ISE i przekazywanie parametrów z external RADIUS Token server
: 21 kwie 2017, 08:49
Witam
Mam obecnie działającego anyconnecta, który to autentykuje użytkowników na serwerze RSA. RSA przesyła w RADIUS access-accept atrybut "class", który to definuije group policy dla danego użytkownika. Konfiguracja całkiem standardowa i działa.
Przyszedł jednak pomysł, żeby wykorzystać ISE jako serwer RADIUS dla ASA (ze względu na posture). Więc skonfigurowałem RSA jako external identity source/RADIUS token server. I prawie działa tak jakbym chciał. Uzytkownik może się zautentykować uzywając pincode z RSA. Problemem jest autoryzacja. Chce użyć tego samego atrybutu "class", ktory jest już skonfigurowany dla połaczenia z ASA to przydzielania authorization policy w ISE. W zakładce "authorization" servera RADIUS token ustawiłem atrybut "class". Jednak wydaje się, że ISE go albo ignoruje albo nie interpretuje prawidłowo.
Czy może ktoś spotkał się z takim działaniem? Czy atrybuty z IETF-RADIUS potrzebują być wpisane w jakiejś specjalnej formie? A może parsowane jest tylko Cisco av-pair z access-accept?
Dla ustalenia uwagi mam ISE 2.1, patch 3.
Mam obecnie działającego anyconnecta, który to autentykuje użytkowników na serwerze RSA. RSA przesyła w RADIUS access-accept atrybut "class", który to definuije group policy dla danego użytkownika. Konfiguracja całkiem standardowa i działa.
Przyszedł jednak pomysł, żeby wykorzystać ISE jako serwer RADIUS dla ASA (ze względu na posture). Więc skonfigurowałem RSA jako external identity source/RADIUS token server. I prawie działa tak jakbym chciał. Uzytkownik może się zautentykować uzywając pincode z RSA. Problemem jest autoryzacja. Chce użyć tego samego atrybutu "class", ktory jest już skonfigurowany dla połaczenia z ASA to przydzielania authorization policy w ISE. W zakładce "authorization" servera RADIUS token ustawiłem atrybut "class". Jednak wydaje się, że ISE go albo ignoruje albo nie interpretuje prawidłowo.
Czy może ktoś spotkał się z takim działaniem? Czy atrybuty z IETF-RADIUS potrzebują być wpisane w jakiejś specjalnej formie? A może parsowane jest tylko Cisco av-pair z access-accept?
Dla ustalenia uwagi mam ISE 2.1, patch 3.