Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 15:35



Ответить на тему  [ Сообщений: 7 ] 
VPN через ASA5510 и ACS4.0 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 3
Появилась задача организовать VPN через ASA с авторизацией на ACS. Но так и не нашёл решения как настроить авторизацию на группу в ACS. Получилось настроить схему - если есть зарегистрированный пользователь на такаксе, то авторизация проходит. А хотелось бы такую схему - если пользователь входит в группу UserVPN на ACS, то он может заходить во внутреннюю сеть. Что надо прописать на ASA и что на ACS?


31 мар 2011, 09:44
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Авторизация не отделима от аутентификации.

Можно сделать так: проверяем пользователя на РАДИУСее (это, надеюсь, не составило проблем?), в параметрах пользователя указываем Downloadable ACL (его надо создать в закладке SHared Profile Components).


31 мар 2011, 14:48
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 149
Мне кажется топикстартер хотел узнать как привязать определенную группа на ASA к пользователь на ACS

в IOS SSLVPN через radius атрибут передавалось имя группы "webvpn:user-vpn-group=groupname"

как это сделать на ASA меня тоже интересует есть подозрения что нужно использовать DAP


01 апр 2011, 06:27
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 3
Вопрос в принципе и методе. Дело в том, что ACS у меня использует не только ASA, но и другая аппаратура. На такаксе зарегистрированы более 500 пользователей и только 5 VIP юзеров должны иметь доступ по WebVpn. Сейчас происходит следующее, ACS говорит ASA, что есть такой пользователь, и все 500 оказываютя внутри сети. Сторонние пользователи получают доступ к локальной сети. Как я понимаю для решения задачи можно использовать второй ACS, который будет обслуживать только VPN пользователей на ASA. Но такое решение, похоже, кривое.
Если использовать группы, то должно получиться всё красиво. Но какие атрибуты надо передавать ASA? Списки акцесс листов? Группы? И что надо прописать на самой ASA, чтобы она приняла эти атрибуты?


01 апр 2011, 13:49
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
В голову приходят колхозные варианты, например, на сервере (я бы использовал RADIUS вместо TACACS), применил всем пользователям (группам), кроме нужной, vpn-access-hours с недействительным time-range или vpn-tunnel-protocol какой-нить sslvpn и все.

Но так не красиво. Над красивым решением думаю. Оно мне самому нужно.


01 апр 2011, 17:21
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 149
все было просто radius attribute 25 (class) установить OU=Group Name


09 июн 2011, 16:52
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Да, логично! А уж по группе он сам замапит.


10 июн 2011, 23:54
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB