Anticisco
https://anticisco.ru/forum/

acs 5.1 & ms domain auth
https://anticisco.ru/forum/viewtopic.php?f=8&t=674
Страница 1 из 1

Автор:  nd4w [ 05 апр 2010, 14:17 ]
Заголовок сообщения:  acs 5.1 & ms domain auth

Сталкивался ли кто-нибудь с такой проблемой:
acs5.1 аутентифицирует учетки юзеров в active directory или во внутренней базе.
подключаюсь по впн(ipsec), ввожу логин-пароль, тоннель поднимается, всё казалось бы ферштейн, но в логах acs(AAA Protocol > RADIUS Authentication Detail) появляется две записи:
первая - аутентификация прошла(Authentication succeeded)
вторая - примерно через 100-110 миллисекунд, что аутентификация не прошла(Authentication failed : 24408 User authentication against Active Directory failed since user has entered the wrong password)?


юзеры из внутренней базы аутентифицируются нормально
контроллеры домена на win2k8r2
vpn шлюзом работает asa5520, на асе примерно следующий конфиг:
Код:
aaa-server ACS5 protocol radius
aaa-server ACS5 (inside) host 172.20.17.148
 key somekey
[...]
tunnel-group  somegroup general-attributes
authentication-server-group ACS5 LOCAL
accounting-server-group ACS5
default-group-policy somepolicy
[...]
group-policy somepolicy  internal
group-policy somepolicy attributes
 dns-server value 172.20.17.100
 vpn-idle-timeout 30
 group-lock value somegroup
 ipsec-udp enable
 ipsec-udp-port 10000
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value someacl
 default-domain value somedomain.local

примерно, т.к. сегодня уже до running конфига не доберусь

логи acs экспортированные в html выложил сюда: http://drop.io/ljgs8na5047

Автор:  Fedia [ 05 апр 2010, 15:02 ]
Заголовок сообщения:  Re: acs 5.1 & ms domain auth

А как сам ACS настроен? Если попробовать телнетом (ssh) к АСАшке прицепиться, применяя это правило ААА, получится?

Базы РАДИУС и AD, получается, объединены?

Помнится, что в 4.2 надо было заволить пользователя, такого же как в АД, и явно указывать, что его надо аутентифицировать в Микрософтовской базе.

Автор:  nd4w [ 05 апр 2010, 16:17 ]
Заголовок сообщения:  Re: acs 5.1 & ms domain auth

Цитата:
Если попробовать телнетом (ssh) к АСАшке прицепиться, применяя это правило ААА, получится?

к аса(ssh) подключиться этой учеткой не получится, т.к. на аса:
aaa authentication ssh console LOCAL

Цитата:
А как сам ACS настроен?
жалко что в acs не сделать полноценный sh run) попытаюсь кратко описать то, что я наворотил в вебморде:
1. id. store.
1.1. сконфигурировано подключение к АД(Users and Identity Stores > ... > External Identity Stores > Active Directory), указано конкретное directory group, где происходит поиск юзеров, directory attributes не заданы.
1.2. созданы несколько ident. groups и заведены несколько internal users, к которым прикручены ident. groups
1.3 Создано Identity Store Sequences, где определен Authentication and Attribute Retrieval Search List(то есть где ищем пользователей и их атрибуты):
Internal users(внутренние юзеры)
AD1(так acs обозвал привязку к домену)
2. Policy elements.
тут созданы несколько authoriz. profiles. загружаемые листы(donwloadable acl) пока нигде не накатываются.
authoriz. profiles дефолтовые, используется только проверка
ietf radius att. 25 - Class
3. Access Policies.
3.1 создан и включен всего один access service, который срабатывает если Protocol = Radius
3.2 identity установлен в режим single mode selection, которые всегда отсылает в ident store из п.1.3, Advanced Options установлено в режим Reject для всех предлагаемых условий.
3.3 в group mapping создано одно правило следующего содержания:
Если AD-AD1:ExternalGroups contains all ASD1.local/Служебные/ServiceGroup/gVPNUser, Тогда
Ident group = All Groups:ASD1:gVPNUser (если группа AD соответвтвующая пользователю равна той, что указана в directory group из п.1.1, то мапим этого пользователя во внутреннюю группу(internal ident group, одна из созданных в п.1.2)
3.4 в authorization созданы Exception Policy, правила такого вида:
Если System:IdentityGroup in All Groups:ASD1:gVPNUser, тогда использовать определенный authoriz. profile.

как происходит процесс:
11001 Received RADIUS Access-Request
11017 RADIUS created a new session
Evaluating Service Selection Policy
15004 Matched rule ( п.3.1)
15012 Selected Access Service - asd1 (п.3.1)
Evaluating Identity Policy
15006 Matched Default Rule (п.3.2)
15013 Selected Identity Store - AD1 (учетка уходит проверяться по списку из 1.3)
24210 Looking up User in Internal Users IDStore - Putty.VW
24216 The user is not found in the internal users identity store
24430 Authenticating user against Active Directory
24416 User's Groups retrieval from Active Directory succeeded
24402 User authentication against Active Directory succeeded
22037 Authentication Passed
Evaluating Group Mapping Policy
15004 Matched rule (отработала привязка доменной группы к внутренней группе п.3.3 )
Evaluating Exception Authorization Policy
15004 Matched rule ( сработало правило определяющее autoriz. profile для пользователей внутренней базы, куда смаплены доменные юзеры)
15016 Selected Authorization Profile - (применяется профиль(autiriz. profile) из п.2 и на циску улетает IETF 25 атрибут накатывающий нужную group-policy к впн-сессии)
11002 Returned RADIUS Access-Accept

Цитата:
Базы РАДИУС и AD, получается, объединены?
Помнится, что в 4.2 надо было заволить пользователя, такого же как в АД, и явно указывать, что его надо аутентифицировать в Микрософтовской базе.
нет, базы отдельные. да в четверке была такая тема, причем интересно, что в параллель(но на других tunnel-group) работает старый добрый acs4.2, там часть юзеров тоже привязана в части аутентификации паролей к домену, тоже все работает, но в только в логи там падает только success записи, нету такого, чтоб было что доступ есть а запись логов утверждает обратное.

Автор:  Fedia [ 05 апр 2010, 16:28 ]
Заголовок сообщения:  Re: acs 5.1 & ms domain auth

Ну не так уж и сложно написать
aaa authen telnet console AD :))

Может какой групповой атрибут не привязывается? Может downloadable ACL в группе есть и написаны с ошибкой?
Какие атрибуты передает АД на РАДИУС? Только 25? Названия по-моему case-sensitive

Автор:  nd4w [ 06 апр 2010, 08:09 ]
Заголовок сообщения:  Re: acs 5.1 & ms domain auth

эх в моей "мегакорпорации" даже чтоб получить running конфигу головной циски надо служебку писать, зоны ответственности и всё такое)

Цитата:
Может какой групповой атрибут не привязывается? Может downloadable ACL в группе есть и написаны с ошибкой?
да чёрт его знает, дело в том, что всё работает, то есть впн поднимается, acl применяются, group-lock и прочее. кроме того, acs4.2 отлично работает, аутентифицирует юзеров в домене. т.е. явных проблем никаких нету, вся проблема только в том, что при подключении появляется две противоречивые записи в логах acs5

Цитата:
Какие атрибуты передает АД на РАДИУС? Только 25? Названия по-моему case-sensitive
ад в радиус предает только "ExternalGroups"(то есть группы в которых состоит юзер в домене, это происходит в цепочке событий 24430, 24416, 24402, 22037 из моего прошлого поста), радиус передаёт в циску только 25-й атрибут.
я пробовал сделать:
authorization-server-group ACS5
то есть накатывать через acs всё, что прописано в group-policy в циске, тем самым оставив на циске только tunnel-group. ничего не меняется.

всё усугубляется тем, что acs не железный, а в esx. кроме того консоль acs убогая, нету даже банального capture, да и debug абсолютно бесполезен(

я уже выписал со склада asa для экспериментов и написал служебку на организацию span для порта куда включен acs, кроме того организую получение securuty лога c контроллера домена, куда лезет acs. еще есть подозрение на домен, неделю назад перевели домен с win2k3r2 на win2k8r2.

буду разбираться, отпишусь по результатам.

Автор:  nd4w [ 06 апр 2010, 09:02 ]
Заголовок сообщения:  Re: acs 5.1 & ms domain auth

так, похоже что я нашел корень зла.

в конфиге acs были прописаны два днс-сервака(по-совместительству контроллеры домена win2k8r2), сделал только один:
"ip name-server 1.2.3.4 "

видать очередной баг acs5(

прошу перенести в решенные

Автор:  nd4w [ 08 апр 2010, 12:24 ]
Заголовок сообщения:  Re: acs 5.1 & ms domain auth

Fedia, перенесите пожалуйста в решенные. проблема больше не проявляется.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/