RADIUS を使用した Windows 2008 NPS サーバ（Active Directory）に対する ASA VPN ユーザ認証の設定例

(1)

RADIUS を使用した Windows 2008 NPS サーバ

（Active Directory）に対する ASA VPN ユーザ

認証の設定例

概要

前提条件

要件

使用するコンポーネント

設定

ネットワーク図

設定

ASDM の設定

CLI 設定

NPS 設定の Windows 2008 サーバ

確認

ASA のデバッグ

トラブルシューティング

概要

レガシー Cisco VPN Client/AnyConnect/Clientless WebVPN ユーザがアクティブディレクトリに

対して認証されるようにこの資料に RADIUSプロトコルの Microsoft Windows 2008 ネットワーク

ポリシーサーバ（NPS）と通信するために適応型セキュリティアプライアンス（ASA）ソフト

ウェア設定する方法を（ASA）説明されています。 NPS は Windows 2008 サーバによって提示

されるサーバ役割の 1 つです。それは Windows 2003 サーバと同等、リモートダイヤルインユ

ーザ認証を提供する RADIUSサーバの実装の IAS （Internet Authentication Service）です。同様

に、Windows 2008 サーバで、NPS は RADIUSサーバの実装です。基本的には、ASA は NPS

RADIUSサーバへ RADIUSクライアントです。 ASA は VPN ユーザに代わって Radius

Authentication 要求を送信し、NPS はアクティブディレクトリに対してそれらを認証します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

(2)

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

バージョン 9.1(4)を実行する ASA

●

アクティブディレクトリディレクトリー・サービスを用いる Windows 2008 R2 サーバおよ

びインストールされる NPS 役割

●

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。こ

のドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始して

います。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく

必要があります。

設定

注: このセクションで使用されているコマンドの詳細を調べるには、

Command Lookup

Tool

（

登録

ユーザ専用）を使用してください。

ネットワーク図

設定

ASDM の設定

NPS 認証が必要となるトンネルグループを選択して下さい。

1. 基本を『Edit』をクリックし、選択して下さい。

2. Authentication セクションで、『Manage』をクリックして下さい。

3.

(3)

AAA サーバグループでは区分して下さい、『Add』をクリックして下さい。

4. AAAサーバグループフィールドでは、サーバグループの名前を入力して下さい（たとえば

、NPS）。

5. プロトコルドロップダウンリストから、『RADIUS』を選択して下さい。

6. [OK] をクリックします。

7.

(4)

選択したグループセクションのサーバでは、追加される AAAサーバグループを選択し、『

Add』をクリックして下さい。

8. サーバ名か IP Address フィールドでは、サーバのIPアドレスを入力して下さい。

9. サーバシークレット Key フィールドでは、秘密鍵を入力して下さい。

10. サーバが別のポートで受信しなかったらデフォルト値でサーバ認証ポートおよびサーバア

カウンティングポートフィールドを残して下さい。

11. [OK] をクリックします。

12. [OK] をクリックします。

13. AAAサーバグループドロップダウンリストから、前の手順に追加されるグループ（この例

の NPS）を選択して下さい。

14. [OK] をクリックします。

15.

(5)

CLI 設定

aaa-server NPS protocol radius

aaa-server NPS (inside) host 10.105.130.51 key *****

tunnel-group TEST type remote-access tunnel-group TEST general-attributes address-pool test

authentication-server-group (inside) NPS tunnel-group TEST webvpn-attributes group-alias TEST enable

ip local pool test 192.168.1.1-192.168.1.10 mask 255.255.255.0

デフォルトで、ASA は非暗号化パスワード認証プロトコル（PAP）認証種別を使用します。こ

れは RADIUS要求パケットを送信するとき ASA が平文のパスワードを送信することを意味しま

せん。むしろ、プレーンテキストのパスワードは RADIUS 共有秘密と暗号化されます。

パスワード管理がトンネルグループの下で有効になる場合、ASA はプレーンテキストのパスワ

ードを暗号化するために MSCHAP-v2 認証種別を使用します。このような場合 Microsoft

CHAPv2 可能なチェックボックスが ASDM コンフィギュレーションセクションで設定される編集

AAAサーバウィンドウチェックインされるように、して下さい。

(6)

tunnel-group TEST general-attributes address-pool test authentication-server-group (inside) NPS password-management

注: テスト aaa-server 認証コマンドは PAP を常に使用します。ユーザが始まるときだけ有

効になるパスワード管理が付いているトンネルグループへの接続は ASA 使用

MSCHAP-v2 をします。また、「パスワード管理[パスワード切ら日日]」オプションは Lightweight

Directory Access Protocol （LDAP）でだけサポートされます。 RADIUS はこの機能を提供

しません。パスワードがアクティブディレクトリで既に切れている場合パスワードがオプ

ション切れるが表示されます。

NPS 設定の Windows 2008 サーバ

NPS サーバ役割ははずでインストールされ、Windows 2008 サーバで動作しますである。そうで

なかったら、> 管理ツール > ロールサービスサーバーロールの > Add 『Start』を選択して下

さい。ネットワークポリシーサーバを選択し、ソフトウェアをインストールして下さい。 NPS

サーバ役割がインストールされていたら、NPS を ASA からの Radius Authentication 要求を受け

入れ、処理するために設定するためにこれらのステップを完了して下さい:

NPS サーバの RADIUSクライアントとして ASA を追加して下さい。 > ネットワークポリ

シーサーバ『Administrative Tools』を選択して下さい。RADIUSクライアントを右クリッ

クし、『New』を選択して下さい。

表示名、ASA で設定されるアドレス（IP か DNS）、および共有秘密を入力して下さい。

1.

(7)

[Advanced] タブをクリックします。ベンダー名ドロップダウンリストから、規格を『

RADIUS』を選択して下さい。[OK] をクリックします。

(8)

VPN ユーザ向けの新しい接続要求ポリシーを作成して下さい。接続要求ポリシーの目的

は RADIUSクライアントからの要求がローカルで処理されるか、またはリモートRADIUSサ

ーバに転送されるべきであるかどうか規定することです。の下で NPS > ポリシーは、接続

要求ポリシーを右クリックし、新しいポリシーを作成します。ネットワークの種類アクセ

スサーバドロップダウンリストから、明記していない選択して下さい。

2.

(9)

条件タブをクリックして下さい。[Add] をクリックします。「クライアント IPv4 アドレス」

状態として ASA の IP アドレスを入力して下さい。

(10)

Settings タブをクリックして下さい。フォワーディング接続要求の下で、認証を選択して下

さい。この Serverオプション・ボタンの認証する要求を選択されます確認して下さい。

[OK] をクリックします。

(11)

どのユーザが認証を受けることができるか規定できるネットワークポリシーを追加して下

さい。たとえば、状態としてアクティブディレクトリユーザグループを追加できます。に

指定されたウィンドウ属するそれらのユーザだけこのポリシーの下で認証されますグループ

化します。NPS の下で、『Policies』を選択して下さい。ネットワークポリシーを右クリ

ックし、新しいポリシーを作成して下さい。グラントを確認して下さいアクセスオプショ

ンボタンが選択される。ネットワークの種類アクセスサーバドロップダウンリストから

、明記していない選択して下さい。

3.

(12)

条件タブをクリックして下さい。[Add] をクリックします。ASA の IP アドレスをようにク

ライアント IPv4 アドレス状態入力して下さい。VPN ユーザが含まれているアクティブディ

レクトリユーザグループを入力して下さい。

(13)

制約タブをクリックして下さい。認証方式を選択して下さい。非暗号化認証（PAP、

SPAP）チェックボックスをチェックされます確認して下さい。[OK] をクリックします。

(14)

グループポリシーアトリビュート（NPS RADIUSサーバからの 25）アトリビュートを渡して下さい

グループポリシーが NPS RADIUSサーバとユーザに動的に割り当てられる必要がある場合、グ

ループポリシー RADIUS特性（アトリビュートは 25）利用することができます。

ユーザにグループポリシーの動的割り当てのための RADIUS特性 25 を送るためにこれらのステ

ップを完了して下さい。

ネットワークポリシーが追加された後、要求されたネットワークポリシーを右クリックし

、Settings タブをクリックして下さい。

1.

(15)

属性 > 規格を『RADIUS』を選択して下さい。 [Add] をクリックします。すべてとしてア

クセスタイプを残して下さい。

2. 属性ボックスで、クラスを選択し、『Add』をクリックして下さい。ストリングとして属

性値を、すなわち、グループポリシーの名前入力して下さい。この名前のグループポリシ

ーが ASA で設定されなければならないことを覚えていて下さい。これは RADIUS 応答のこ

のアトリビュートを受け取った後 ASA が VPN セッションにそれを割り当てるようにありま

す。

3.

(16)

確認

ここでは、設定が正常に動作していることを確認します。

注:

debug

コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください

(17)

ASA デバッグ

ASA のイネーブル debug radius すべて。

ciscoasa# test aaa-server authentication NPS host 10.105.130.51 username vpnuser password INFO: Attempting Authentication test to IP address <10.105.130.51> (timeout: 12 seconds) radius mkreq: 0x80000001

alloc_rip 0x787a6424

new request 0x80000001 --> 8 (0x787a6424) got user 'vpnuser'

got password

add_req 0x787a6424 session 0x80000001 id 8 RADIUS_REQUEST

radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

---Raw packet data (length = 65)...

Parsed packet data... Radius: Code = 1 (0x01) Radius: Identifier = 8 (0x08) Radius: Length = 65 (0x0041)

Radius: Vector: C41BAB1AE37E6D12DA876F7F4050A836 Radius: Type = 1 (0x01) User-Name

Radius: Length = 9 (0x09) Radius: Value (String) =

76 70 6e 75 73 65 72 | vpnuser Radius: Type = 2 (0x02) User-Password

Radius: Length = 18 (0x12) Radius: Value (String) =

28 c3 68 fb 88 ad 1d f2 c3 b9 9a a9 5a fa 6f 43 | (.h...Z.oC Radius: Type = 4 (0x04) NAS-IP-Address

Radius: Length = 6 (0x06)

Radius: Value (IP Address) = 10.105.130.52 (0x0A6982DE) Radius: Type = 5 (0x05) NAS-Port

Radius: Length = 6 (0x06) Radius: Value (Hex) = 0x0

Radius: Type = 61 (0x3D) NAS-Port-Type Radius: Length = 6 (0x06)

Radius: Value (Hex) = 0x5 send pkt 10.105.130.51/1645 rip 0x787a6424 state 7 id 8

rad_vrfy() : response message verified rip 0x787a6424 : chall_state '' : state 0x7 : reqauth: c4 1b ab 1a e3 7e 6d 12 da 87 6f 7f 40 50 a8 36 : info 0x787a655c session_id 0x80000001 request_id 0x8 user 'vpnuser' response '***' app 0 reason 0

(18)

skey 'cisco' sip 10.105.130.51 type 1

RADIUS packet decode (response)

---Raw packet data (length = 78)...

02 08 00 4e e8 88 4b 76 20 b6 aa d3 0d 2b 94 37 | ...N..Kv ....+.7 bf 9a 6c 4c 07 06 00 00 00 01 06 06 00 00 00 02 | ..lL... 19 2e 9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a | ...7...j 2c bf 00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf | ,...<..n...@.. 1e 3a 18 6f 05 81 00 00 00 00 00 00 00 03 | .:.o...

Parsed packet data... Radius: Code = 2 (0x02) Radius: Identifier = 8 (0x08) Radius: Length = 78 (0x004E)

Radius: Vector: E8884B7620B6AAD30D2B9437BF9A6C4C Radius: Type = 7 (0x07) Framed-Protocol

Radius: Length = 6 (0x06) Radius: Value (Hex) = 0x1

Radius: Type = 6 (0x06) Service-Type Radius: Length = 6 (0x06)

Radius: Value (Hex) = 0x2 Radius: Type = 25 (0x19) Class Radius: Length = 46 (0x2E) Radius: Value (String) =

9a 08 07 ad 00 00 01 37 00 01 02 00 0a 6a 2c bf | ...7...j,. 00 00 00 00 3c 84 0f 6e f5 95 d3 40 01 cf 1e 3a | ....<..n...@...: 18 6f 05 81 00 00 00 00 00 00 00 03 | .o... rad_procpkt: ACCEPT

RADIUS_ACCESS_ACCEPT: normal termination

RADIUS_DELETE

remove_req 0x787a6424 session 0x80000001 id 8 free_rip 0x787a6424

radius: send queue empty

INFO: Authentication Successful

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

ASA 確認して下さいと NPS サーバ間の接続をよいです。サーバが到達可能どこにからであ

るか）認証要求を確認するためにパケットキャプチャを残します ASA インターフェイスを加

えて下さい（。それを確認するためにパスのデバイスが UDP ポート 1645 （デフォルトラ

ジウス認証ポート）を達する NPS サーバにブロックしないことを確認して下さい。 ASA

のパケットキャプチャに関する詳細は

ASA/PIX/FWSM

で見つけることができます

: CLI およ

び ASDM 設定例を使用してキャプチャするパケット

。

●

認証がそれでも失敗した場合、ウィンドウ NPS のイベントビューアを検知して下さい。イ

ベントビューア > ウィンドウログの下で、『Security』を選択して下さい。認証要求の時

のまわりに NPS と関連付けられるイベントを探して下さい。

●

(19)

イベントプロパティを開けば、例に示すように失敗については原因を見られますはずです。

この例では、PAP はネットワークポリシーの下の認証種別として選択されませんでした。

それ故に、認証要求は失敗します。

Log Name: Security

Source: Microsoft-Windows-Security-Auditing Date: 2/10/2014 1:35:47 PM

Event ID: 6273

Task Category: Network Policy Server Level: Information

Keywords: Audit Failure User: N/A

Computer: win2k8.skp.com Description:

Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:

Security ID: SKP\vpnuser Account Name: vpnuser Account Domain: SKP

Fully Qualified Account Name: skp.com/Users/vpnuser

Client Machine:

Security ID: NULL SID Account Name:

Fully Qualified Account Name: OSVersion:

Called Station Identifier: Calling Station Identifier:

-NAS:

NAS IPv4 Address: 10.105.130.69 NAS IPv6 Address:

NAS Identifier: NAS Port-Type: Virtual NAS Port: 0

RADIUS Client:

Client Friendly Name: vpn

(20)

Authentication Details:

Connection Request Policy Name: vpn Network Policy Name: vpn

Authentication Provider: Windows Authentication Server: win2k8.skp.com

Authentication Type: PAP

EAP Type:

Account Session Identifier:

Logging Results: Accounting information was written to the local log file. Reason Code: 66

Reason: The user attempted to use an authentication method that is

RADIUS を使用した Windows 2008 NPS サーバ（Active Directory）に対する ASA VPN ユーザ認証の設定例