|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Andrew Velder 2:5020/113.11 11 Feb 2008 17:58:36
To : All
Subject : Пиксы: доступ в сеть компании по сертификатам
--------------------------------------------------------------------------------
Есть пикс:
!
Cisco PIX Security Appliance Software Version 7.1(2)
Device Manager Version 5.1(2)
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto ca trustpoint xx.x.16.43
enrollment url http://xx.x.16.43:80/certsrv/mscep/mscep.dll
keypair key1
crl configure
no protocol http
no protocol ldap
isakmp identity auto
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime none
tunnel-group DefaultL2LGroup ipsec-attributes
trust-point "имя CA"
tunnel-group DefaultRAGroup ipsec-attributes
trust-point "имя CA"
tunnel-group GD_Remote type ipsec-ra
tunnel-group GD_Remote general-attributes
address-pool uit_pool
authentication-server-group tacacs_16.66
accounting-server-group tacacs_16.66
default-group-policy GD_Remote
tunnel-group GD_Remote ipsec-attributes
pre-shared-key *
trust-point "имя CA"
tunnel-group-map default-group GD_Remote
!
Есть Cisco ACS сервак 3.3(1) Build 16 (в конфиге фигурирует как tacacs_16.66)
Есть виндовый сертификационный сервак (в конфиге фигурирует как "имя CA"),
"боевой" - поэтому особо не поэксперементируешь, к которому у меня ещё и
нет доступа, его настройкой тоже занимался не я.
Hа сертификационном серваке сгенерил сертификат для ACS, прикрутил его к ACS.
Далее делалось всё по этой доке
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a
008073b12b.shtml (хоть она и для ASA, а не PIX, но вроде бы должно быть
более-менее одинаково?)
Первоначально проблема была в том, что не происходил Enrollment на пиксе.
При это в логах CA следующие ошибки (меняются лишь коды ошибок):
"Hе найдено описание для события с кодом ( 2 ) в источнике ( SCEP Add-on ).
Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL
сообщений для отображения сообщений удаленного компьютера. Попробуйте
использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные
сведения об этом содержатся в справке. В записи события содержится следующая
информация: 0x80004005; Unspecified error"
Решив что проблема в пиксе я сбросил ключи, сгенерил заново - теперь не то что
enrollment, а аутентификация не проходит! В логах CA вообще никаких ошибок, а
пикс пишет "error in receiving certificate from Certificate Authority"
Если нужно могу выложить ещё логи снифера, в них собственно можно наблюдать:
1. При изначальных проблемах с enrollment - запросы от пикса, ответы от CA
передающего какой-то контент, но либо CA не то что надо отдавал, либо пикс не
понимал что ему отдают, так или иначе enrollment не проходил
2. При текущих проблемах с authenticate - запросы от пикса, ответ от CA в
котором он чётко пишет что вы не авторизованы для доступа к
http://xx.x.16.43:80/certsrv/mscep/mscep.dll и поэтому отказано в нём.
Возможно что-то в настройках CA меняли, но что - я не в курсе.
При попытке достучаться по адресу http://xx.x.16.43:80/certsrv/mscep/mscep.dll,
тем же браузером, вываливается окно с запросом логина и пароля. Каким образом
можно прикрутить эти логин и пароль пиксу - непонятно.
В общем, буду признателен за советы и рекомендации в каком направлении копать
выход...
С уважением, Andrew aka OFF. -=[Team Dos Navigator]=-
--- Безусловно поддерживаю: GoldED/W32 2.51.A1026+
* Origin: Жизнь прекрасна (2:5020/113.11)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Пиксы: доступ в сеть компании по сертификатам |
Andrew Velder |
11 Feb 2008 17:58:36 |
|
|
