Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 12:58



Ответить на тему  [ Сообщений: 8 ] 
Cisco ACS + ASA + AnyConnect + ACL 
Автор Сообщение

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Доброго времени суток всем
Может кто сталкивался с таким кейсом и выдаст подсказку без проведения изысканий

Суть вопроса в следующем
Имеем кучу пользователей удаленки. Все замечательно пользователи внесены в группу АДА, ACS проверяет принадлежность к группе1 и подгружает стандартный ACL1 с прописаными доступами для пользователей. Но по прошествии какого то времени из общей кучи выделяется 10 пользователей которым нужно по мимо стандартного доступа получить еще доступ на локальные ресурсы, но доступ нужно дать только 10 пользователям. Логично было бы включить этих 10 пользователей в дополнительную группу АДА и в ACS проверять что пользователь входит в группу1 и группу2 при выполнении условий грузить лист ACL2.
Пока вроде все просто и логично. Но когда групп пользователей становится больше сотни и все должны входить в группу1 + группаА+группаВ+итд вносить изменения в сотню ацл становится тяжело.
И вот тут возникает вопрос а можно как то делать составные ацл, например если пользователь входит только в одну группу1 ему ACL1, если пользователь принадлежит группа1+группа3+группа6 загружать ему ACL1+ACL3+ACL6

Вроде все понятно но готов ответить на вопросы


07 апр 2021, 14:48
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Что ни кто не сталкивался с такими задачами


11 апр 2021, 22:19
Профиль

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 103
Имеется ввиду, возможно ли суммирование acl? Аутентификацию делает ACS и она же дает downloadable acl?


12 апр 2021, 11:11
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
вы не первый кто хочет подобного.
даже форум циски пестрит такими вопросами - но ответ один "... would only allow you to select only one DACL instance at a time"
может с тех времен что изменилось и уже ISE научился подобному..


13 апр 2021, 08:20
Профиль

Зарегистрирован: 31 янв 2017, 12:21
Сообщения: 55
CrAlex писал(а):
Но когда групп пользователей становится больше сотни и все должны входить в группу1 + группаА+группаВ+итд вносить изменения в сотню ацл становится тяжело.


Есть подозрение, что кто-то слишком параноик, если вот прям СОТНЮ надо разных ACL.
Неужели кроме как ACL на шлюзе, сервисы никак не защищены?


13 апр 2021, 15:03
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
ShyLion писал(а):
CrAlex писал(а):
Но когда групп пользователей становится больше сотни и все должны входить в группу1 + группаА+группаВ+итд вносить изменения в сотню ацл становится тяжело.


Есть подозрение, что кто-то слишком параноик, если вот прям СОТНЮ надо разных ACL.
Неужели кроме как ACL на шлюзе, сервисы никак не защищены?

Ну когда у вас больше 20к сотрудников и партнеров, а сеть размазана по всей матушке-России, то ацл действительно много
И вот такое бы сумирование смогло бы снять кучу проблем.


23 апр 2021, 12:00
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Praporwik писал(а):
Имеется ввиду, возможно ли суммирование acl? Аутентификацию делает ACS и она же дает downloadable acl?

Да именно так хотелось :D


23 апр 2021, 12:01
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
CrAlex писал(а):
Да именно так хотелось

Скорее всего готовых решений вы не найдете.
Кмк, нужно искать RADIUS сервер, который умеет отдавать запрос на авторизацию внешним
сервисам через некий API.
Причем Authentication он должен делать сам, и если Passed, то Authorization запрашивать
снаружи, чтобы получить нужные атрибуты. И там уже можете генерить любые ACL.
Auth cам, т.к. PAP то вещь как бы несложная, а вот EAP реализовать - нетривиальная задача.

А так да, идея витает в воздухе. :-)
Погуглите "FreeRADIUS external authentication".

"Hi Freeradius people,
I want to authorize users that connect to AP with my external script.
Because I have multiple data source (multiple Active Directory, another API etc.)
and I want to make authorization by using these data sources as I want."

http://lists.freeradius.org/pipermail/f ... 97408.html

_________________
Knowledge is Power


23 апр 2021, 18:00
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 45


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB