| Anticisco http://anticisco.ru/forum/ |
|
| Не выходит каменный цветок (ASA AnyConnect+LDAP+Cert) http://anticisco.ru/forum/viewtopic.php?f=2&t=11377 |
Страница 1 из 1 |
| Автор: | AlexSashkaff [ 10 авг 2020, 12:45 ] |
| Заголовок сообщения: | Не выходит каменный цветок (ASA AnyConnect+LDAP+Cert) |
Коллеги, тема старая, но туплю по полной. Есть АСАшка, требует создать три группы подключений. Пока остановился на первой:) Суть. Есть доменные ноуты, нужно проверять при подключении на внешнем интерфейсе сертификат компьютера, если ок, то проверяем сертифкат пользователя. Из сертификата пользователя берем только имя пользователя, просим ввести пароль. На основании этих данных смотрим в LDAP, если ок, то мапим ему нужный ACL. Плз, ткните носом куда рыть? есть куча материала, в голове уже каша... Спасибо. |
|
| Автор: | Nikolay_ [ 27 авг 2020, 12:10 ] |
| Заголовок сообщения: | Re: Не выходит каменный цветок (ASA AnyConnect+LDAP+Cert) |
С помощью tunnel group, certification map, client profile. Это если по пользовательскому сертификату аутентифицировать. А то что Вы хотите - это сюда приблизительно: https://www.cisco.com/c/en/us/support/d ... r-any.html А какие ещё две группы подключений ожидаются? |
|
| Автор: | AlexSashkaff [ 14 сен 2020, 20:34 ] |
| Заголовок сообщения: | Re: Не выходит каменный цветок (ASA AnyConnect+LDAP+Cert) |
Сорри, поздно увидел. Николай, спасибо за доку. Сегодня обновил асашку до последнего возможного (для модели) ios и asdm Понимаю, что теперь читать и точить прийдется много (вторая волна - все по домам) Пришлось вернуться в тему. Правильно ли я понимаю, при атентификации по серту, оно с него будет брать имя пользователя, сверяет его с LDAP. На основании принадлежности к групе AD, оно ему будет присваивать Dynamic Access Policy? Сейчас рисуются реально 3 группы: 1-я аутентификация по двум сертификатам доменных ноутов (один компа, невыгружаемый. Второй пользовательский, на основании которого мапится ACL) 2-я мобильные смартфоны (хочу настроить по сертификатам пользователя) 3-я пользователи домена которые должны заходить со своих домашних компов на свои рабочие тазики. Если у кого то есть реализации данных затей или видят "дыру" в безопасности - просьба показать. Спасибо. |
|
| Автор: | Nikolay_ [ 23 сен 2020, 17:41 ] |
| Заголовок сообщения: | Re: Не выходит каменный цветок (ASA AnyConnect+LDAP+Cert) |
Да, можно использовать при двухфакторной аутентификации сам сертификат (первая аутентификация) и имя пользователя брать из него для аутентификации по логину/паролю (вторая аутентификация). По результатам авторизации пользователя в АД, с радиус сервера с помощью радиус-аттрибутов прилетит вся необходимые настройки по пользователю. Как это сделать с помощью Cisco ISE - представляю, но как без него, по LDAP - не представляю... |
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|