CCIE.pl

site 4 CCIE wannabies
It is currently 19 Aug 2017, 03:29

All times are UTC+02:00




Post new topic  Reply to topic  [ 4 posts ] 
Author Message
Post #1 Posted: 21 Apr 2017, 08:49 
Offline
member
member

Joined: 17 Jan 2008, 08:59
Posts: 21
Witam

Mam obecnie działającego anyconnecta, który to autentykuje użytkowników na serwerze RSA. RSA przesyła w RADIUS access-accept atrybut "class", który to definuije group policy dla danego użytkownika. Konfiguracja całkiem standardowa i działa.
Przyszedł jednak pomysł, żeby wykorzystać ISE jako serwer RADIUS dla ASA (ze względu na posture). Więc skonfigurowałem RSA jako external identity source/RADIUS token server. I prawie działa tak jakbym chciał. Uzytkownik może się zautentykować uzywając pincode z RSA. Problemem jest autoryzacja. Chce użyć tego samego atrybutu "class", ktory jest już skonfigurowany dla połaczenia z ASA to przydzielania authorization policy w ISE. W zakładce "authorization" servera RADIUS token ustawiłem atrybut "class". Jednak wydaje się, że ISE go albo ignoruje albo nie interpretuje prawidłowo.
Czy może ktoś spotkał się z takim działaniem? Czy atrybuty z IETF-RADIUS potrzebują być wpisane w jakiejś specjalnej formie? A może parsowane jest tylko Cisco av-pair z access-accept?

Dla ustalenia uwagi mam ISE 2.1, patch 3.

_________________
Be part of the solution ... not part of the problem.


Top
   
Post #2 Posted: 24 Apr 2017, 11:01 
Offline
fresh
fresh

Joined: 29 Oct 2015, 11:58
Posts: 9
Hej,
Musiałbym przejrzeć dokładnie konfigurację (nie jest jeszcze użyta produkcyjnie) ale w moim przypadku na ASA w pierwszej kolejności jest wybrane ISE (dla Authentication) które przekierowuje zapytania do zewnętrznego serwera RADIUS z 2FA (wymiksowaliśmy się z RSA bo było w h drogie przy przedłużaniu licencji a liczba userów bardzo nam się powiększała) , oprócz tego w mam Authorization również wybrane ISE i przy takiej konfiguracji Posture działa ;) . Jest gdzieś artykuł na Cisco dla takiego scenariusza.


Top
   
Post #3 Posted: 24 Apr 2017, 14:57 
Offline
member
member

Joined: 17 Jan 2008, 08:59
Posts: 21
U mnie też to działa podobnie. Znaczy ASA pyta po RADIUS ISE a ISE przekazuje zapytanie do external token servera. Problem jest taki, że external token server (RSA) w access-accept wysyła atrybut "class", który to atrybut chciałbym użyć w regułach autoryzacji na ISE. I pomimo ustawienia w zakładce authorization RADIUS token serwera to nie działa. Wygląda na to, jakby ISE nie interpretował poprawnie tego, co dostał w access-accept. Jak sobie buduje regułę do autoryzacji to moge wybrać RSA_RADIUS:Class jako warunek, natomiast wydaje się, jakkby tam była zawsze pusta wartość.

_________________
Be part of the solution ... not part of the problem.


Top
   
Post #4 Posted: 04 May 2017, 10:18 
Offline
member
member

Joined: 17 Jan 2008, 08:59
Posts: 21
Dla podsumowania. Case oratł się o TAC i sprawa została rozwiązana przez zmianę konfiguracji. Zamiast korzystać z atrybutu "class" skonfigurowałe serwer RSA żeby wysyłał w access-accept Cisco av-pair ACS:Cisco-Secure-Group-Id=<nazwa grupy>. I przy tym ustawieniu zadziałało. Nie jest to może dokładie to o co mi chodziło, ale ma jedną podstawową zalete - działa.

_________________
Be part of the solution ... not part of the problem.


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 4 posts ] 

All times are UTC+02:00


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited