Strona 1 z 1

VPN RA - Cisco ASA z NPS

: 16 lis 2016, 10:33
autor: piter1789
Witam,

Mam pytanie, do bardziej doświadczonych osób

Cisco ASA obsługuje VPN RA, mam na niej kilka grup z różnymi politykami dostępu.
Chcę wykorzystań do tego serwer NPS na Win2k8.
I działa, ale jak mam usera przypisanego do dwóch grup w AD to nie uwierzytelnia się poprawnie. tzn. wygląda to tak jakby brał tylko jedną grupę a drugą grupę nie brał pod uwagę.
Szukam w jaki sposób przekazać nazwę grupy czy polityki, ale coś nie idzie to... pomożecie?

Czy da się uwierzytelnić użytkowników, w zależność do jakich grup należą, znalazłem że numer atrybutu to 25, ale czy da się z użyciem radiusa czy tylko pozostaje LDAP?

Szukam coś na internecie, ale nie mogę doszukać się.

Re: VPN RA - Cisco ASA z NPS

: 16 lis 2016, 18:33
autor: piter1789
Na asa mam soft w wersji asa961-lfbff-k8

Re: VPN RA - Cisco ASA z NPS

: 23 lis 2016, 11:42
autor: piter1789
rozwiązałem problem,;)
ale może zapytam o inne rozwiązanie czy się da w ogóle tak zrobić:

Cisco ASA i Anyconnect lub clientless,
Czy da się zrobić tak, że wpisując login i hasło wrzuca nas do odpowiedniej grupy i przypisuje politykę dostępu?
Chcę pozbyć się wyboru grupy przez usera, a żeby to ASA robiła na podstawie przynależności do grupy w AD.

Powiem, że nie mam ISE ,a Windowsa z NPS;), Mogę skorzystać z LDAP albo RADIUS;)

Re: VPN RA - Cisco ASA z NPS

: 03 gru 2016, 18:28
autor: piter1789
pomoże ktoś?

Re: VPN RA - Cisco ASA z NPS

: 03 gru 2016, 20:07
autor: eljot
Poczytaj o Dynamic Access Policies

Re: VPN RA - Cisco ASA z NPS

: 03 gru 2016, 21:32
autor: piter1789
eljot pisze:Poczytaj o Dynamic Access Policies
Czytałem, ale mam problem dalej bo korzystam już z tego,

ale nie bardzo mogę ogarnąć sposób jak wyżej opisałem,
używałem atrybutów:
ldap.memberOF i biorę nazwę grupy z AD
cisco.tunnelgroup i nazwę grupy z ASA gdzie mam politykę dostępu

ale coś mi to nie działa. tak jak powinno, muszę dalej mieć możliwość wyboru grupy.

Re: VPN RA - Cisco ASA z NPS

: 21 sty 2017, 23:58
autor: Dee_Jay
Witam,
Ja ostatnio robiłem vpn u siebie z uwierzytelnianiem w domenie za pomocą LDAP, poniżej podsyłam konfig:
ldap attribute-map vpn_mapa_ldap

map-name memberOf Group-Policy

map-value memberOf CN=grupa1_domena,OU=GRUPY,DC=domena,DC=pl grupa1_asa
map-value memberOf CN=grupa2_domena,OU=GRUPY,DC=domena,DC=pl grupa2_asa

map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address





tunnel-group VPN general-attributes

authentication-server-group grupa_ldap

default-group-policy VPNPolicyDefault

password-management password-expire-in-days 5

group-policy grupa1_asa attributes

dns-server value 10.10.10.10 10.10.10.11

vpn-simultaneous-logins 1

vpn-session-timeout 120

vpn-filter value acl_grupa1_acl
vpn-tunnel-protocol ikev1 l2tp-ipsec ssl-client ssl-clientless

default-domain value domena.pl


Mam nadzieje, że pomoże jeśli jeszcze jest potrzebny.