forum.opennet.ru

Составление сообщения

Исходное сообщение

"ASA5520+MS CA - 2-х факторная аутентификация - вопросы реализац"
Отправлено Velos, 30-Авг-10 23:48

В итоге сделал на IAS :) Работает ) Правда в отличие от freeRADIUS-а, access-лист завязать получается только на AD-ой группе, а не на пользователя.
>Ещё вот такой вопросик по пункту 1: получается для проверки ЭЦП, peer-ы
>дожны что-то некий набор бит друг другу послать, чтоб затем каждая
>из сторон это значение зашифровав закрытым ключём, вернула обратно, а отправляющая
>смогла это расшифровать и сравнить с оригиналом. Это ведь так? А
>вот что они посылают друг другу? Или используется другая схема? Я
>просто не могу понять, как обладатель сертификата подтверждает владение закрытым ключем.
>
Судя по данной инфе http://www.ciscopress.com/articles/article.asp?p=24833&seqNum=5
насколько я понял происходит всё следующим образом:
1.    Клиент соединяется с ASA, peer-ы производят обмен сертификатами, которые будут использоваться для аутентификации каждой из сторон в Phase 1 IKE.
2.    ASA и клиент загружают CRL, после чего каждая из сторон проверяет подлинность сертификата противоположного peer-a.
3.    Если сертификат каждой стороны действительный (не истек срок действия и его нет в CRL), начинается IKE Phase 1. Стороны согласуют параметры безопасности (SA): алгоритм шифрования, алгоритм хеширования и группу Диффи-Хельмана. Также происходит обмен peer ID,  которые с помощью закрытого ключа каждой из сторон подписываются. (В качестве ID выступают либо FQDN или IP-адрес каждой из сторон - или что-то ещё...). Если подпись верна – этот параметр учувствует в выработке общего сессионного ключа DH.
Так ли это? :)
Такой вопрос по-поводу xauth:
после того, как тунель будет установлен, от пользователя потребуется ввести логин и пароль. (Для тунельной группы назначен authentication-server-group).
А возможно ли избавится от этой части, взяв в качестве логина значение из сертификата?
Насколько я понял, сделать это нужно как-то так:

asa#(config)tunnel-group VPN general-attributes
asa(config-tunnel-general)# authorization-dn-attributes CN (к примеру)

Правильно ли это? Или же назначение на тунельной группе authentication-server-group однозначно предполагает аутентификацию?
Насколько я понял, фичи "pre-fill username" и "username-from-certificate", доступные в IOS 8.2(1)  всего лишь заполняют имя пользователя заранее... Но как таковую, аутнетификацию пользователя не отменяют.

Исходное сообщение
"ASA5520+MS CA - 2-х факторная аутентификация - вопросы реализац" Отправлено Velos, 30-Авг-10 23:48
В итоге сделал на IAS :) Работает ) Правда в отличие от freeRADIUS-а, access-лист завязать получается только на AD-ой группе, а не на пользователя. >Ещё вот такой вопросик по пункту 1: получается для проверки ЭЦП, peer-ы >дожны что-то некий набор бит друг другу послать, чтоб затем каждая >из сторон это значение зашифровав закрытым ключём, вернула обратно, а отправляющая >смогла это расшифровать и сравнить с оригиналом. Это ведь так? А >вот что они посылают друг другу? Или используется другая схема? Я >просто не могу понять, как обладатель сертификата подтверждает владение закрытым ключем. > Судя по данной инфе http://www.ciscopress.com/articles/article.asp?p=24833&seqNum=5 насколько я понял происходит всё следующим образом: 1. Клиент соединяется с ASA, peer-ы производят обмен сертификатами, которые будут использоваться для аутентификации каждой из сторон в Phase 1 IKE. 2. ASA и клиент загружают CRL, после чего каждая из сторон проверяет подлинность сертификата противоположного peer-a. 3. Если сертификат каждой стороны действительный (не истек срок действия и его нет в CRL), начинается IKE Phase 1. Стороны согласуют параметры безопасности (SA): алгоритм шифрования, алгоритм хеширования и группу Диффи-Хельмана. Также происходит обмен peer ID, которые с помощью закрытого ключа каждой из сторон подписываются. (В качестве ID выступают либо FQDN или IP-адрес каждой из сторон - или что-то ещё...). Если подпись верна – этот параметр учувствует в выработке общего сессионного ключа DH. Так ли это? :) Такой вопрос по-поводу xauth: после того, как тунель будет установлен, от пользователя потребуется ввести логин и пароль. (Для тунельной группы назначен authentication-server-group). А возможно ли избавится от этой части, взяв в качестве логина значение из сертификата? Насколько я понял, сделать это нужно как-то так: asa#(config)tunnel-group VPN general-attributes asa(config-tunnel-general)# authorization-dn-attributes CN (к примеру) Правильно ли это? Или же назначение на тунельной группе authentication-server-group однозначно предполагает аутентификацию? Насколько я понял, фичи "pre-fill username" и "username-from-certificate", доступные в IOS 8.2(1) всего лишь заполняют имя пользователя заранее... Но как таковую, аутнетификацию пользователя не отменяют.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> В итоге сделал на IAS :) Работает ) Правда в отличие от > freeRADIUS-а, access-лист завязать получается только на AD-ой группе, а не на > пользователя. >>Ещё вот такой вопросик по пункту 1: получается для проверки ЭЦП, peer-ы >>дожны что-то некий набор бит друг другу послать, чтоб затем каждая >>из сторон это значение зашифровав закрытым ключём, вернула обратно, а отправляющая >>смогла это расшифровать и сравнить с оригиналом. Это ведь так? А >>вот что они посылают друг другу? Или используется другая схема? Я >>просто не могу понять, как обладатель сертификата подтверждает владение закрытым ключем. >> > Судя по данной инфе http://www.ciscopress.com/articles/article.asp?p=24833&seqNum=5 > насколько я понял происходит всё следующим образом: > 1. Клиент соединяется с ASA, peer-ы производят обмен сертификатами, которые будут использоваться > для аутентификации каждой из сторон в Phase 1 IKE. > 2. ASA и клиент загружают CRL, после чего каждая из сторон проверяет > подлинность сертификата противоположного peer-a. > 3. Если сертификат каждой стороны действительный (не истек срок действия и его > нет в CRL), начинается IKE Phase 1. Стороны согласуют параметры безопасности > (SA): алгоритм шифрования, алгоритм хеширования и группу Диффи-Хельмана. Также происходит > обмен peer ID, которые с помощью закрытого ключа каждой из > сторон подписываются. (В качестве ID выступают либо FQDN или IP-адрес каждой > из сторон - или что-то ещё...). Если подпись верна – этот > параметр учувствует в выработке общего сессионного ключа DH. > Так ли это? :) > Такой вопрос по-поводу xauth: > после того, как тунель будет установлен, от пользователя потребуется ввести логин и > пароль. (Для тунельной группы назначен authentication-server-group). > А возможно ли избавится от этой части, взяв в качестве логина значение > из сертификата? > Насколько я понял, сделать это нужно как-то так: > [code] > asa#(config)tunnel-group VPN general-attributes > asa(config-tunnel-general)# authorization-dn-attributes CN (к примеру) > [/code] > Правильно ли это? Или же назначение на тунельной группе authentication-server-group однозначно > предполагает аутентификацию? > Насколько я понял, фичи "pre-fill username" и "username-from-certificate", доступные > в IOS 8.2(1) всего лишь заполняют имя пользователя заранее... Но > как таковую, аутнетификацию пользователя не отменяют.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру