Cisco anyconnect android импорт сертификата

Cisco anyconnect android импорт сертификата

Предварительные требования:

  • Домен с установленным и настроенным УЦ типа Standalone, т.к потребуется выдавать сертификат по запросу с ASA, версия Enterprise не может выдавать сертификат без существующего шаблона.
  • Установленный и настроенный Cisco ASA.
  • Развернутая и настроенная система Indeed AM с компонентом Indeed AM NPS Radius.
  • Токен с установленным валидным сертификатом.

Запрос и установка сертификатов

Корневой сертификат

  1. Для аутентификации с использованием сертификатов потребуется экспортировать корневой сертификат домена на ASA. Откройте менеджер управления УЦ. Нажмите правой кнопкой мыши по УЦ и выберете “ Properties ”.
  2. На вкладке “ General ” нажмите “ View Certificate ”.
  3. В окне “ Certificate ” выберете вкладку “ Details ” и нажмите “ Copy to File. ”.
  4. Выберете формат “ Base-64 ” и сохраните в файл.
  5. Откройте ASDM и выберите «Configuration»→»Device Management»→»Certificate Management»→»CA Certificates»→»Add».
  6. Выберете “ Install from a file ”, нажмите “ Browse ” и выберете корневой сертификат УЦ.

Сертификат для ASA

  1. Откройте ASDM и выберите «Configuration»→»Device Management»→»Certificate Management»→»Identity Certificates»→»Add» .
  2. Выберете “ Add a new identity certificate ” и нажмите “ Add Certificate ”.
  3. Укажите путь для сохранения файла запроса и нажмите “ ОК ”.
  4. Откройте менеджер управления УЦ. Нажмите правой кнопкой мыши по УЦ -> All Tasks -> Submit new request.
  5. Выберете файл запроса сертификата для ASA.
  6. Перейдите в раздел «Pending requests», нажмите правой кнопкой мыши по заявке и выберете «All Tasks»→»Issue».
  7. Перейдите в раздел «Issued Certificates»и выберете выданный сертификат для ASA.
  8. В окне “Certificate” выберете вкладку “ Details ” и нажмите “ Copy to File. ”.
  9. Выберете формат “ Base-64 ” и сохраните в файл.
  10. Откройте ASDM «Configuration»→»Device Management»→»Certificate Management»→»Identity Certificates», выберите созданный запрос и нажмите » Install «.
  11. Выберете файл сертификата и нажмите “ InstallCertificate ”.
  12. Нажмите “ Apply ”, чтобы сохранить изменения.

Настройка Cisco ASA

  1. Откройте ASDM «Configuration»→»Remote access VPN»→»AAA/Local Users»→»AAA Server Groups» и нажмите “Add”.
  2. В окне “ Add AAA Server Group ” укажите:
    1. AAA Server Group — Произвольное название для группы.
    2. Protocol — Radius
    3. Нажмите “ OK ”.
  3. Для созданной группы в блоке “ Servers in the Selected Group ” нажмите “ Add ”.
  4. Укажите данные для подключения к серверу с ролью NPS.
  5. Откройте ASDM «Configuration»→»Remote access VPN»→»Network client Access»→»AnyConnect Connection Profiles»
  6. Установите параметр » Enable Cisco AnyConnect VPN Client access on the interfaces selected in the table below » (После включения потребуется добавить пакеты с AnyConnect формата *.pkg ). Также необходимо разрешить подключение через входной интерфейс.
  7. Для профиля “DefaultWEBVPNGroup” установите опцию SSL Enabled и нажмите “Edit”.
  8. В поле “ Method ” выберете “ AAA and certificate ”.
  9. В поле “ AAA Server Group ” выберете созданную ранее группу для Radius.
  10. В поле “ DNS Servers “ укажите Ip адрес DNS сервера и нажмите “ OK ”.
  11. Нажмите “ Apply ” чтобы применить изменения.

Настройка NPS сервера

В данной инструкции подразумевается, что в инфраструктуре есть NPS сервер с установленным и настроенным компонентом Indeed AM NPS Radius.

Читайте также:  Рейтинг блокировщиков рекламы для андроид 2021

Для аутентификации должны использоваться и указываться провайдеры поддерживающиеся в сценарии с 1FA.

  1. Откройте оснастку NPS и выберете “ Connection Request Policies ”.
  2. Откройте основную используемую политику.
  3. Откройте вкладку “ Settings ”, выберете “ Authentication ” и установите параметр “ Accept users without validating credentials ”. Внимание! У всех пользователей должны быть обучены аутентификаторы. В данном сценарии отключена проверка кредов на стороне Radius и осуществляется проверка только OTP пользователя на Indeed AM Server
  4. Сохраните настройки и перезапустите службу NPS.

Источник

Cisco anyconnect android импорт сертификата

В этом документе описывается способ применения самостоятельно подписанных сертификатов, разрешающих удаленный доступ подключений SSL VPN к ASA из клиента Cisco AnyConnect 2.0.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Базовая конфигурация ASA, где запущено ПО версии 8.0;

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Cisco ASA 8.0(2), ASDM 6.0 (2),

Cisco AnyConnect 2.0.

Условные обозначения

Общие сведения

Клиент Cisco AnyConnect 2.0 — это клиент VPN, работающий на базе SSL. Клиент AnyConnect можно использовать и устанавливать в самых разных операционных системах (таких как Windows 2000, XP, Vista, Linux (разные дистрибутивы) и MAC OS X). Системный администратор может установить клиент AnyConnect вручную на удаленный компьютер. Его также можно загрузить в устройство обеспечения безопасности и подготовить для загрузки удаленными пользователями. После загрузки приложение можно автоматически удалить вслед за разрывом подключения либо оставить на удаленном компьютере для будущих подключений SSL VPN. В этом примере клиент AnyConnect подготавливается к загрузке после успешной аутентификации SSL на основе браузера.

Дополнительные сведения о клиенте AnyConnect 2.0 см. в документе Заметки о выпуске AnyConnect 2.0.

Примечание.Службы терминалов Майкрософт не поддерживают совместную работу с клиентом AnyConnect. Невозможно подключиться по протоколу удаленного рабочего стола (RDP) к компьютеру, а затем запустить сеанс AnyConnect. К клиенту, подключенному с помощью AnyConnect, невозможно подключиться с помощью RDP.

Примечание.При первой установке AnyConnect необходимо, чтобы пользователь обладал правами администратора (независимо от того, используется ли отдельный пакет MSI для AnyConnect или передается PKG-файл из ASA). Если у пользователя нет прав администратора, появляется диалоговое окно с соответствующим требованием. Последующие обновления не потребуют наличия прав администратора у пользователя, ранее установившего AnyConnect.

Настройка

Чтобы настроить ASA для доступа через VPN с помощью любого клиента AnyConnect, выполните следующие действия.

Источник

Настройка Cisco AnyConnect VPN with 2FA (ActiveDirectory and Certificate) через ASDM

Сразу хочу отметить, — не собираюсь устраивать холивар на счет того, что лучше — ASDM or console: на вкус и цвет все фломастеры разные…Я предпочитаю ASDM и настройки такого плана произвожу именно через нее. Поэтому статья будет насыщенна картинками (скринами)

Итак, приступим. Начнем с настройки LDAP сервера (в нашем случае это DC ActiveDirectory), для этого переходим в Configuration > DeviceManagement > Users/AAA > AAA Server Groups и создаем группу, назовем ее OFFICE, Protocol указываем LDAP


Configuration Cisco ASA AAA Server Groups

Для того, чтобы добавить сервер в созданную группу, нам необходимо предварительно создать LDAP Atribute Map. Для этого переходим в соответствующий раздел: Configuration > DeviceManagement > Users/AAA >LDAP Attribute Map и создаем новую карту: в нашем случае это Map Name: AD, Mapping of Attribute Name > LDAP Attribute Name: memberOf, Cisco Attribute Name: IETF-Radius-Class

Читайте также:  Android get file from asset


LDAP Attribute Map

Теперь можно добавить сервер (настроить подключение к контроллеру домена), указываем интерфейс, через который будем подключаться, IP адрес DC, Server Type: Microsoft, Base DN, Naming Attribute: sAMAccountName, Login DN, Login Password, только что созданную карту LDAP Attribute Map: AD, Group Base DN:


AAA Server — Microsoft DC
Add AAA Server

После добавления сервера делаем проверку, проходим аутентификацию учетной записью AD:

Test AAA Server — Authentication

Теперь можно добавить сертификат удостоверяющего центра (используется Microsoft CA, в рамках статьи о его настройке рассказывать не буду, единственное о чем следует обязательно помнить: Cisco ASA не воспринимает сертификаты с Signature algorithm RSASSA-PSS, который Microsoft предлагает использовать по умолчанию. мы меняли на sha512RSA):

Identity Certificates Signature algorithm RSASSA-PSS — sha512

Переходим Configuration > DeviceManagement >Certificate Management > Identity Certificates и импортируем в формате PKCS12 (*.pfx сертификат + private key):


Identity Certificates Signature algorithm sha512RSA (ECDSA 521 bits)

С подготовительными действиями закончили, можно переходить к настройке профилей для AnyConnect VPN. Для примера, будем использовать 2 профиля, у которых будут разные IP Address Pools и соотв. ACL, Dynamic Access Policies, Group Policies и соответственно 2 группы ActiveDirectory. При подключении пользователей по ВПН используем политику «Туннелирование только указанных сетей», так называемый Split Tunneling, чтобы не гнать весь пользовательский траффик через впн. Но это «на любителя», может кому-то, наоборот, такое потребуется — последнее время это очень актуально 😉

Начнем с IP Address Pools, для этого переходим в Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Pools

Создадим пул адресов (сегмент) для администраторов (назовем, например VPN_Admins):


Address Assignment — Address Pools

Далее создадим политику (это основная часть настроеек профиля, в которой можно задат: протоколы, которые будут использоваться для туннелей, время доступа, количество одновременных логинов, закрыть доступы к определенным VLAN, выставить таймауты, задать DNS серверы, настроить Split Tunneling, клиентский файерволл и тд и тп) — в общем этой настройке следует уделить особое внимание! Итак, начнем: Configuration > Remote Access VPN > Network (Client) Access > Group Policies, Add Internal Group Policy

Все выставленные параметры сугубо индивидуальны — в нашем случае немного параноидальны Указаны протоколы, которые допускаются для создания туннеля (Tunneling Protocols), временной период для доступа по ВПН (Access Hours), количество одновременных подключений с одной учетной записью (Simultaneous Logins), максимальное время для сеанса и пр.:


Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Add Internal Group Policy

Следующая полезная настройка — вкладка Servers, в которой мы можем указать внутр. ДНС серверы, для пользователей ВПН AnyConnect, чтобы они могли обращаться к внутренним ресурсам по имени:


Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy — Servers

Теперь перейдем к еще одной интересной опции — настройке Split Tunneling. Как я уже писал ранее — будем использовать политику «туннелирование только указанных сетей» (мы не заворачиваем в туннель весь траффик пользователей и разрешаем доступ к локальным ресурсам — опция «Local Lan Access» далее будет отдельно рассмотрена):


Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy > Advanced > Split Tunneling >

Читайте также:  Звуковые сигналы для android

Ранее мы указали к каким сетям\хостам мы разрешили доступ, теперь ограничим доступ к ним по протоколам\портам (еще один ACL):


Configuration > Remote Access VPN > Network (Client) Access > Group Policies > Edit Internal Group Policy > Advanced > AnyConnect Client > Client Firewall > Private Network Rule

В итоге, после подключения к впн AnyConnect клиентом, можно увидеть маршруты в сторону туннеля и правила файерволла:


AnyConnect Client > Route Details


AnyConnect Client > Firewall

Теперь можно перейти непосредственно к созданию профиля AnyConnect, переходим Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles >, Add AnyConnect Connection Profile

и указываем: Name, Aliases, далее Authentication Method (AAA and certificate), AAA Server Group, Client Address Pools, Group Policy — все созданное ранее!


Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles > Add AnyConnect Connection Profile > Basic

И теперь небольшой «лайфхак» — мы из пользовательского сертификата вытащим значение E-mail и с помощью регулярки (.*)@ отрежем от него @domain.ru
(значение E-mail должно быть %AD username%@somedomain.ru ) и подставим его в поле Username при подключении.


Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Connection Profiles > Add AnyConnect Connection Profile > Advanced > Authentication > Username Mapping from Certificate

Когда профили настроили — мы уже можем подключаться, потому как будет отрабатывать политика по умолчанию DfltAccessPolicy для всех пользователей, прошедших аутентификацию (у нее самый высокий приоритет). Мы же хотим, чтобы для разных групп ActiveDirectory использовался свой профиль и отрабатывала своя групповая политика \ политика доступа. Поэтому, переходим: Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies и запрещаем DfltAccessPolicy (на самом деле не запрещаем, а делаем Terminate с уведомлением пользователя — хорошая диагностика того, что пользователь не включен в требую группу ActiveDirectory):


Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies
Terminate connection from users who are not in the access group

После того, как политику по умолчанию запретили, — создадим новую:

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy


Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy with AAA Attributes

где g_vpn_level_01 — созданная в ActiveDirectory группа безопасности, куда мы включаем необходимые админские учетки, для подключения по ВПН AnyConnect с профилем VPN-ADMINS:


Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies > Add Dynamic Access Policy with AAA Attributes > Get AD Groups

ну и заключительный «штрих» — рекомендую сохранить созданный профиль в файл (полезно, например, для синхронизации профилей для StandBy unit при Failover конфигурации):


Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile

После того, как профиль сохранен — его можно немного «потюнинговать»: помните я говорил про опцию»Local Lan Access«? Она как раз здесь настраивается. А еще здесь же можно настроить выбор хранилища сертификатов; автообновление клиента AnyConnect; разрешить\запретить возможность подключения к компьютеру через рдп, при подключенном впн; указать версию протокола (IPv4 or IPv6 or both); параметры сертификатов и серверов; мобильные политики. В общем — есть, что «подкрутить» под ваши нужды!

Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profile > Edit

Для второй группы — «VPN-USERS» проделываем тоже самое…

Источник

Оцените статью