CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 16 gru 2017, 13:50

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 4 ] 
Autor Wiadomość
Post #1 : 21 kwie 2017, 08:49 
Offline
member
member

Rejestracja: 17 sty 2008, 08:59
Posty: 23
Witam

Mam obecnie działającego anyconnecta, który to autentykuje użytkowników na serwerze RSA. RSA przesyła w RADIUS access-accept atrybut "class", który to definuije group policy dla danego użytkownika. Konfiguracja całkiem standardowa i działa.
Przyszedł jednak pomysł, żeby wykorzystać ISE jako serwer RADIUS dla ASA (ze względu na posture). Więc skonfigurowałem RSA jako external identity source/RADIUS token server. I prawie działa tak jakbym chciał. Uzytkownik może się zautentykować uzywając pincode z RSA. Problemem jest autoryzacja. Chce użyć tego samego atrybutu "class", ktory jest już skonfigurowany dla połaczenia z ASA to przydzielania authorization policy w ISE. W zakładce "authorization" servera RADIUS token ustawiłem atrybut "class". Jednak wydaje się, że ISE go albo ignoruje albo nie interpretuje prawidłowo.
Czy może ktoś spotkał się z takim działaniem? Czy atrybuty z IETF-RADIUS potrzebują być wpisane w jakiejś specjalnej formie? A może parsowane jest tylko Cisco av-pair z access-accept?

Dla ustalenia uwagi mam ISE 2.1, patch 3.

_________________
Be part of the solution ... not part of the problem.


Na górę
Post #2 : 24 kwie 2017, 11:01 
Offline
rookie
rookie

Rejestracja: 29 paź 2015, 11:58
Posty: 10
Hej,
Musiałbym przejrzeć dokładnie konfigurację (nie jest jeszcze użyta produkcyjnie) ale w moim przypadku na ASA w pierwszej kolejności jest wybrane ISE (dla Authentication) które przekierowuje zapytania do zewnętrznego serwera RADIUS z 2FA (wymiksowaliśmy się z RSA bo było w h drogie przy przedłużaniu licencji a liczba userów bardzo nam się powiększała) , oprócz tego w mam Authorization również wybrane ISE i przy takiej konfiguracji Posture działa ;) . Jest gdzieś artykuł na Cisco dla takiego scenariusza.


Na górę
Post #3 : 24 kwie 2017, 14:57 
Offline
member
member

Rejestracja: 17 sty 2008, 08:59
Posty: 23
U mnie też to działa podobnie. Znaczy ASA pyta po RADIUS ISE a ISE przekazuje zapytanie do external token servera. Problem jest taki, że external token server (RSA) w access-accept wysyła atrybut "class", który to atrybut chciałbym użyć w regułach autoryzacji na ISE. I pomimo ustawienia w zakładce authorization RADIUS token serwera to nie działa. Wygląda na to, jakby ISE nie interpretował poprawnie tego, co dostał w access-accept. Jak sobie buduje regułę do autoryzacji to moge wybrać RSA_RADIUS:Class jako warunek, natomiast wydaje się, jakkby tam była zawsze pusta wartość.

_________________
Be part of the solution ... not part of the problem.


Na górę
Post #4 : 04 maja 2017, 10:18 
Offline
member
member

Rejestracja: 17 sty 2008, 08:59
Posty: 23
Dla podsumowania. Case oratł się o TAC i sprawa została rozwiązana przez zmianę konfiguracji. Zamiast korzystać z atrybutu "class" skonfigurowałe serwer RSA żeby wysyłał w access-accept Cisco av-pair ACS:Cisco-Secure-Group-Id=<nazwa grupy>. I przy tym ustawieniu zadziałało. Nie jest to może dokładie to o co mi chodziło, ale ma jedną podstawową zalete - działa.

_________________
Be part of the solution ... not part of the problem.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 4 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl