Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 14:34



Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 7 ] 
acs 5.1 & ms domain auth 
Автор Сообщение

Зарегистрирован: 15 янв 2010, 14:33
Сообщения: 117
Сталкивался ли кто-нибудь с такой проблемой:
acs5.1 аутентифицирует учетки юзеров в active directory или во внутренней базе.
подключаюсь по впн(ipsec), ввожу логин-пароль, тоннель поднимается, всё казалось бы ферштейн, но в логах acs(AAA Protocol > RADIUS Authentication Detail) появляется две записи:
первая - аутентификация прошла(Authentication succeeded)
вторая - примерно через 100-110 миллисекунд, что аутентификация не прошла(Authentication failed : 24408 User authentication against Active Directory failed since user has entered the wrong password)?


юзеры из внутренней базы аутентифицируются нормально
контроллеры домена на win2k8r2
vpn шлюзом работает asa5520, на асе примерно следующий конфиг:
Код:
aaa-server ACS5 protocol radius
aaa-server ACS5 (inside) host 172.20.17.148
 key somekey
[...]
tunnel-group  somegroup general-attributes
authentication-server-group ACS5 LOCAL
accounting-server-group ACS5
default-group-policy somepolicy
[...]
group-policy somepolicy  internal
group-policy somepolicy attributes
 dns-server value 172.20.17.100
 vpn-idle-timeout 30
 group-lock value somegroup
 ipsec-udp enable
 ipsec-udp-port 10000
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value someacl
 default-domain value somedomain.local

примерно, т.к. сегодня уже до running конфига не доберусь

логи acs экспортированные в html выложил сюда: http://drop.io/ljgs8na5047


05 апр 2010, 14:17
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
А как сам ACS настроен? Если попробовать телнетом (ssh) к АСАшке прицепиться, применяя это правило ААА, получится?

Базы РАДИУС и AD, получается, объединены?

Помнится, что в 4.2 надо было заволить пользователя, такого же как в АД, и явно указывать, что его надо аутентифицировать в Микрософтовской базе.


05 апр 2010, 15:02
Профиль

Зарегистрирован: 15 янв 2010, 14:33
Сообщения: 117
Цитата:
Если попробовать телнетом (ssh) к АСАшке прицепиться, применяя это правило ААА, получится?

к аса(ssh) подключиться этой учеткой не получится, т.к. на аса:
aaa authentication ssh console LOCAL

Цитата:
А как сам ACS настроен?
жалко что в acs не сделать полноценный sh run) попытаюсь кратко описать то, что я наворотил в вебморде:
1. id. store.
1.1. сконфигурировано подключение к АД(Users and Identity Stores > ... > External Identity Stores > Active Directory), указано конкретное directory group, где происходит поиск юзеров, directory attributes не заданы.
1.2. созданы несколько ident. groups и заведены несколько internal users, к которым прикручены ident. groups
1.3 Создано Identity Store Sequences, где определен Authentication and Attribute Retrieval Search List(то есть где ищем пользователей и их атрибуты):
Internal users(внутренние юзеры)
AD1(так acs обозвал привязку к домену)
2. Policy elements.
тут созданы несколько authoriz. profiles. загружаемые листы(donwloadable acl) пока нигде не накатываются.
authoriz. profiles дефолтовые, используется только проверка
ietf radius att. 25 - Class
3. Access Policies.
3.1 создан и включен всего один access service, который срабатывает если Protocol = Radius
3.2 identity установлен в режим single mode selection, которые всегда отсылает в ident store из п.1.3, Advanced Options установлено в режим Reject для всех предлагаемых условий.
3.3 в group mapping создано одно правило следующего содержания:
Если AD-AD1:ExternalGroups contains all ASD1.local/Служебные/ServiceGroup/gVPNUser, Тогда
Ident group = All Groups:ASD1:gVPNUser (если группа AD соответвтвующая пользователю равна той, что указана в directory group из п.1.1, то мапим этого пользователя во внутреннюю группу(internal ident group, одна из созданных в п.1.2)
3.4 в authorization созданы Exception Policy, правила такого вида:
Если System:IdentityGroup in All Groups:ASD1:gVPNUser, тогда использовать определенный authoriz. profile.

