Сообщения без ответов | Активные темы Текущее время: 23 сен 2020, 22:02



Ответить на тему  [ Сообщений: 4 ] 
Не выходит каменный цветок (ASA AnyConnect+LDAP+Cert) 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 669
Коллеги, тема старая, но туплю по полной.
Есть АСАшка, требует создать три группы подключений.
Пока остановился на первой:)
Суть. Есть доменные ноуты, нужно проверять при подключении на внешнем интерфейсе сертификат компьютера, если ок, то проверяем сертифкат пользователя. Из сертификата пользователя берем только имя пользователя, просим ввести пароль. На основании этих данных смотрим в LDAP, если ок, то мапим ему нужный ACL.
Плз, ткните носом куда рыть? есть куча материала, в голове уже каша...
Спасибо.


10 авг 2020, 12:45
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1865
С помощью tunnel group, certification map, client profile.
Это если по пользовательскому сертификату аутентифицировать.
А то что Вы хотите - это сюда приблизительно:
https://www.cisco.com/c/en/us/support/d ... r-any.html

А какие ещё две группы подключений ожидаются?


27 авг 2020, 12:10
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 669
Сорри, поздно увидел.
Николай, спасибо за доку.
Сегодня обновил асашку до последнего возможного (для модели) ios и asdm
Понимаю, что теперь читать и точить прийдется много (вторая волна - все по домам)
Пришлось вернуться в тему.
Правильно ли я понимаю, при атентификации по серту, оно с него будет брать имя пользователя, сверяет его с LDAP. На основании принадлежности к групе AD, оно ему будет присваивать Dynamic Access Policy?

Сейчас рисуются реально 3 группы:
1-я аутентификация по двум сертификатам доменных ноутов (один компа, невыгружаемый. Второй пользовательский, на основании которого мапится ACL)
2-я мобильные смартфоны (хочу настроить по сертификатам пользователя)
3-я пользователи домена которые должны заходить со своих домашних компов на свои рабочие тазики.

Если у кого то есть реализации данных затей или видят "дыру" в безопасности - просьба показать.

Спасибо.


14 сен 2020, 20:34
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1865
Да, можно использовать при двухфакторной аутентификации сам сертификат (первая аутентификация) и имя пользователя брать из него для аутентификации по логину/паролю (вторая аутентификация).

По результатам авторизации пользователя в АД, с радиус сервера с помощью радиус-аттрибутов прилетит вся необходимые настройки по пользователю.
Как это сделать с помощью Cisco ISE - представляю, но как без него, по LDAP - не представляю...


Сегодня, 17:41
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Dr.Sqaer, Google [Bot] и гости: 46


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB