ISE i przekazywanie parametrów z external RADIUS Token server Temat rozwiązany

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
galo
member
member
Posty: 28
Rejestracja: 17 sty 2008, 08:59

ISE i przekazywanie parametrów z external RADIUS Token server

#1

#1 Post autor: galo »

Witam

Mam obecnie działającego anyconnecta, który to autentykuje użytkowników na serwerze RSA. RSA przesyła w RADIUS access-accept atrybut "class", który to definuije group policy dla danego użytkownika. Konfiguracja całkiem standardowa i działa.
Przyszedł jednak pomysł, żeby wykorzystać ISE jako serwer RADIUS dla ASA (ze względu na posture). Więc skonfigurowałem RSA jako external identity source/RADIUS token server. I prawie działa tak jakbym chciał. Uzytkownik może się zautentykować uzywając pincode z RSA. Problemem jest autoryzacja. Chce użyć tego samego atrybutu "class", ktory jest już skonfigurowany dla połaczenia z ASA to przydzielania authorization policy w ISE. W zakładce "authorization" servera RADIUS token ustawiłem atrybut "class". Jednak wydaje się, że ISE go albo ignoruje albo nie interpretuje prawidłowo.
Czy może ktoś spotkał się z takim działaniem? Czy atrybuty z IETF-RADIUS potrzebują być wpisane w jakiejś specjalnej formie? A może parsowane jest tylko Cisco av-pair z access-accept?

Dla ustalenia uwagi mam ISE 2.1, patch 3.
Be part of the solution ... not part of the problem.

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: ISE i przekazywanie parametrów z external RADIUS Token server

#2

#2 Post autor: RiFF »

Hej,
Musiałbym przejrzeć dokładnie konfigurację (nie jest jeszcze użyta produkcyjnie) ale w moim przypadku na ASA w pierwszej kolejności jest wybrane ISE (dla Authentication) które przekierowuje zapytania do zewnętrznego serwera RADIUS z 2FA (wymiksowaliśmy się z RSA bo było w h drogie przy przedłużaniu licencji a liczba userów bardzo nam się powiększała) , oprócz tego w mam Authorization również wybrane ISE i przy takiej konfiguracji Posture działa ;) . Jest gdzieś artykuł na Cisco dla takiego scenariusza.

galo
member
member
Posty: 28
Rejestracja: 17 sty 2008, 08:59

Re: ISE i przekazywanie parametrów z external RADIUS Token server

#3

#3 Post autor: galo »

U mnie też to działa podobnie. Znaczy ASA pyta po RADIUS ISE a ISE przekazuje zapytanie do external token servera. Problem jest taki, że external token server (RSA) w access-accept wysyła atrybut "class", który to atrybut chciałbym użyć w regułach autoryzacji na ISE. I pomimo ustawienia w zakładce authorization RADIUS token serwera to nie działa. Wygląda na to, jakby ISE nie interpretował poprawnie tego, co dostał w access-accept. Jak sobie buduje regułę do autoryzacji to moge wybrać RSA_RADIUS:Class jako warunek, natomiast wydaje się, jakkby tam była zawsze pusta wartość.
Be part of the solution ... not part of the problem.

galo
member
member
Posty: 28
Rejestracja: 17 sty 2008, 08:59

Re: ISE i przekazywanie parametrów z external RADIUS Token server

#4

#4 Post autor: galo »

Dla podsumowania. Case oratł się o TAC i sprawa została rozwiązana przez zmianę konfiguracji. Zamiast korzystać z atrybutu "class" skonfigurowałe serwer RSA żeby wysyłał w access-accept Cisco av-pair ACS:Cisco-Secure-Group-Id=<nazwa grupy>. I przy tym ustawieniu zadziałało. Nie jest to może dokładie to o co mi chodziło, ale ma jedną podstawową zalete - działa.
Be part of the solution ... not part of the problem.

ODPOWIEDZ