как происходит процесс:
11001 Received RADIUS Access-Request
11017 RADIUS created a new session
Evaluating Service Selection Policy
15004 Matched rule ( п.3.1)
15012 Selected Access Service - asd1 (п.3.1)
Evaluating Identity Policy
15006 Matched Default Rule (п.3.2)
15013 Selected Identity Store - AD1 (учетка уходит проверяться по списку из 1.3)
24210 Looking up User in Internal Users IDStore - Putty.VW
24216 The user is not found in the internal users identity store
24430 Authenticating user against Active Directory
24416 User's Groups retrieval from Active Directory succeeded
24402 User authentication against Active Directory succeeded
22037 Authentication Passed
Evaluating Group Mapping Policy
15004 Matched rule (отработала привязка доменной группы к внутренней группе п.3.3 )
Evaluating Exception Authorization Policy
15004 Matched rule ( сработало правило определяющее autoriz. profile для пользователей внутренней базы, куда смаплены доменные юзеры)
15016 Selected Authorization Profile - (применяется профиль(autiriz. profile) из п.2 и на циску улетает IETF 25 атрибут накатывающий нужную group-policy к впн-сессии)
11002 Returned RADIUS Access-Accept

Цитата:
Базы РАДИУС и AD, получается, объединены?
Помнится, что в 4.2 надо было заволить пользователя, такого же как в АД, и явно указывать, что его надо аутентифицировать в Микрософтовской базе.
нет, базы отдельные. да в четверке была такая тема, причем интересно, что в параллель(но на других tunnel-group) работает старый добрый acs4.2, там часть юзеров тоже привязана в части аутентификации паролей к домену, тоже все работает, но в только в логи там падает только success записи, нету такого, чтоб было что доступ есть а запись логов утверждает обратное.


05 апр 2010, 16:17
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Ну не так уж и сложно написать
aaa authen telnet console AD :))

Может какой групповой атрибут не привязывается? Может downloadable ACL в группе есть и написаны с ошибкой?
Какие атрибуты передает АД на РАДИУС? Только 25? Названия по-моему case-sensitive


05 апр 2010, 16:28
Профиль

Зарегистрирован: 15 янв 2010, 14:33
Сообщения: 117
эх в моей "мегакорпорации" даже чтоб получить running конфигу головной циски надо служебку писать, зоны ответственности и всё такое)

Цитата:
Может какой групповой атрибут не привязывается? Может downloadable ACL в группе есть и написаны с ошибкой?
да чёрт его знает, дело в том, что всё работает, то есть впн поднимается, acl применяются, group-lock и прочее. кроме того, acs4.2 отлично работает, аутентифицирует юзеров в домене. т.е. явных проблем никаких нету, вся проблема только в том, что при подключении появляется две противоречивые записи в логах acs5

Цитата:
Какие атрибуты передает АД на РАДИУС? Только 25? Названия по-моему case-sensitive
ад в радиус предает только "ExternalGroups"(то есть группы в которых состоит юзер в домене, это происходит в цепочке событий 24430, 24416, 24402, 22037 из моего прошлого поста), радиус передаёт в циску только 25-й атрибут.
я пробовал сделать:
authorization-server-group ACS5
то есть накатывать через acs всё, что прописано в group-policy в циске, тем самым оставив на циске только tunnel-group. ничего не меняется.

всё усугубляется тем, что acs не железный, а в esx. кроме того консоль acs убогая, нету даже банального capture, да и debug абсолютно бесполезен(

я уже выписал со склада asa для экспериментов и написал служебку на организацию span для порта куда включен acs, кроме того организую получение securuty лога c контроллера домена, куда лезет acs. еще есть подозрение на домен, неделю назад перевели домен с win2k3r2 на win2k8r2.

буду разбираться, отпишусь по результатам.


06 апр 2010, 08:09
Профиль

Зарегистрирован: 15 янв 2010, 14:33
Сообщения: 117
так, похоже что я нашел корень зла.

в конфиге acs были прописаны два днс-сервака(по-совместительству контроллеры домена win2k8r2), сделал только один:
"ip name-server 1.2.3.4 "

видать очередной баг acs5(

прошу перенести в решенные


06 апр 2010, 09:02
Профиль

Зарегистрирован: 15 янв 2010, 14:33
Сообщения: 117
Fedia, перенесите пожалуйста в решенные. проблема больше не проявляется.


08 апр 2010, 12:24
Профиль
Показать сообщения за:  Поле сортировки  
Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB