AnyConnect z AD - Problem z uzytkownikiem w 2och grupach AD

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

AnyConnect z AD - Problem z uzytkownikiem w 2och grupach AD

#1

#1 Post autor: dawid.mitura »

Siema,

mam uzytkownika AD w dwoch grupach AD:

Kod: Zaznacz cały

map-value memberOf CN=*|vpn|WKS,OU=GAST_Gruppen,OU=GAST,DC=*,DC=*,DC=* GP-External-WKS
map-value memberOf CN=*|vpn|LS-IDS,OU=GAST_Gruppen,OU=GAST,DC=*,DC=*,DC=* GP-External-LSIDS
1) Gdy ten laczy sie z AnyConnect przez profil WKS, dziala.
2) Gdy wybiera profil LSIDS, nie dziala. ASA laduje mu profil WKS. Dlaczego? W logach mam:

Kod: Zaznacz cały

*
[4117] Authentication successful for X30000909 to 10.170.172.8
*
[4117] 	memberOf: value = CN=*|vpn|WKS,OU=GAST_Gruppen,OU=GAST,DC=*,DC=*,DC=*
[4117] 		mapped to Group-Policy: value = GP-External-WKS
[4117] 		mapped to LDAP-Class: value = GP-External-WKS
[4117] 	memberOf: value = CN=*|vpn|LS-IDS,OU=GAST_Gruppen,OU=GAST,DC=*,DC=*,DC=*
[4117] 		mapped to Group-Policy: value = GP-External-LSIDS
[4117] 		mapped to LDAP-Class: value = GP-External-LSIDS
oraz

Kod: Zaznacz cały

6	Aug 12 2015	14:57:52	113004					AAA user authentication Successful : server =  10.170.172.8 : user = X30000909
6	Aug 12 2015	14:57:52	113003					AAA group policy for user X30000909 is being set to GP-External-WKS
6	Aug 12 2015	14:57:52	113011					AAA retrieved user specific group policy (GP-External-WKS) for user = X30000909
6	Aug 12 2015	14:57:52	113009					AAA retrieved default group policy (GP-NoAccess) for user = X30000909
6	Aug 12 2015	14:57:52	113008					AAA transaction status ACCEPT : user = X30000909
Jak wymusic na ASA, aby przy wyborze connection profilu 2 ASA ladowala mu group profile 2?

doxer
member
member
Posty: 31
Rejestracja: 25 lut 2009, 07:09

#2

#2 Post autor: doxer »

Witam,

Myślę że problem tkwi w wbudowanym systemie wyboru GP w sytuacji gdy użytkownik znajduje się w kilku różnych grupach (memberOf) link
Sam mam również z tym problem i zastanawiam się czy nie przejść z LDAP na Radius a polityki definiować na NPSie (środowisko Windows). Ewentualnie możesz drugi connection profile zdefiniować z innym AAA (na tą samą grupę serwerów) posiadającym zmodyfikowaną mapę ldap (np. bez pierwszego wpisu).

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#3

#3 Post autor: dawid.mitura »

Dobry link, dzięki. I mamy wyjaśnienie.

Sprawdzałeś z drugim AAA SERVER i osobną ATTRIBUTE MAP? Działa to?
Pomysł z Windows NPS nie głupi, jednak u tego klienta nie chcę grzabać w Windzie. Mają podział na działy sieciowe i serwerowe, ludzie z sieci są w porządku, zaś z windowsów... "dziwni".

doxer
member
member
Posty: 31
Rejestracja: 25 lut 2009, 07:09

#4

#4 Post autor: doxer »

dawid.mitura pisze: Sprawdzałeś z drugim AAA SERVER i osobną ATTRIBUTE MAP? Działa to?
Tak, mam u klienta zdefiniowane dwie grupy AAA odnoszące się do tych samych serwerów podpięte pod różne ConnP. W ramach każdej grupy mam różne base dn (dla pracowników oraz partnerów) oraz podpięte różne ldap mapy (analogiczne dla pracowników, partnerów). Rozwiązanie działa i w pewny sposób przy odpowiednich mapach zabezpiecza przed wrzuceniem usera (jak dla mnie) losowo do Group Policy.

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#5

#5 Post autor: dawid.mitura »

Mam 8 grup AD, 8 GP i TG na ASA. Swtorzylem nowy aaa-server z nowa ATTRIBUTE MAP dla jednej z grup i to przetestowalem. Dziala.

