Mamy taką sytuację.
Certy użytkowników generowane na podstawie pola UPN (User Principal Name - więcej niż 20 znaków imie.naziwskodlugie@email.com) z AD, ten login jest wrzucany do pola w Cercie personalnym SAN (Subject Alternative Name), te informację za pomocą CDA są przesyłane do ASA która odpytuje AD i podobno może to robić tylko po polu SAM (sAMAccountName) stary login AD Win 2000 max 20 znaków.
1. Podobno nie da się wygenerować certu w PKI który będzie zasysał przy tworzeniu certu pole z AD SAM zamiast UPN.
2. ASA nie potrafi odpytywać AD o pole UPN tylko SAM.
Sytuacja ta powoduje problem, że dla użytkowników z długimi loginami nie działa funkcjonalność IDFW i trzeba dodawać dostępy po IP.
Jest jeszcze opcja w rekonfiguracji ISE, ale przy naszych testach ona nie działa, może o czymś nie wiem/pomineliśmy.
Administration -> External Identity Sources - Certificate Authentication Profile - ProfileSAN można zmienić pole Use Identity Form z Certificate Attribute (Subject Alternatie Name) na Any Subjest or Alternative Name Attributes in the Certificate (for Active Directory Only), ale to nie działa. Co ciekawe stworzona testowa rula w AutC z odpowiednim Certificate Authentication Profile - ProfileUPN i wybranym Any Subjest or Alternative Name Attributes in the Certificate (for Active Directory Only) dodanie atybutów z nazwami użytkowników w formie 20 znaków, działa, włączenie tego globalnie w ProfileSAN które jest zapięte dla wszystkich użytkowników nie.
Macie jakieś przygody z tym i doświadczenia?
Ja obstawiam że albo można coś zmienić na ASA lub na ISE, aby to działało dobrze.
PKI IDFW
Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Przejdź do
- Technologia
- ↳ Routing
- ↳ Switching
- ↳ Security
- ↳ Voice
- ↳ Wireless
- ↳ Pozostałe
- ↳ Symulatory
- ↳ Hardware Cisco
- ↳ Problemy nie związane z technologiami
- Cloud and DC Infrastructure
- ↳ Data Center
- ↳ Hybrid/Public Cloud
- ↳ Software-defined networking (SDN)
- ↳ OpenStack and open infrastructure
- ↳ Automation, orchestration, scripting, programming
- Certyfikacja
- ↳ Poziom Associate
- ↳ Poziom Professional
- ↳ Poziom Expert
- ↳ Poziom Qualified
- ↳ CNAP (NetAcad), szkolenia i egzaminy
- ↳ Szkolenia i certyfikacje Public Cloud
- Platformy non-Cisco
- ↳ Juniper Networks
- ↳ Pozostałe
- Inne
- ↳ Njusy
- ↳ Hyde Park
- ↳ Kariera
- ↳ Bazar
- ↳ Kupię
- ↳ Sprzedam
- ↳ Linki
- Konferencje
- ↳ PLNOG / CONFIdence / DevOpsDays
- ↳ Confidence
- ↳ CiscoForum/CiscoExpo/CiscoSecure
- ↳ CCIE.PL Community Corner
- Archiwum
- ↳ Konkurs
- ↳ Regulaminy
- ↳ CCIE.pl FAQ
- Pozostałe