Anticisco http://anticisco.ru/forum/ |
|
acs 5.1 & ms domain auth http://anticisco.ru/forum/viewtopic.php?f=8&t=674 |
Страница 1 из 1 |
Автор: | nd4w [ 05 апр 2010, 14:17 ] |
Заголовок сообщения: | acs 5.1 & ms domain auth |
Сталкивался ли кто-нибудь с такой проблемой: acs5.1 аутентифицирует учетки юзеров в active directory или во внутренней базе. подключаюсь по впн(ipsec), ввожу логин-пароль, тоннель поднимается, всё казалось бы ферштейн, но в логах acs(AAA Protocol > RADIUS Authentication Detail) появляется две записи: первая - аутентификация прошла(Authentication succeeded) вторая - примерно через 100-110 миллисекунд, что аутентификация не прошла(Authentication failed : 24408 User authentication against Active Directory failed since user has entered the wrong password)? юзеры из внутренней базы аутентифицируются нормально контроллеры домена на win2k8r2 vpn шлюзом работает asa5520, на асе примерно следующий конфиг: Код: aaa-server ACS5 protocol radius aaa-server ACS5 (inside) host 172.20.17.148 key somekey [...] tunnel-group somegroup general-attributes authentication-server-group ACS5 LOCAL accounting-server-group ACS5 default-group-policy somepolicy [...] group-policy somepolicy internal group-policy somepolicy attributes dns-server value 172.20.17.100 vpn-idle-timeout 30 group-lock value somegroup ipsec-udp enable ipsec-udp-port 10000 split-tunnel-policy tunnelspecified split-tunnel-network-list value someacl default-domain value somedomain.local примерно, т.к. сегодня уже до running конфига не доберусь логи acs экспортированные в html выложил сюда: http://drop.io/ljgs8na5047 |
Автор: | Fedia [ 05 апр 2010, 15:02 ] |
Заголовок сообщения: | Re: acs 5.1 & ms domain auth |
А как сам ACS настроен? Если попробовать телнетом (ssh) к АСАшке прицепиться, применяя это правило ААА, получится? Базы РАДИУС и AD, получается, объединены? Помнится, что в 4.2 надо было заволить пользователя, такого же как в АД, и явно указывать, что его надо аутентифицировать в Микрософтовской базе. |
Автор: | nd4w [ 05 апр 2010, 16:17 ] |
Заголовок сообщения: | Re: acs 5.1 & ms domain auth |
Цитата: Если попробовать телнетом (ssh) к АСАшке прицепиться, применяя это правило ААА, получится? к аса(ssh) подключиться этой учеткой не получится, т.к. на аса: aaa authentication ssh console LOCAL Цитата: А как сам ACS настроен? 1. id. store. 1.1. сконфигурировано подключение к АД(Users and Identity Stores > ... > External Identity Stores > Active Directory), указано конкретное directory group, где происходит поиск юзеров, directory attributes не заданы. 1.2. созданы несколько ident. groups и заведены несколько internal users, к которым прикручены ident. groups 1.3 Создано Identity Store Sequences, где определен Authentication and Attribute Retrieval Search List(то есть где ищем пользователей и их атрибуты): Internal users(внутренние юзеры) AD1(так acs обозвал привязку к домену) 2. Policy elements. тут созданы несколько authoriz. profiles. загружаемые листы(donwloadable acl) пока нигде не накатываются. authoriz. profiles дефолтовые, используется только проверка ietf radius att. 25 - Class 3. Access Policies. 3.1 создан и включен всего один access service, который срабатывает если Protocol = Radius 3.2 identity установлен в режим single mode selection, которые всегда отсылает в ident store из п.1.3, Advanced Options установлено в режим Reject для всех предлагаемых условий. 