Teraz tak: Jesli dobrze zrozumialem, dla kazdej z grupy musze stworzyc nowy aaa-server z nowa Attribute Map? Czy moge zrealizowac to nieco efektywniej?

---
mapach zabezpiecza przed wrzuceniem usera (jak dla mnie) losowo do Group Policy.
W tym wypadku korzystam z takiej GP:

Kod: Zaznacz cały

group-policy GP-NoAccess internal
group-policy GP-NoAccess attributes
 wins-server none
 dns-server value none
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol l2tp-ipsec 
Jesli uzytkownik nie zostanie poprawnie zidentyfikowany (nie nalezy do zadnej z grupy AD lub nie ma go w lokalnej bazie ASA, wskakuje do NoAccess i nie moze sie zalogowac.

---

Update:
No i rozmawialem z tymi od Windowsow. I dupa, lenie nie chca stworzyc osobnych uzytkownikow w grupie 1, 2, 3 itp. Stworzylem 8 AAA-SERVERS z 8 ATTRIBUTES MAP i przypisalem je do odpowiednich Tunnel Groups. Dziala. Dzieki raz jeszcze za pomoc.

acrow
fresh
fresh
Posty: 3
Rejestracja: 09 wrz 2015, 15:02

#6

#6 Post autor: acrow »

Można to również było rozwiązać przy użyciu Dynamic Access Policy.

leo101
member
member
Posty: 17
Rejestracja: 30 mar 2015, 12:32

Re: AnyConnect z AD - Problem z uzytkownikiem w 2och grupach AD

#7

#7 Post autor: leo101 »

Witam!

Można się podpiąć pod temat. Chcę stworzyć kilka grup dostępu prze ANNY, z weryfikacją przez grupy w AD. Mam problem z uwierzytelnieniem, a dokładnie uwierzytelniani są wszystkich którzy występują w AD.
Oczywiście czytałem, że trzeba zrobić group-polucy NOAccess ale w tedy mi w ogóle się nie uwierzytelniają.
Dodatkowo nie widzę wpisu przy debagowaniu
mapped to Group-Policy: value =VPN_Cisco.

Co mam nie tak można prosić o podpowiedz ??

poniżej conf

aaa-server AAA_VPN protocol ldap
aaa-server AAA_VPN (in) host x.x.x.x
server-port 636
ldap-base-dn dc=test,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password xxxxxxx
ldap-login-dn user@test.local
ldap-over-ssl enable
server-type microsoft
ldap-attribute-map LDAP-VPN

ldap attribute-map LDAP-VPN
map-name memberOF Group-Policy
map-value memberOF CN=VPN_Cisco,CN=Users,DC=test,DC=local VPN_Cisco

access-list ACL_VPN extended permit ip host x.x.x.x x.x.x.x 255.255.255.0

group-policy GroupPolicy_VPN internal
group-policy GroupPolicy_VPN attributes
wins-server none
dns-server value x.x.x.x
vpn-simultaneous-logins 5
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL_VPN
default-domain value test.pl
webvpn
anyconnect profiles value TEST_client_profile type user

group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
vpn-tunnel-protocol ikev2 ssl-client
address-pools none

tunnel-group TUNEL_VPN type remote-access
tunnel-group TUNEL_VPN general-attributes
address-pool VPN_Pool_
authentication-server-group AAA_VPN
default-group-policy GroupPolicy_VPN
tunnel-group TUNEL_VPN webvpn-attributes
group-alias TPT_Axapta enable

leo101
member
member
Posty: 17
Rejestracja: 30 mar 2015, 12:32

Re: AnyConnect z AD - Problem z uzytkownikiem w 2och grupach AD

#8

#8 Post autor: leo101 »

W końcu zrozumiałem jak to jest z tymi group-policy i LDAP i zrobiłem. Dzięki za chęci :)

piter1789
wannabe
wannabe
Posty: 201
Rejestracja: 01 wrz 2014, 10:46

Re: AnyConnect z AD - Problem z uzytkownikiem w 2och grupach AD

#9

#9 Post autor: piter1789 »

Czy udało się komuś ten problem rozwiązać bo mam podobny?
i utknąłem. ..

ODPOWIEDZ