Corte-por y ejemplo directo de la configuración de autenticación ASA Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Corte-por Autenticación directa Información Relacionada Introducción Este documento describe cómo configurar la autenticación ASA directa y cut-through. Nota: Contribuido por Blayne Dreier, ingeniero de Cisco TAC. prerrequisitos Requisitos No hay requisitos específicos para este documento. Componentes Utilizados La información en este documento se basa en el dispositivo de seguridad adaptante de Cisco (ASA). La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento. Corte-por Corte-por la autenticación fue configurado previamente con el comando include de la autenticación aaa. Ahora, utilizan al comando match de la autenticación aaa. Trafique que requiere la autenticación se permite en una lista de acceso que sea referida por el comando match de la autenticación aaa, que hace el host ser autenticado antes de que el tráfico especificado se permita con el ASA. Aquí está un ejemplo de configuración para la autenticación del tráfico de la Web: username cisco password cisco privilege 15 access-list authmatch permit tcp any any eq 80 aaa authentication match authmatch inside LOCAL Observe que esta solución trabaja porque el HTTP es un protocolo en el cual el ASA puede inyectar la autenticación. El ASA intercepta el tráfico HTTP y lo autentica vía la autenticación HTTP. Porque la autenticación se inyecta en línea, un cuadro de diálogo de la autenticación HTTP aparece en el buscador Web tal y como se muestra en de esta imagen: Autenticación directa La autenticación directa fue configurada previamente con la autenticación aaa incluye y los comandos virtuales del <protocol>. Ahora, se utilizan la coincidencia de la autenticación aaa y los comandos del módulo de escucha de la autenticación aaa. Para los protocolos que no soportan la autenticación nativo (es decir, los protocolos que no pueden tener un desafío de autenticación en línea), la autenticación directa ASA puede ser configurada. Por abandono, el ASA no está atentos los pedidos de autenticación. Un módulo de escucha puede ser configurado en un puerto determinado y una interfaz con el comando del módulo de escucha de la autenticación aaa. Aquí está un ejemplo de configuración que permite el tráfico TCP/3389 con el ASA que un host se ha autenticado una vez: username cisco password cisco privilege 15 access-list authmatch permit tcp any any eq 3389 access-list authmatch permit tcp any host 10.245.112.1 eq 5555 aaa authentication match authmatch inside LOCAL aaa authentication listener http inside port 5555 Observe el número del puerto que es utilizado por el módulo de escucha (TCP/5555). La salida del comando socket de la tabla de la demostración ASP muestra que el ASA ahora está atentos los pedidos de conexión a este puerto en la dirección IP asignada (dentro) a la interfaz especificada. ciscoasa(config)# show asp table socket Protocol Socket Local Address Foreign Address State TCP 000574cf 10.245.112.1:5555 0.0.0.0:* LISTEN ciscoasa(config)# Después de que el ASA se configure como se muestra arriba, un intento de conexión con el ASA a un host exterior en el puerto TCP 3389 dará lugar a una negación de la conexión. El usuario debe primero autenticar para que el tráfico TCP/3389 sea permitido. La autenticación directa requiere al usuario hojear directamente al ASA. Si usted hojea al <asa_ip de http:// >: se vuelve el <port>, un error 404 porque ninguna página web existe en la raíz del servidor Web ASA. En lugar, usted debe hojear directamente al <asa_ip de http:// >: <listener_port >/netaccess/connstatus.html. Una página de registro reside en este URL donde usted puede proporcionar los credenciales de autenticación. En esta configuración, el tráfico directo de la autenticación es parte de la lista de acceso del authmatch. Sin esta entrada de control de acceso, usted puede ser que reciba un mensaje inesperado, tal como autenticación de usuario, autenticación de usuario no se requiere, cuando usted hojea al <asa_ip de http:// >: <listener_port >/netaccess/connstatus.html. Después de que usted autentique con éxito, usted puede conectarse con el ASA a un servidor exterior en TCP/3389. Información Relacionada Notas Técnicas de Troubleshooting © 1992-2016 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 17 Octubre 2016 http://www.cisco.com/cisco/web/support/LA/111/1113/1113984_asa-cut-through-config-00.html