2010年12月 のアーカイブ

MHP3とか。

2010年12月10日 金曜日

さっきの投稿だけじゃアレなので。

ひとまず、冬コミの依頼物は終っていたので
年内は部屋整理にありつけそうだぉ( ^ω^)

12/04 Room 1

先週土曜日に、ねんがんのてれびぼーども届いたので
設置してみたところ、サイズもぴったりで良かった!

これで、年内の部屋整理というか家具を買う事はなさそう。

ちなみに、最近は MHP3rd ばかりでした|ω・)
会社の帰りに職場の人とやったり、ちょこちょこ進めているところー

MHP3 2010/12/09

先日やっと、ジンオウ装備一式が揃ったので
今度は、大剣集めかなー 氷牙獣の棘が出なくて涙目なう。

Kaiが安定しないので、家だとアドパ中心。
PS3の思わぬ使い道ですなぁー あの安定感は良い(・ω・)

MHP3は冬コミ会場でやっている人多そうだなぁ。
ギルドカード交換しまくりたいお!

あー、そろそろ年賀状準備とかしないと(;’A’)

【メモ】Cisco ASA 5500 において、AAAサーバ を設定する

2010年12月10日 金曜日

完全に仕事ネタですみませぬ。
キーワード検索を見ると、「Cisco ASA Radius 設定」の内容が多かったので
メモ残しておきます。

【環境】
                                   Cisco ACS[Radius]
                                        |
                                       dmz
                                        |
VPN-Client —– //Internet// —– Cisco ASA —– Catalyst —inside— Internal-Server

【Radiusの設定】
——
aaa-server Radius-Cisco protocol radius
—–

AAA の指定するコマンドは、aaa-server コマンドを使用します。
Radius-Cisco というのは、AAA サーバグループ名です。
このサーバグループ内で、複数のサーバ指定が可能です。
※Protocol は TACACS+ 等もありますが、ここは Radius で。

実際にRadiusサーバの指定を行う設定は、以下のコマンドです。

—–
aaa-server Radius-Cisco (dmz) host ACS-1
key *****
authentication-port 1812
accounting-port 1813
—–

key は、Radius サーバとの secret key
認証ポート/アカウントポートは Radius サーバで使用している値を設定します。

(dmz) は、Radius サーバが置いている name-if インタフェース。
ACS-1 は、name で IP アドレスと紐付けています。
※name 192.168.xx.xx ACS-1

同じ aaa-server group に Radius サーバを2台以上登録した場合

—–
aaa-server Radius-Cisco protocol radius
aaa-server Radius-Cisco (dmz) host ACS-1
key *****
authentication-port 1812
accounting-port 1813
aaa-server Radius-Cisco (dmz) host ACS-2
key *****
authentication-port 1812
accounting-port 1813
—–

Active な Radius が落ちると、次に登録されているサーバが Active となります。
※落ちるというより、3回認証失敗した場合に切り替わります。

実際に、aaa-server の状態を見たい場合 show aaa-server protocol radius を
実行すると確認可能です。
この例では、ACS-1 へ認証が3回失敗したので FAILD のフラグを立て
ACS-2 が ACTIVEとして動いています。

—–show aaa-server protocol radius—–
asa(config)# show aaa-server protocol radius
Server Group: Radius-Cisco
Server Protocol: radius
Server Address: ACS-1
Server port: 1812(authentication), 1813(accounting)
Server status: FAILED, Server disabled at 14:52:29 JST Tue Dec 7 2010
Number of pending requests 0
Average round trip time 0ms
Number of authentication requests 3
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 0
Number of rejects 0
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 3
Number of unrecognized responses 0

Server Group: Radius-Cisco
Server Protocol: radius
Server Address: ACS-2
Server port: 1812(authentication), 1813(accounting)
Server status: ACTIVE, Last transaction at 13:42:36 JST Thu Dec 9 2010
Number of pending requests 0
Average round trip time 16ms
Number of authentication requests 7
Number of authorization requests 0
Number of accounting requests 0
Number of retransmissions 0
Number of accepts 7
Number of rejects 0
Number of challenges 0
Number of malformed responses 0
Number of bad authenticators 0
Number of timeouts 0
Number of unrecognized responses 0
—————————————————

ここまでで、Radius サーバの定義は完了しました。

【実際に VPN 接続などで使用するように設定】
IP-Sec VPN などに、設定した Radius サーバを使用するようにする場合
以下のように、tunnel-group へ設定した aaa-server group の指定を行います。

—–
tunnel-group DefaultRAGroup general-attributes
address-pool VPN-POOL
authentication-server-group Radius-Cisco
—–

ここでは、細かい VPN 設定は省きますが
他の設定も行えば、IP-Sec VPN 接続時に Radius サーバを使用するようになります。

【Cisco VPN Client を使用して接続】
実際に、VPN 接続を行ってみると log から aaa-server へ認証を
行っているのがわかります。(細かいログは割愛します)

—–show logging—–
609001: Built local-host inside:ACS-2
302015: Built outbound UDP connection 26500 for inside:ACS-2/1812 (ACS-2/1812) to identity:192.168.xx.xx/1025 (192.168.xx.xx/1025)
113004: AAA user authentication Successful : server = ACS-2 : user = mayupon
113009: AAA retrieved default group policy (DfltGrpPolicy) for user = mayupon
113008: AAA transaction status ACCEPT : user = mayupon
//省略//
734003: DAP: User mayupon, Addr xx.xx.xx.xx: Session Attribute aaa.radius[“1”][“1”] = mayupon
734003: DAP: User mayupon, Addr xx.xx.xx.xx: Session Attribute aaa.radius[“25”][“1”] = CACS:acs51-2/79270226/1607
734003: DAP: User mayupon, Addr xx.xx.xx.xx: Session Attribute aaa.cisco.grouppolicy = DfltGrpPolicy
734003: DAP: User mayupon, Addr xx.xx.xx.xx: Session Attribute aaa.cisco.username = mayupon
734003: DAP: User mayupon, Addr xx.xx.xx.xx: Session Attribute aaa.cisco.tunnelgroup = DefaultRAGroup
713052: Group = DefaultRAGroup, Username = mayupon, IP = xx.xx.xx.xx, User (mayupon) authenticated.
—————————

VPN の接続状態は、show vpn-sessiondb remote
[詳細:show vpn-sessiondb detail remote] にて確認可能です。

—–show vpn-sessiondb remote—–
asa(config)# show vpn-sessiondb remote

Session Type: IPsec

Username : mayupon Index : 8
Assigned IP : 192.168.xx.xx Public IP : xx.xx.xx.xx
Protocol : IKE IPsecOverUDP
License : IPsec
Encryption : 3DES AES256 Hashing : MD5 SHA1
Bytes Tx : 0 Bytes Rx : 0
Group Policy : DfltGrpPolicy Tunnel Group : DefaultRAGroup
Login Time :
Duration : 0h:07m:35s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
———————————————-

メモ書きなので、あまり細かい事書いていないのですが参考にどうぞ。
また、キーワード検索で多そうな内容があればメモ書きしたいと思います。