Автор |
Сообщение |
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Приветствую дядьки. Чото я заклинил - есть ASA, на ней настроен Anyconnect который смотрит на RADIUS. Если логинится локальный пользователь то все работает и ASA лезет в RADIUS, но ели локального пользователя нет ASA в RADIUS даже не пытается ломиться. Насколько я понимаю AAA там вообще не причем, в чем может быть засада?
|
28 май 2019, 11:09 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
В настройке профиля эниконнекта, есть метод аутентификации по сервер групп (выбираем радиус) и есть галка, что в случае фейла использовать локал. но в радиус она лезет всегда, если он выбран основным
|
28 май 2019, 12:38 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Так в том то и дело что оно даже не пытается лезть в RADIUS при отсутствующем локальном аккаунте. Вот так это выглядит Код: tunnel-group DefaultWEBVPNGroup general-attributes address-pool VPN-POOL authentication-server-group (p2p) rad1 accounting-server-group rad-acc default-group-policy SPAIN
|
28 май 2019, 13:02 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
а чего в aaa прописано?
|
28 май 2019, 13:11 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
я вот не помню зачем нужен accounting-server-group, у меня он не прописан совсем
|
28 май 2019, 13:19 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
В aaa прописано Код: aaa authentication telnet console LOCAL aaa authentication http console LOCAL aaa authentication ssh console LOCAL aaa authentication secure-http-client
Но это же не имеет значения для Anyconnect. Accounting для аккаунтинга и нужен, на авторизацию не влияет. Засада в том что у меня есть другие асы с рабочими эниконнектами, но принципиальных различий в конфиге в упор не вижу.
|
28 май 2019, 13:42 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
а настройки радиуса на asa?
|
28 май 2019, 16:32 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Да нормально все с радиусом, когда захожу имеющимся локальным пользователем в дебаге вижу обращение к радиусу и положительный ответ от него.
|
28 май 2019, 16:59 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Какой локальный пользователь имеется ввиду? и зачем тогда аса лезет на радиус ?
|
28 май 2019, 17:02 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Локальный который в username прописан, а в RADIUS он лезет потому что в конфиге так прописано. Вопрос почему ASA не спрашивает RADIUS если локального пользователя нет.
|
28 май 2019, 17:18 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
А почему только LOCAL в ААА ?
У меня правда прикручено не к радиусу, а к такаксу и выглядит это так:
aaa authentication ssh console TCS LOCAL
|
29 май 2019, 09:45 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Потому что для управления асой мне нужны только локальные аккаунты, а anyconnect в aaa вообще по идее не смотрит.
|
29 май 2019, 10:40 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Bessmertniy писал(а): Потому что для управления асой мне нужны только локальные аккаунты, а anyconnect в aaa вообще по идее не смотрит. Все так. В tunnel-group прописываешь метод аутентификации и акаунтинга для пользунов эниконекта. Все остальные манипуляции с ААА в других разделах не влияют на эниконект дай sh run | grep aaa и sh run tunnel-group З.Ы. authentication-server-group (p2p) rad1 Странно выглядит это p2p, откуда такое? У меня просто: authentication-server-group rad
|
29 май 2019, 10:59 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
p2p это интерфейс так называется, там все правильно и test aaa authentication проходит. Вот конфиг Код: aaa-server rad1 protocol radius aaa-server rad1 (p2p) host 10.0.0.50 aaa-server rad-acc protocol radius aaa-server rad-acc (p2p) host 10.0.0.50 aaa-server rad2 protocol radius aaa-server rad-acc-2 protocol radius aaa-server rad-acc-2 (p2p) host 10.0.0.50 aaa authentication telnet console LOCAL aaa authentication ssh console LOCAL
Код: tunnel-group DefaultWEBVPNGroup general-attributes address-pool VPN-POOL authentication-server-group (p2p) rad1 accounting-server-group rad-acc default-group-policy SPAIN tunnel-group DefaultWEBVPNGroup webvpn-attributes group-alias ANYCONNECT enable
|
29 май 2019, 11:09 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Код: tunnel-group DefaultWEBVPNGroup webvpn-attributes authentication aaa и все взлетит)
|
29 май 2019, 11:20 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Не помогло, тем более оно по умолчанию так. Команду прописываю, но в конфиге оно не показывается.
|
29 май 2019, 12:06 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Код: tunnel-group DefaultWEBVPNGroup general-attributes address-pool VPN-POOL authentication-server-group (p2p) rad1 Я бы попробовал убрать p2p. Код: tunnel-group DefaultWEBVPNGroup general-attributes address-pool VPN-POOL authentication-server-group rad1 По крайней мере у меня так.
|
29 май 2019, 13:10 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Можно еще во время конекта глянуть на "debug radius all" Там много чего интересного есть
|
29 май 2019, 13:23 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Благодарю, помогло, но в упор не пойму почему. RADIUS сервер доступен именно через интерфейс p2p, на других ASA такая конструкция работает, колдунство какое-то.
|
29 май 2019, 13:24 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Bessmertniy писал(а): Благодарю, помогло, но в упор не пойму почему. RADIUS сервер доступен именно через интерфейс p2p, на других ASA такая конструкция работает, колдунство какое-то. ACL? отдебаж RADIUS, командой выше. Сбрось, глянем все
|
29 май 2019, 13:39 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Да чо дебажить, заработало уже все. Дело не в ACL а в том что ASA и не пыталась у RADIUS ничего спрашивать если локальный аккаунт не прописан. Кстати если локальный аккаунт прописан, но в Anyconnect ломлюсь с неправильным паролем ASA у RADIUS тоже ничего не спрашивала.
|
29 май 2019, 14:25 |
|
|