HA ASA 5516-X + sfr

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
rebe83
fresh
fresh
Posty: 5
Rejestracja: 19 lis 2016, 18:18

HA ASA 5516-X + sfr

#1

#1 Post autor: rebe83 »

Witam,
Uruchomiłem HA składające z sie z dwóch ASA-5516-X.
Skonfigurowałem dwa moduły SFR.
Zarządzam IPS lokalnie bez FMC.
Próbuje uruchomić rozpoznawanie użytkowników laczac sie z DC po ldapie, dla ASA łatwo ale jak to zrobić dla modułów SFR??
Czy ktos robił coś takiego przy zarządzaniu lokalnym przez ASDMa?

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: HA ASA 5516-X + sfr

#2

#2 Post autor: drake »

Hej, to zarzadzasz lokalnie czy przez FMC??
Da sie, skonfiguruj realm (Integration), jednakze do odpytywania mapowania user/IP bedzie potrzebny zainstalowany na jakims serwerze/komputerze Cisco User Agent. Zeby wsio dzialalo jest troche wymagan, poczytaj w dokumentacji FMC i Cisco User Agent, jest dokladnie wyszczegolnione co i jak.
BTW, pewnie wiesz ze HA na ASA nie oznacza HA modulow SFR i ich konfig nie jest synchronizowany
... Osobny konfig, osobny Backup....

Pozdruffka!
Never stop exploring :)

https://iverion.de

rebe83
fresh
fresh
Posty: 5
Rejestracja: 19 lis 2016, 18:18

Re: HA ASA 5516-X + sfr

#3

#3 Post autor: rebe83 »

Cześć,
Niestety Cisco User Agent nie udało mi się zainstalować na DC, win 2012, wbrew temu co mówi cisco ,że to łatwe i przyjemne.
Jest taki produkt Cisco CDA który ułatwia rozpoznawanie userów z przypisanym do nich IP- ale produkt tez jest bardziej przewidziany do integracji z samą ASA nie nie modułem SFR.
Zarządzanie SFR za pomocą ASDM jest tragiczne, zmiana strefy czasowej praktycznie nie możliwa, pozostaje tylko dokupienie virtualngo FMC i ogarnięce tego w taki sposób.

Jak wygląda przełączanie HA na asach za pomocą ASDMa , ktoś robił ?

Pozdrawiam
Rebe83

Awatar użytkownika
polak
wannabe
wannabe
Posty: 294
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: HA ASA 5516-X + sfr

#4

#4 Post autor: polak »

Monitoring->Failover->Status (i tam możesz przełączyć)
King Kong ain't got shit on me!

chunkpunk
wannabe
wannabe
Posty: 55
Rejestracja: 31 mar 2011, 10:40

Re: HA ASA 5516-X + sfr

#5

#5 Post autor: chunkpunk »

Nie instaluj AD agenta na DC tyllko na workstacji , u mnie to działa wyśmienicie i bez problemów , userzy sa łądnie rozpoznawani z grup AD
:)

Gizmo
wannabe
wannabe
Posty: 185
Rejestracja: 28 sty 2008, 21:55

Re: HA ASA 5516-X + sfr

#6

#6 Post autor: Gizmo »

Agenta nie instaluje się na DC, pyszczy nawet o tym przy próbie instalacji. Tylko stacja albo serwer nie będący żadnym DC.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark

rebe83
fresh
fresh
Posty: 5
Rejestracja: 19 lis 2016, 18:18

Re: HA ASA 5516-X + sfr

#7

#7 Post autor: rebe83 »

Wszystko się zgadza, postawiłem na serwerku obok.

ODPOWIEDZ