cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
3751
Visitas
0
ÚTIL
7
Respuestas

ACS 5.3 Autenticacion Radius AD y Certificado

Hola a todos

Estoy buscando la forma de lograr a autenticacion de red mediante con mi ACS 5.3 con un usuario de AD y un certificado instalado en la maquina, pero todavia no lo he conseguido. La parte del Certificado es que el ACS valide un Certificado en la maquina, no que la maquina valide un certificado del ACS.

Estoy haciendo pruebas para con un Identity Store Sequences pero no lo he logrado, agradezco cualquier colaboracion.

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

mauzamor
Level 1
Level 1

Saludos Luis,

El ACS nunca va a aceptar un dot1x authentication con certificados si el ACS no tiene la cadena de certificados correctamente instalados, o sea el siempre verifica los certificados, el cliente es que tiene la opcion de validar o no el certificado del servidor, que en tu caso parece ser opcional.

Los certificados por lo general son utilizados para autenticaciones tipo EAP, si solo tienes un certificado me imagino que lo que estas utilizando es PEAP Mschapv2, corrigeme si estoy equivocado.

Para esto no es necesario un Identity Store Sequence, simplemente habilitas PEAP en Access Policies, luego para la parte de Identity usas "AD1", esto seria suficiente. Si lo que quieres es restringir aun mas a los usuarios a basicamente forzarlos a utilizar este metodo, entonces desde Access Policy solo habilitas PEAP como el protocolo disponible, tambien lo puedes hacer desde Service Selection Rules o desde la parte de Authorization.

Si me pudieras mandar mas detalles sobre tu escenario te podria mandar mas informacion.

Ver la solución en mensaje original publicado

7 RESPUESTAS 7

mauzamor
Level 1
Level 1

Saludos Luis,

El ACS nunca va a aceptar un dot1x authentication con certificados si el ACS no tiene la cadena de certificados correctamente instalados, o sea el siempre verifica los certificados, el cliente es que tiene la opcion de validar o no el certificado del servidor, que en tu caso parece ser opcional.

Los certificados por lo general son utilizados para autenticaciones tipo EAP, si solo tienes un certificado me imagino que lo que estas utilizando es PEAP Mschapv2, corrigeme si estoy equivocado.

Para esto no es necesario un Identity Store Sequence, simplemente habilitas PEAP en Access Policies, luego para la parte de Identity usas "AD1", esto seria suficiente. Si lo que quieres es restringir aun mas a los usuarios a basicamente forzarlos a utilizar este metodo, entonces desde Access Policy solo habilitas PEAP como el protocolo disponible, tambien lo puedes hacer desde Service Selection Rules o desde la parte de Authorization.

Si me pudieras mandar mas detalles sobre tu escenario te podria mandar mas informacion.

Mauricio Gracias por la colaboracion, y te cuento en este momento estoy en la fase de pruebas con mi  ACS aunque he tenido varios inconvenientes con ellos(se compraron dos y llegaron averiados se pidio RMA por ambos y ahora tengo un problema con uno de ellos que me dice que no tengo privilegios para ingresar el equipo al dominio y el otro si coneta normalmente con los mismos datos) en fin, y estoy haciendo pruebas para restringir el acceso a la red solicitando un certificado instalado en la maquina y un usuario del dominio.

En este momento estoy haciendo la prueba con el certificado por defecto que trae el ACS, pero no he logrado que se valide el certificado, no se si es que estoy entendiendo mal el funcionamiento de esta autenticacion.

Por lo pronto tengo configurado el ACS con vista del AD , sin problemas habilite la opcion de autenticacion de maquinas, cree la Identity Store Sequences para que valide un certificado que es el que trae por defecto el ACS y para que valide el usuario de dominio, despues de esto en el Access Policies cree una nueva en la cual habilite protocolo Radius e identidad la Identity Store Sequences y el la autorization cree una nueva regla que me valida la autenticacion del AD.

En la tarjeta del PC probe con Autenticacion-PEAP y en el metodo de autenticacion EAP-MSCHAP-V2.

Pero cuando me autentico solo me esta validando el usuario de dominio y no es obligatorio la validacion del certificado, el certificado lo exporte desde el ACS y lo instale en la maquina en Entidades de Confianza y en la Carpeta de Certificados personal.

Muchas Gracias por tu colaboracion.

Luis me parece que si hay cierta confusion aca. La parte del ACS que se llama Identity Store Sequence lo unico que hace es tener una lista de bases de datos para contactar, en donde la que este mas arriba va a tener precedencia, ejem:

"Identity Store Sequence:

AD1

Internal Users"

Lo que hace este Identity Store Sequence es contactar al AD y si el usuario no existe en esta base de datos entonces el ACS busca al usuario en la base de datos del ACS.

Debido a esto no entiendo a que te refieres con "cree la Identity Store Sequences para que valide un certificado que es el que trae por defecto el ACS "

Segundo, sino necesitas validar al usuario entonces no necesitas el certificado del lado del cliente, sin embargo me parece que lo que quieres implementar a parte de "User authentication" es tambien "Machine Authentication" para esta ultima opcion siempre vas a necesitar un certificado que sea especial para la computadora. Este certificado de la maquina tiene que llevar el nombre de la laptop y para esto no puedes utilizar el self-signed certificate del ACS, necesitas un CA externo.

Mauricio de nuevo muchas Gracias

Ya estoy haciendo las pruebas del RADIUS y pues ya entendi el concepto de la autenticacion por certificados y el Identity Store.

Ahora tengo una consulta ya que veo que tienes grandes conocimientos en este tema, quiero hacer la configuracion del multidomain para conectar los telefonos IP y los equipos estoy tratando de hacer MAB pero no se en el ACS como se debe configurar, y con que Identity Source lo debo validar.

GRacias

MAB es un tipo muy diferente de autenticacion 802.1x con respecto a "machine authentication", en este caso lo que quieres autenticar es la mac address del cliente. Por lo que esta informacion debe de estar dentro de la base de datos interna del ACS. Puedes utilizar la opcion que se llama Hosts en Users and Identity Stores, luego en la parte de Access Policies debes de habilitar la opcion llamada "Host Lookup" que se encuentra dentro de "Allowed Protocols", finalmente en la parte de Identity seleccionas Hosts como la base de datos o creas un Identity Store Sequence donde se incluya la DB Hosts.

Aca te dejo unas capturas de mi lab, y un link con mas informacion al respecto sobre este escenario en particular Luis:

http://www.security-solutions.co.za/Cisco-ACS-5.2-802.1.x-Authentication-And-Multi-Domain-Authentication-Configuration-Example.html

Mauricio tengo claro lo que dices de la diferencia entre machine autentication y MAB, lo que pasa es que ya tengo la configuracion del RADIUS para el acceso de red pero tengo telefono y PC por lo que necesito hacer la configuracion del MAB para los telefonos, pero tengo dudas con respecto a lo que dices sobre que los equipos deben estar en una Base de Datos, osea que debo tener una BD con todas las MAC de los telefonos????; lo que yo quiero hacer es validar la MAC de los telefonos y dependiendo de como comienzan se les da acceso.

Gracias

MAB se refiere a MAC Authentication Bypass, lo que significa que el authentication request va a llevar en vez de usuario y contrasena la MAC address del cliente, por eso mencione anteriormente que esta MAC address tiene que existir en algun lugar, en este escenario seria la base de datos del ACS, de lo contrario la authenticacion va a fallar.

Con respecto a la configuracion del IP Phone no te podria dar mas informacion para la configuracion de AAA, aunque tengo bastante experiencia en ACS 4.x y 5.x la parte de dot1x con multi-domain no la he explorado lo suficiente, cualquier otra duda con gusto.

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: