティングポート フィールドを残して下さい。
11.
[OK] をクリックします。
12.
[OK] をクリックします。
13.
AAAサーバグループ ドロップダウン リストから、前の手順に追加されるグループ(この例
の NPS)を選択して下さい。
14.
[OK] をクリックします。
15.
CLI 設定
aaa-server NPS protocol radius
aaa-server NPS (inside) host 10.105.130.51 key *****
tunnel-group TEST type remote-access tunnel-group TEST general-attributes address-pool test
authentication-server-group (inside) NPS tunnel-group TEST webvpn-attributes group-alias TEST enable
ip local pool test 192.168.1.1-192.168.1.10 mask 255.255.255.0
デフォルトで、ASA は非暗号化 パスワード 認証プロトコル(PAP)認証種別を使用します。 こ
れは RADIUS要求 パケットを送信 するとき ASA が平文のパスワードを送信することを意味しま
せん。 むしろ、プレーンテキストのパスワードは RADIUS 共有秘密と暗号化されます。
パスワード管理がトンネル グループの下で有効に なる場合、ASA はプレーンテキストのパスワ
ードを暗号化するために MSCHAP-v2 認証種別を使用します。 このような場合 Microsoft
CHAPv2 可能なチェックボックスが ASDM コンフィギュレーションセクションで設定される編集
AAAサーバ ウィンドウ チェックインされるように、して下さい。
tunnel-group TEST general-attributes address-pool test authentication-server-group (inside) NPS password-management
注: テスト aaa-server 認証コマンドは PAP を常に使用します。 ユーザが始まるときだけ有
効に なる パスワード管理が付いているトンネル グループへの接続は ASA 使用
MSCHAP-v2 をします。 また、「パスワード管理[パスワード切ら日日]」オプションは Lightweight
Directory Access Protocol (LDAP)でだけサポートされます。 RADIUS はこの機能を提供
しません。 パスワードがアクティブ ディレクトリで既に切れている場合パスワードがオプ
ション切れるが表示されます。
NPS 設定の Windows 2008 サーバ
NPS サーバ役割ははずでインストールされ、Windows 2008 サーバで動作しますである。 そうで
なかったら、> 管理ツール > ロール サービス サーバー ロールの > Add 『Start』 を選択 して下
さい。 ネットワーク ポリシー サーバを選択し、ソフトウェアをインストールして下さい。 NPS
サーバ役割がインストールされていたら、NPS を ASA からの Radius Authentication 要求を受け
入れ、処理するために設定するためにこれらのステップを完了して下さい:
NPS サーバの RADIUSクライアントとして ASA を追加して下さい。 > ネットワーク ポリ
シー サーバ 『Administrative Tools』 を選択 して下さい。RADIUSクライアントを右クリッ
クし、『New』 を選択 して下さい。
表示名、ASA で設定されるアドレス(IP か DNS)、および共有秘密を入力して下さい。
1.
[Advanced] タブをクリックします。ベンダー名 ドロップダウン リストから、規格を『
RADIUS』 を選択 して下さい。[OK] をクリックします。
VPN ユーザ向けの新しい接続 要求 ポリシーを作成して下さい。 接続要求 ポリシーの目的
は RADIUSクライアントからの要求がローカルで処理されるか、またはリモートRADIUSサ
ーバに転送されるべきであるかどうか規定 することです。 の下で NPS > ポリシーは、接続
要求ポリシーを右クリックし、新しいポリシーを作成します。ネットワークの種類 アクセ
ス サーバ ドロップダウン リストから、明記していない選択して下さい。
2.
条件タブをクリックして下さい。[Add] をクリックします。「クライアント IPv4 アドレス」
状態として ASA の IP アドレスを入力して下さい。
Settings タブをクリックして下さい。フォワーディング 接続要求の下で、認証を選択して下
さい。 この Serverオプション・ボタンの認証する 要求を選択されます確認して下さい。
[OK] をクリックします。
どのユーザが認証を受けることができるか規定できるネットワーク ポリシーを追加して下
さい。たとえば、状態としてアクティブ ディレクトリ ユーザグループを追加できます。 に
指定されたウィンドウ属するそれらのユーザだけこのポリシーの下で認証されますグループ
化します。NPS の下で、『Policies』 を選択 して下さい。ネットワーク ポリシーを右クリ
ックし、新しいポリシーを作成して下さい。グラントを確認して下さいアクセス オプショ
ン ボタンが選択される。ネットワークの種類 アクセス サーバ ドロップダウン リストから
、明記していない選択して下さい。
3.
条件タブをクリックして下さい。[Add] をクリックします。ASA の IP アドレスをようにク
ライアント IPv4 アドレス状態入力して下さい。VPN ユーザが含まれているアクティブ ディ
レクトリ ユーザグループを入力して下さい。
制約タブをクリックして下さい。認証方式を選択して下さい。非暗号化認証(PAP、
SPAP)チェックボックスをチェックされます確認して下さい。[OK] をクリックします。
グループ ポリシー アトリビュート(NPS RADIUSサーバからの 25) アトリビュートを渡して下さい
グループ ポリシーが NPS RADIUSサーバとユーザに動的に割り当てられる必要がある場合、グ
ループ ポリシー RADIUS特性(アトリビュートは 25)利用することができます。
ユーザにグループ ポリシーの動的割り当てのための RADIUS特性 25 を送るためにこれらのステ
ップを完了して下さい。
ネットワーク ポリシーが追加された後、要求されたネットワーク ポリシーを右クリックし
、Settings タブをクリックして下さい。
1.
属性 > 規格を『RADIUS』 を選択 して下さい。 [Add] をクリックします。 すべてとしてア
クセス タイプを残して下さい。
2.
属性ボックスで、クラスを選択し、『Add』 をクリック して下さい。 ストリングとして属
性値を、すなわち、グループ ポリシーの名前入力して下さい。 この名前のグループ ポリシ
ーが ASA で設定されなければならないことを覚えていて下さい。 これは RADIUS 応答のこ
のアトリビュートを受け取った後 ASA が VPN セッションにそれを割り当てるようにありま
す。
3.
確認
ここでは、設定が正常に動作していることを確認します。
注:
debug
コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください
ASA デバッグ
ASA のイネーブル debug radius すべて。
ciscoasa# test aaa-server authentication NPS host 10.105.130.51 username vpnuser password INFO: Attempting Authentication test to IP address <10.105.130.51> (timeout: 12 seconds) radius mkreq: 0x80000001
alloc_rip 0x787a6424
new request 0x80000001 --> 8 (0x787a6424) got user 'vpnuser'
got password
add_req 0x787a6424 session 0x80000001 id 8 RADIUS_REQUEST
radius.c: rad_mkpkt
RADIUS packet decode (authentication request)
---Raw packet data (length = 65)...
01 08 00 41 c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f | ...A...~m... 40 50 a8 36 01 09 76 70 6e 75 73 65 72 02 12 28 | @P.6..vpnuser..( c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43 04 | .h...Z.oC. 06 0a 69 82 de 05 06 00 00 00 00 3d 06 00 00 00 | ..i...=.... 05 | .
Parsed packet data... Radius: Code = 1 (0x01) Radius: Identifier = 8 (0x08) Radius: Length = 65 (0x0041)
Radius: Vector: C41BAB1AE37E6D12DA876F7F4050A836 Radius: Type = 1 (0x01) User-Name
Radius: Length = 9 (0x09) Radius: Value (String) =
76 70 6e 75 73 65 72 | vpnuser Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12) Radius: Value (String) =
28 c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43 | (.h...Z.oC Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 10.105.130.52 (0x0A6982DE) Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06) Radius: Value (Hex) = 0x0
Radius: Type = 61 (0x3D) NAS-Port-Type Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5 send pkt 10.105.130.51/1645 rip 0x787a6424 state 7 id 8
rad_vrfy() : response message verified rip 0x787a6424 : chall_state '' : state 0x7 : reqauth: c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f 40 50 a8 36 : info 0x787a655c session_id 0x80000001 request_id 0x8 user 'vpnuser' response '***' app 0 reason 0
skey 'cisco' sip 10.105.130.51 type 1
RADIUS packet decode (response)
---Raw packet data (length = 78)...
02 08 00 4e e8 88 4b 76 20 b6 aa d3 0d 2b 94 37 | ...N..Kv ....+.7 bf 9a 6c 4c 07 06 00 00 00 01 06 06 00 00 00 02 | ..lL... 19 2e 9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a | ...7...j 2c bf 00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf | ,...<..n...@.. 1e 3a 18 6f 05 81 00 00 00 00 00 00 00 03 | .:.o...
Parsed packet data... Radius: Code = 2 (0x02) Radius: Identifier = 8 (0x08) Radius: Length = 78 (0x004E)
Radius: Vector: E8884B7620B6AAD30D2B9437BF9A6C4C Radius: Type = 7 (0x07) Framed-Protocol
Radius: Length = 6 (0x06) Radius: Value (Hex) = 0x1
Radius: Type = 6 (0x06) Service-Type Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x2 Radius: Type = 25 (0x19) Class Radius: Length = 46 (0x2E) Radius: Value (String) =
9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a 2c bf | ...7...j,. 00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf 1e 3a | ....<..n...@...: 18 6f 05 81 00 00 00 00 00 00 00 03 | .o... rad_procpkt: ACCEPT
RADIUS_ACCESS_ACCEPT: normal termination
RADIUS_DELETE
remove_req 0x787a6424 session 0x80000001 id 8 free_rip 0x787a6424
radius: send queue empty
INFO: Authentication Successful
トラブルシューティング
ここでは、設定のトラブルシューティングに役立つ情報について説明します。
ASA 確認して下さいと NPS サーバ間の接続をよいです。サーバが到達可能どこにからであ
るか)認証要求を確認するためにパケットキャプチャを残します ASA インターフェイスを加
えて下さい(。 それを確認するためにパスのデバイスが UDP ポート 1645 (デフォルト ラ
ジウス 認証 ポート)を達する NPS サーバにブロックしないことを確認して下さい。 ASA
のパケットキャプチャに関する詳細は
ASA/PIX/FWSM
で見つけることができます
: CLI およ
び ASDM 設定例を使用してキャプチャ する パケット
。
●認証がそれでも失敗した場合、ウィンドウ NPS のイベント ビューアを検知 して下さい。 イ
ベント ビューア > ウィンドウ ログの下で、『Security』 を選択 して下さい。 認証要求の時
のまわりに NPS と関連付けられるイベントを探して下さい。
●イベント プロパティを開けば、例に示すように失敗については原因を見られますはずです。
この例では、PAP はネットワーク ポリシーの下の認証種別として選択されませんでした。
それ故に、認証要求は失敗します。
Log Name: SecuritySource: Microsoft-Windows-Security-Auditing Date: 2/10/2014 1:35:47 PM
Event ID: 6273
Task Category: Network Policy Server Level: Information
Keywords: Audit Failure User: N/A
Computer: win2k8.skp.com Description:
Network Policy Server denied access to a user.
Contact the Network Policy Server administrator for more information.
User:
Security ID: SKP\vpnuser Account Name: vpnuser Account Domain: SKP
Fully Qualified Account Name: skp.com/Users/vpnuser
Client Machine:
Security ID: NULL SID Account Name:
Fully Qualified Account Name: OSVersion:
Called Station Identifier: Calling Station Identifier:
-NAS:
NAS IPv4 Address: 10.105.130.69 NAS IPv6 Address:
NAS Identifier: NAS Port-Type: Virtual NAS Port: 0
RADIUS Client:
Client Friendly Name: vpn
Authentication Details:
Connection Request Policy Name: vpn Network Policy Name: vpn
Authentication Provider: Windows Authentication Server: win2k8.skp.com
Authentication Type: PAP
EAP Type:
Account Session Identifier:
Logging Results: Accounting information was written to the local log file. Reason Code: 66
Reason: The user attempted to use an authentication method that is