CCIE.pl

Siema,

mam uzytkownika AD w dwoch grupach AD: 1) Gdy ten laczy sie z AnyConnect przez profil WKS, dziala.
2) Gdy wybiera profil LSIDS, nie dziala. ASA laduje mu profil WKS. Dlaczego? W logach mam: oraz Jak wymusic na ASA, aby przy wyborze connection profilu 2 ASA ladowala mu group profile 2?

Witam,

Myślę że problem tkwi w wbudowanym systemie wyboru GP w sytuacji gdy użytkownik znajduje się w kilku różnych grupach (memberOf) link
Sam mam również z tym problem i zastanawiam się czy nie przejść z LDAP na Radius a polityki definiować na NPSie (środowisko Windows). Ewentualnie możesz drugi connection profile zdefiniować z innym AAA (na tą samą grupę serwerów) posiadającym zmodyfikowaną mapę ldap (np. bez pierwszego wpisu).

Dobry link, dzięki. I mamy wyjaśnienie.

Sprawdzałeś z drugim AAA SERVER i osobną ATTRIBUTE MAP? Działa to?
Pomysł z Windows NPS nie głupi, jednak u tego klienta nie chcę grzabać w Windzie. Mają podział na działy sieciowe i serwerowe, ludzie z sieci są w porządku, zaś z windowsów... "dziwni".

dawid.mitura pisze: Sprawdzałeś z drugim AAA SERVER i osobną ATTRIBUTE MAP? Działa to?

Tak, mam u klienta zdefiniowane dwie grupy AAA odnoszące się do tych samych serwerów podpięte pod różne ConnP. W ramach każdej grupy mam różne base dn (dla pracowników oraz partnerów) oraz podpięte różne ldap mapy (analogiczne dla pracowników, partnerów). Rozwiązanie działa i w pewny sposób przy odpowiednich mapach zabezpiecza przed wrzuceniem usera (jak dla mnie) losowo do Group Policy.

Mam 8 grup AD, 8 GP i TG na ASA. Swtorzylem nowy aaa-server z nowa ATTRIBUTE MAP dla jednej z grup i to przetestowalem. Dziala.

Teraz tak: Jesli dobrze zrozumialem, dla kazdej z grupy musze stworzyc nowy aaa-server z nowa Attribute Map? Czy moge zrealizowac to nieco efektywniej?

---

mapach zabezpiecza przed wrzuceniem usera (jak dla mnie) losowo do Group Policy.

W tym wypadku korzystam z takiej GP: Jesli uzytkownik nie zostanie poprawnie zidentyfikowany (nie nalezy do zadnej z grupy AD lub nie ma go w lokalnej bazie ASA, wskakuje do NoAccess i nie moze sie zalogowac.

---

Update:
No i rozmawialem z tymi od Windowsow. I dupa, lenie nie chca stworzyc osobnych uzytkownikow w grupie 1, 2, 3 itp. Stworzylem 8 AAA-SERVERS z 8 ATTRIBUTES MAP i przypisalem je do odpowiednich Tunnel Groups. Dziala. Dzieki raz jeszcze za pomoc.

Można to również było rozwiązać przy użyciu Dynamic Access Policy.

Witam!

Można się podpiąć pod temat. Chcę stworzyć kilka grup dostępu prze ANNY, z weryfikacją przez grupy w AD. Mam problem z uwierzytelnieniem, a dokładnie uwierzytelniani są wszystkich którzy występują w AD.
Oczywiście czytałem, że trzeba zrobić group-polucy NOAccess ale w tedy mi w ogóle się nie uwierzytelniają.
Dodatkowo nie widzę wpisu przy debagowaniu
mapped to Group-Policy: value =VPN_Cisco.

Co mam nie tak można prosić o podpowiedz ??

poniżej conf

aaa-server AAA_VPN protocol ldap
aaa-server AAA_VPN (in) host x.x.x.x
server-port 636
ldap-base-dn dc=test,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password xxxxxxx
ldap-login-dn user@test.local
ldap-over-ssl enable
server-type microsoft
ldap-attribute-map LDAP-VPN

ldap attribute-map LDAP-VPN
map-name memberOF Group-Policy
map-value memberOF CN=VPN_Cisco,CN=Users,DC=test,DC=local VPN_Cisco

access-list ACL_VPN extended permit ip host x.x.x.x x.x.x.x 255.255.255.0

group-policy GroupPolicy_VPN internal
group-policy GroupPolicy_VPN attributes
wins-server none
dns-server value x.x.x.x
vpn-simultaneous-logins 5
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL_VPN
default-domain value test.pl
webvpn
anyconnect profiles value TEST_client_profile type user

group-policy NoAccess internal
group-policy NoAccess attributes
vpn-simultaneous-logins 0
vpn-tunnel-protocol ikev2 ssl-client
address-pools none

tunnel-group TUNEL_VPN type remote-access
tunnel-group TUNEL_VPN general-attributes
address-pool VPN_Pool_
authentication-server-group AAA_VPN
default-group-policy GroupPolicy_VPN
tunnel-group TUNEL_VPN webvpn-attributes
group-alias TPT_Axapta enable

W końcu zrozumiałem jak to jest z tymi group-policy i LDAP i zrobiłem. Dzięki za chęci

Czy udało się komuś ten problem rozwiązać bo mam podobny?
i utknąłem. ..