PKI IDFW

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
natash
wannabe
wannabe
Posty: 315
Rejestracja: 07 gru 2005, 00:00

PKI IDFW

#1

#1 Post autor: natash »

Mamy taką sytuację.

Certy użytkowników generowane na podstawie pola UPN (User Principal Name - więcej niż 20 znaków imie.naziwskodlugie@email.com) z AD, ten login jest wrzucany do pola w Cercie personalnym SAN (Subject Alternative Name), te informację za pomocą CDA są przesyłane do ASA która odpytuje AD i podobno może to robić tylko po polu SAM (sAMAccountName) stary login AD Win 2000 max 20 znaków.

1. Podobno nie da się wygenerować certu w PKI który będzie zasysał przy tworzeniu certu pole z AD SAM zamiast UPN.
2. ASA nie potrafi odpytywać AD o pole UPN tylko SAM.

Sytuacja ta powoduje problem, że dla użytkowników z długimi loginami nie działa funkcjonalność IDFW i trzeba dodawać dostępy po IP.

Jest jeszcze opcja w rekonfiguracji ISE, ale przy naszych testach ona nie działa, może o czymś nie wiem/pomineliśmy.
Administration -> External Identity Sources - Certificate Authentication Profile - ProfileSAN można zmienić pole Use Identity Form z Certificate Attribute (Subject Alternatie Name) na Any Subjest or Alternative Name Attributes in the Certificate (for Active Directory Only), ale to nie działa. Co ciekawe stworzona testowa rula w AutC z odpowiednim Certificate Authentication Profile - ProfileUPN i wybranym Any Subjest or Alternative Name Attributes in the Certificate (for Active Directory Only) dodanie atybutów z nazwami użytkowników w formie 20 znaków, działa, włączenie tego globalnie w ProfileSAN które jest zapięte dla wszystkich użytkowników nie.

Macie jakieś przygody z tym i doświadczenia?


Ja obstawiam że albo można coś zmienić na ASA lub na ISE, aby to działało dobrze.

ODPOWIEDZ