CCIE.pl

site 4 CCIE wannabies
It is currently 23 Jan 2017, 09:33

All times are UTC+01:00




Post new topic  Reply to topic  [ 9 posts ] 
Author Message
Post #1 Posted: 12 Aug 2015, 15:26 
Offline
wannabe
wannabe
User avatar

Joined: 03 Mar 2008, 12:10
Posts: 266
Siema,

mam uzytkownika AD w dwoch grupach AD:
Code:
map-value memberOf CN=*|vpn|WKS,OU=GAST_Gruppen,OU=GAST,DC=*,DC=*,DC=* GP-External-WKS
map-value memberOf CN=*|vpn|LS-IDS,OU=GAST_Gruppen,OU=GAST,DC=*,DC=*,DC=* GP-External-LSIDS

1) Gdy ten laczy sie z AnyConnect przez profil WKS, dziala.
2) Gdy wybiera profil LSIDS, nie dziala. ASA laduje mu profil WKS. Dlaczego? W logach mam:
Code:
*
[4117] Authentication successful for X30000909 to 10.170.172.8
*
[4117]    memberOf: value = CN=*|vpn|WKS,OU=GAST_Gruppen,OU=GAST,DC=*,DC=*,DC=*
[4117]       mapped to Group-Policy: value = GP-External-WKS
[4117]       mapped to LDAP-Class: value = GP-External-WKS
[4117]    memberOf: value = CN=*|vpn|LS-IDS,OU=GAST_Gruppen,OU=GAST,DC=*,DC=*,DC=*
[4117]       mapped to Group-Policy: value = GP-External-LSIDS
[4117]       mapped to LDAP-Class: value = GP-External-LSIDS

oraz
Code:
6   Aug 12 2015   14:57:52   113004               AAA user authentication Successful : server =  10.170.172.8 : user = X30000909
6   Aug 12 2015   14:57:52   113003               AAA group policy for user X30000909 is being set to GP-External-WKS
6   Aug 12 2015   14:57:52   113011               AAA retrieved user specific group policy (GP-External-WKS) for user = X30000909
6   Aug 12 2015   14:57:52   113009               AAA retrieved default group policy (GP-NoAccess) for user = X30000909
6   Aug 12 2015   14:57:52   113008               AAA transaction status ACCEPT : user = X30000909

Jak wymusic na ASA, aby przy wyborze connection profilu 2 ASA ladowala mu group profile 2?


Top
   
 Post subject:
Post #2 Posted: 12 Aug 2015, 19:40 
Offline
member
member

Joined: 25 Feb 2009, 07:09
Posts: 29
Witam,

Myślę że problem tkwi w wbudowanym systemie wyboru GP w sytuacji gdy użytkownik znajduje się w kilku różnych grupach (memberOf) link
Sam mam również z tym problem i zastanawiam się czy nie przejść z LDAP na Radius a polityki definiować na NPSie (środowisko Windows). Ewentualnie możesz drugi connection profile zdefiniować z innym AAA (na tą samą grupę serwerów) posiadającym zmodyfikowaną mapę ldap (np. bez pierwszego wpisu).


Top
   
 Post subject:
Post #3 Posted: 12 Aug 2015, 22:21 
Offline
wannabe
wannabe
User avatar

Joined: 03 Mar 2008, 12:10
Posts: 266
Dobry link, dzięki. I mamy wyjaśnienie.

Sprawdzałeś z drugim AAA SERVER i osobną ATTRIBUTE MAP? Działa to?
Pomysł z Windows NPS nie głupi, jednak u tego klienta nie chcę grzabać w Windzie. Mają podział na działy sieciowe i serwerowe, ludzie z sieci są w porządku, zaś z windowsów... "dziwni".


Top
   
 Post subject:
Post #4 Posted: 13 Aug 2015, 10:01 
Offline
member
member

Joined: 25 Feb 2009, 07:09
Posts: 29
dawid.mitura wrote:
Sprawdzałeś z drugim AAA SERVER i osobną ATTRIBUTE MAP? Działa to?

Tak, mam u klienta zdefiniowane dwie grupy AAA odnoszące się do tych samych serwerów podpięte pod różne ConnP. W ramach każdej grupy mam różne base dn (dla pracowników oraz partnerów) oraz podpięte różne ldap mapy (analogiczne dla pracowników, partnerów). Rozwiązanie działa i w pewny sposób przy odpowiednich mapach zabezpiecza przed wrzuceniem usera (jak dla mnie) losowo do Group Policy.


Top
   
 Post subject:
Post #5 Posted: 13 Aug 2015, 14:06 
Offline
wannabe
wannabe
User avatar

Joined: 03 Mar 2008, 12:10
Posts: 266
Mam 8 grup AD, 8 GP i TG na ASA. Swtorzylem nowy aaa-server z nowa ATTRIBUTE MAP dla jednej z grup i to przetestowalem. Dziala.

Teraz tak: Jesli dobrze zrozumialem, dla kazdej z grupy musze stworzyc nowy aaa-server z nowa Attribute Map? Czy moge zrealizowac to nieco efektywniej?

---
Quote:
mapach zabezpiecza przed wrzuceniem usera (jak dla mnie) losowo do Group Policy.

W tym wypadku korzystam z takiej GP:
Code:
group-policy GP-NoAccess internal
group-policy GP-NoAccess attributes
 wins-server none
 dns-server value none
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol l2tp-ipsec

Jesli uzytkownik nie zostanie poprawnie zidentyfikowany (nie nalezy do zadnej z grupy AD lub nie ma go w lokalnej bazie ASA, wskakuje do NoAccess i nie moze sie zalogowac.

---

Update:
No i rozmawialem z tymi od Windowsow. I dupa, lenie nie chca stworzyc osobnych uzytkownikow w grupie 1, 2, 3 itp. Stworzylem 8 AAA-SERVERS z 8 ATTRIBUTES MAP i przypisalem je do odpowiednich Tunnel Groups. Dziala. Dzieki raz jeszcze za pomoc.


Top
   
 Post subject:
Post #6 Posted: 09 Sep 2015, 15:11 
Offline
fresh
fresh

Joined: 09 Sep 2015, 15:02
Posts: 2
Można to również było rozwiązać przy użyciu Dynamic Access Policy.


Top
   
Post #7 Posted: 04 Aug 2016, 10:48 
Offline
member
member

Joined: 30 Mar 2015, 12:32
Posts: 17
Witam!

Można się podpiąć pod temat. Chcę stworzyć kilka grup dostępu prze ANNY, z weryfikacją przez grupy w AD. Mam problem z uwierzytelnieniem, a dokładnie uwierzytelniani są wszystkich którzy występują w AD.
Oczywiście czytałem, że trzeba zrobić group-polucy NOAccess ale w tedy mi w ogóle się nie uwierzytelniają.
Dodatkowo nie widzę wpisu przy debagowaniu
mapped to Group-Policy: value =VPN_Cisco.

Co mam nie tak można prosić o podpowiedz ??

poniżej conf

aaa-server AAA_VPN protocol ldap
aaa-server AAA_VPN (in) host x.x.x.x
server-port 636
ldap-base-dn dc=test,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password xxxxxxx
ldap-login-dn user@test.local
ldap-over-ssl enable
server-type microsoft
ldap-attribute-map LDAP-VPN

ldap attribute-map LDAP-VPN
map-name memberOF Group-Policy
map-value memberOF CN=VPN_Cisco,CN=Users,DC=test,DC=local VPN_Cisco

access-list ACL_VPN extended permit ip host x.x.x.x x.x.x.x 255.255.255.0

group-policy GroupPolicy_VPN internal
group-policy GroupPolicy_VPN attributes
wins-server none
dns-server value x.x.x.x
vpn-simultaneous-logins 5
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL_VPN
default-domain value test.pl
webvpn
anyconnect profiles value TEST_client_profile type user

group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
vpn-tunnel-protocol ikev2 ssl-client
address-pools none

tunnel-group TUNEL_VPN type remote-access
tunnel-group TUNEL_VPN general-attributes
address-pool VPN_Pool_
authentication-server-group AAA_VPN
default-group-policy GroupPolicy_VPN
tunnel-group TUNEL_VPN webvpn-attributes
group-alias TPT_Axapta enable


Top
   
Post #8 Posted: 04 Aug 2016, 13:16 
Offline
member
member

Joined: 30 Mar 2015, 12:32
Posts: 17
W końcu zrozumiałem jak to jest z tymi group-policy i LDAP i zrobiłem. Dzięki za chęci :)


Top
   
Post #9 Posted: 17 Nov 2016, 10:49 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
Czy udało się komuś ten problem rozwiązać bo mam podobny?
i utknąłem. ..


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 9 posts ] 

All times are UTC+01:00


Who is online

Users browsing this forum: No registered users and 2 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited