Witam,
Mam pytanie, do bardziej doświadczonych osób
Cisco ASA obsługuje VPN RA, mam na niej kilka grup z różnymi politykami dostępu.
Chcę wykorzystań do tego serwer NPS na Win2k8.
I działa, ale jak mam usera przypisanego do dwóch grup w AD to nie uwierzytelnia się poprawnie. tzn. wygląda to tak jakby brał tylko jedną grupę a drugą grupę nie brał pod uwagę.
Szukam w jaki sposób przekazać nazwę grupy czy polityki, ale coś nie idzie to... pomożecie?
Czy da się uwierzytelnić użytkowników, w zależność do jakich grup należą, znalazłem że numer atrybutu to 25, ale czy da się z użyciem radiusa czy tylko pozostaje LDAP?
Szukam coś na internecie, ale nie mogę doszukać się.
VPN RA - Cisco ASA z NPS
Re: VPN RA - Cisco ASA z NPS
Na asa mam soft w wersji asa961-lfbff-k8
Re: VPN RA - Cisco ASA z NPS
rozwiązałem problem,;)
ale może zapytam o inne rozwiązanie czy się da w ogóle tak zrobić:
Cisco ASA i Anyconnect lub clientless,
Czy da się zrobić tak, że wpisując login i hasło wrzuca nas do odpowiedniej grupy i przypisuje politykę dostępu?
Chcę pozbyć się wyboru grupy przez usera, a żeby to ASA robiła na podstawie przynależności do grupy w AD.
Powiem, że nie mam ISE ,a Windowsa z NPS;), Mogę skorzystać z LDAP albo RADIUS;)
ale może zapytam o inne rozwiązanie czy się da w ogóle tak zrobić:
Cisco ASA i Anyconnect lub clientless,
Czy da się zrobić tak, że wpisując login i hasło wrzuca nas do odpowiedniej grupy i przypisuje politykę dostępu?
Chcę pozbyć się wyboru grupy przez usera, a żeby to ASA robiła na podstawie przynależności do grupy w AD.
Powiem, że nie mam ISE ,a Windowsa z NPS;), Mogę skorzystać z LDAP albo RADIUS;)
Re: VPN RA - Cisco ASA z NPS
pomoże ktoś?
Re: VPN RA - Cisco ASA z NPS
Poczytaj o Dynamic Access Policies
Re: VPN RA - Cisco ASA z NPS
Czytałem, ale mam problem dalej bo korzystam już z tego,eljot pisze:Poczytaj o Dynamic Access Policies
ale nie bardzo mogę ogarnąć sposób jak wyżej opisałem,
używałem atrybutów:
ldap.memberOF i biorę nazwę grupy z AD
cisco.tunnelgroup i nazwę grupy z ASA gdzie mam politykę dostępu
ale coś mi to nie działa. tak jak powinno, muszę dalej mieć możliwość wyboru grupy.
Re: VPN RA - Cisco ASA z NPS
Witam,
Ja ostatnio robiłem vpn u siebie z uwierzytelnianiem w domenie za pomocą LDAP, poniżej podsyłam konfig:
ldap attribute-map vpn_mapa_ldap
map-name memberOf Group-Policy
map-value memberOf CN=grupa1_domena,OU=GRUPY,DC=domena,DC=pl grupa1_asa
map-value memberOf CN=grupa2_domena,OU=GRUPY,DC=domena,DC=pl grupa2_asa
map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
tunnel-group VPN general-attributes
authentication-server-group grupa_ldap
default-group-policy VPNPolicyDefault
password-management password-expire-in-days 5
group-policy grupa1_asa attributes
dns-server value 10.10.10.10 10.10.10.11
vpn-simultaneous-logins 1
vpn-session-timeout 120
vpn-filter value acl_grupa1_acl
vpn-tunnel-protocol ikev1 l2tp-ipsec ssl-client ssl-clientless
default-domain value domena.pl
Mam nadzieje, że pomoże jeśli jeszcze jest potrzebny.
Ja ostatnio robiłem vpn u siebie z uwierzytelnianiem w domenie za pomocą LDAP, poniżej podsyłam konfig:
ldap attribute-map vpn_mapa_ldap
map-name memberOf Group-Policy
map-value memberOf CN=grupa1_domena,OU=GRUPY,DC=domena,DC=pl grupa1_asa
map-value memberOf CN=grupa2_domena,OU=GRUPY,DC=domena,DC=pl grupa2_asa
map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
tunnel-group VPN general-attributes
authentication-server-group grupa_ldap
default-group-policy VPNPolicyDefault
password-management password-expire-in-days 5
group-policy grupa1_asa attributes
dns-server value 10.10.10.10 10.10.10.11
vpn-simultaneous-logins 1
vpn-session-timeout 120
vpn-filter value acl_grupa1_acl
vpn-tunnel-protocol ikev1 l2tp-ipsec ssl-client ssl-clientless
default-domain value domena.pl
Mam nadzieje, że pomoże jeśli jeszcze jest potrzebny.