3.3 в group mapping создано одно правило следующего содержания: Если AD-AD1:ExternalGroups contains all ASD1.local/Служебные/ServiceGroup/gVPNUser, Тогда Ident group = All Groups:ASD1:gVPNUser (если группа AD соответвтвующая пользователю равна той, что указана в directory group из п.1.1, то мапим этого пользователя во внутреннюю группу(internal ident group, одна из созданных в п.1.2) 3.4 в authorization созданы Exception Policy, правила такого вида: Если System:IdentityGroup in All Groups:ASD1:gVPNUser, тогда использовать определенный authoriz. profile. как происходит процесс: 11001 Received RADIUS Access-Request 11017 RADIUS created a new session Evaluating Service Selection Policy 15004 Matched rule ( п.3.1) 15012 Selected Access Service - asd1 (п.3.1) Evaluating Identity Policy 15006 Matched Default Rule (п.3.2) 15013 Selected Identity Store - AD1 (учетка уходит проверяться по списку из 1.3) 24210 Looking up User in Internal Users IDStore - Putty.VW 24216 The user is not found in the internal users identity store 24430 Authenticating user against Active Directory 24416 User's Groups retrieval from Active Directory succeeded 24402 User authentication against Active Directory succeeded 22037 Authentication Passed Evaluating Group Mapping Policy 15004 Matched rule (отработала привязка доменной группы к внутренней группе п.3.3 ) Evaluating Exception Authorization Policy 15004 Matched rule ( сработало правило определяющее autoriz. profile для пользователей внутренней базы, куда смаплены доменные юзеры) 15016 Selected Authorization Profile - (применяется профиль(autiriz. profile) из п.2 и на циску улетает IETF 25 атрибут накатывающий нужную group-policy к впн-сессии) 11002 Returned RADIUS Access-Accept Цитата: Базы РАДИУС и AD, получается, объединены? Помнится, что в 4.2 надо было заволить пользователя, такого же как в АД, и явно указывать, что его надо аутентифицировать в Микрософтовской базе. |
Автор: | Fedia [ 05 апр 2010, 16:28 ] |
Заголовок сообщения: | Re: acs 5.1 & ms domain auth |
Ну не так уж и сложно написать aaa authen telnet console AD ) Может какой групповой атрибут не привязывается? Может downloadable ACL в группе есть и написаны с ошибкой? Какие атрибуты передает АД на РАДИУС? Только 25? Названия по-моему case-sensitive |
Автор: | nd4w [ 06 апр 2010, 08:09 ] |
Заголовок сообщения: | Re: acs 5.1 & ms domain auth |
эх в моей "мегакорпорации" даже чтоб получить running конфигу головной циски надо служебку писать, зоны ответственности и всё такое) Цитата: Может какой групповой атрибут не привязывается? Может downloadable ACL в группе есть и написаны с ошибкой? Цитата: Какие атрибуты передает АД на РАДИУС? Только 25? Названия по-моему case-sensitive я пробовал сделать: authorization-server-group ACS5 то есть накатывать через acs всё, что прописано в group-policy в циске, тем самым оставив на циске только tunnel-group. ничего не меняется. всё усугубляется тем, что acs не железный, а в esx. кроме того консоль acs убогая, нету даже банального capture, да и debug абсолютно бесполезен( я уже выписал со склада asa для экспериментов и написал служебку на организацию span для порта куда включен acs, кроме того организую получение securuty лога c контроллера домена, куда лезет acs. еще есть подозрение на домен, неделю назад перевели домен с win2k3r2 на win2k8r2. буду разбираться, отпишусь по результатам. |
Автор: | nd4w [ 06 апр 2010, 09:02 ] |
Заголовок сообщения: | Re: acs 5.1 & ms domain auth |
так, похоже что я нашел корень зла. в конфиге acs были прописаны два днс-сервака(по-совместительству контроллеры домена win2k8r2), сделал только один: "ip name-server 1.2.3.4 " видать очередной баг acs5( прошу перенести в решенные |
Автор: | nd4w [ 08 апр 2010, 12:24 ] |
Заголовок сообщения: | Re: acs 5.1 & ms domain auth |
Fedia, перенесите пожалуйста в решенные. проблема больше не проявляется. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |