Anticisco
http://anticisco.ru/forum/

VPN через ASA5510 и ACS4.0
http://anticisco.ru/forum/viewtopic.php?f=8&t=1620
Страница 1 из 1

Автор:  807 [ 31 мар 2011, 09:44 ]
Заголовок сообщения:  VPN через ASA5510 и ACS4.0

Появилась задача организовать VPN через ASA с авторизацией на ACS. Но так и не нашёл решения как настроить авторизацию на группу в ACS. Получилось настроить схему - если есть зарегистрированный пользователь на такаксе, то авторизация проходит. А хотелось бы такую схему - если пользователь входит в группу UserVPN на ACS, то он может заходить во внутреннюю сеть. Что надо прописать на ASA и что на ACS?

Автор:  Fedia [ 31 мар 2011, 14:48 ]
Заголовок сообщения:  Re: VPN через ASA5510 и ACS4.0

Авторизация не отделима от аутентификации.

Можно сделать так: проверяем пользователя на РАДИУСее (это, надеюсь, не составило проблем?), в параметрах пользователя указываем Downloadable ACL (его надо создать в закладке SHared Profile Components).

Автор:  qwexak [ 01 апр 2011, 06:27 ]
Заголовок сообщения:  Re: VPN через ASA5510 и ACS4.0

Мне кажется топикстартер хотел узнать как привязать определенную группа на ASA к пользователь на ACS

в IOS SSLVPN через radius атрибут передавалось имя группы "webvpn:user-vpn-group=groupname"

как это сделать на ASA меня тоже интересует есть подозрения что нужно использовать DAP

Автор:  807 [ 01 апр 2011, 13:49 ]
Заголовок сообщения:  Re: VPN через ASA5510 и ACS4.0

Вопрос в принципе и методе. Дело в том, что ACS у меня использует не только ASA, но и другая аппаратура. На такаксе зарегистрированы более 500 пользователей и только 5 VIP юзеров должны иметь доступ по WebVpn. Сейчас происходит следующее, ACS говорит ASA, что есть такой пользователь, и все 500 оказываютя внутри сети. Сторонние пользователи получают доступ к локальной сети. Как я понимаю для решения задачи можно использовать второй ACS, который будет обслуживать только VPN пользователей на ASA. Но такое решение, похоже, кривое.
Если использовать группы, то должно получиться всё красиво. Но какие атрибуты надо передавать ASA? Списки акцесс листов? Группы? И что надо прописать на самой ASA, чтобы она приняла эти атрибуты?

Автор:  Fedia [ 01 апр 2011, 17:21 ]
Заголовок сообщения:  Re: VPN через ASA5510 и ACS4.0

В голову приходят колхозные варианты, например, на сервере (я бы использовал RADIUS вместо TACACS), применил всем пользователям (группам), кроме нужной, vpn-access-hours с недействительным time-range или vpn-tunnel-protocol какой-нить sslvpn и все.

Но так не красиво. Над красивым решением думаю. Оно мне самому нужно.

Автор:  qwexak [ 09 июн 2011, 16:52 ]
Заголовок сообщения:  Re: VPN через ASA5510 и ACS4.0

все было просто radius attribute 25 (class) установить OU=Group Name

Автор:  Fedia [ 10 июн 2011, 23:54 ]
Заголовок сообщения:  Re: VPN через ASA5510 и ACS4.0

Да, логично! А уж по группе он сам замапит.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/