CCIE.pl

site 4 CCIE wannabies
It is currently 24 Jan 2017, 14:23

All times are UTC+01:00




Post new topic  Reply to topic  [ 7 posts ] 
Author Message
 Post subject: VPN RA - Cisco ASA z NPS
Post #1 Posted: 16 Nov 2016, 10:33 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
Witam,

Mam pytanie, do bardziej doświadczonych osób

Cisco ASA obsługuje VPN RA, mam na niej kilka grup z różnymi politykami dostępu.
Chcę wykorzystań do tego serwer NPS na Win2k8.
I działa, ale jak mam usera przypisanego do dwóch grup w AD to nie uwierzytelnia się poprawnie. tzn. wygląda to tak jakby brał tylko jedną grupę a drugą grupę nie brał pod uwagę.
Szukam w jaki sposób przekazać nazwę grupy czy polityki, ale coś nie idzie to... pomożecie?

Czy da się uwierzytelnić użytkowników, w zależność do jakich grup należą, znalazłem że numer atrybutu to 25, ale czy da się z użyciem radiusa czy tylko pozostaje LDAP?

Szukam coś na internecie, ale nie mogę doszukać się.


Top
   
Post #2 Posted: 16 Nov 2016, 18:33 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
Na asa mam soft w wersji asa961-lfbff-k8


Top
   
Post #3 Posted: 23 Nov 2016, 11:42 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
rozwiązałem problem,;)
ale może zapytam o inne rozwiązanie czy się da w ogóle tak zrobić:

Cisco ASA i Anyconnect lub clientless,
Czy da się zrobić tak, że wpisując login i hasło wrzuca nas do odpowiedniej grupy i przypisuje politykę dostępu?
Chcę pozbyć się wyboru grupy przez usera, a żeby to ASA robiła na podstawie przynależności do grupy w AD.

Powiem, że nie mam ISE ,a Windowsa z NPS;), Mogę skorzystać z LDAP albo RADIUS;)


Top
   
Post #4 Posted: 03 Dec 2016, 18:28 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
pomoże ktoś?


Top
   
Post #5 Posted: 03 Dec 2016, 20:07 
Offline
wannabe
wannabe

Joined: 27 Jan 2012, 12:37
Posts: 59
Poczytaj o Dynamic Access Policies


Top
   
Post #6 Posted: 03 Dec 2016, 21:32 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
eljot wrote:
Poczytaj o Dynamic Access Policies


Czytałem, ale mam problem dalej bo korzystam już z tego,

ale nie bardzo mogę ogarnąć sposób jak wyżej opisałem,
używałem atrybutów:
ldap.memberOF i biorę nazwę grupy z AD
cisco.tunnelgroup i nazwę grupy z ASA gdzie mam politykę dostępu

ale coś mi to nie działa. tak jak powinno, muszę dalej mieć możliwość wyboru grupy.


Top
   
Post #7 Posted: 21 Jan 2017, 23:58 
Offline
rookie
rookie
User avatar

Joined: 18 Apr 2014, 20:37
Posts: 13
Witam,
Ja ostatnio robiłem vpn u siebie z uwierzytelnianiem w domenie za pomocą LDAP, poniżej podsyłam konfig:
ldap attribute-map vpn_mapa_ldap

map-name memberOf Group-Policy

map-value memberOf CN=grupa1_domena,OU=GRUPY,DC=domena,DC=pl grupa1_asa
map-value memberOf CN=grupa2_domena,OU=GRUPY,DC=domena,DC=pl grupa2_asa

map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address





tunnel-group VPN general-attributes

authentication-server-group grupa_ldap

default-group-policy VPNPolicyDefault

password-management password-expire-in-days 5

group-policy grupa1_asa attributes

dns-server value 10.10.10.10 10.10.10.11

vpn-simultaneous-logins 1

vpn-session-timeout 120

vpn-filter value acl_grupa1_acl
vpn-tunnel-protocol ikev1 l2tp-ipsec ssl-client ssl-clientless

default-domain value domena.pl


Mam nadzieje, że pomoże jeśli jeszcze jest potrzebny.


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 7 posts ] 

All times are UTC+01:00


Who is online

Users browsing this forum: Yahoo [Bot] and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited