Strona 1 z 1

AnyConnect i dynamioczny access do określonych zasobów

: 07 lis 2019, 16:19
autor: Bolo
Dzień dobry,
Stoje przed wdrożeniem AnyConnecta. Konfiguracja i przydzielanie dostępów nie jest skomplikowane jednak pojawia się jeden dość znaczący problem.
Czy ktoś z koleżanek i kolegów może mi powiedzieć czy jest coś co może rozwiązać następujący problem z przydzieleniem dostępów do określonego zasobu.
Chioałbym to zrobić (tak samo jak np Puls Secure) - grupa lub user z AD przydzielam dostęp do okreslonego IP w sieci za VPN i już. Teraz na ASA przydzielam to w taki sposób że use w grupie IT dostaje adresację powiedzmy: 10.10.10.0/24 i ta adresacja ma odpowiednie aclki na poszczególnych urządzeniach.
Czy mamy cos co moze to przydzielać dynamicznie jak np dyamiczne access listy przypisane do usera authentykujacego sie poprzez SSL?

Dziękuję

Re: AnyConnect i dynamioczny access do określonych zasobów

: 07 lis 2019, 17:05
autor: RiFF
Jest kilka sposobów , możesz to zrobić np. tak - https://www.youtube.com/watch?v=dsuCU-65vNc , albo mapować ręcznie Group Policies z grupami w AD za pomocą LDAP Attribute Maps . Te przykłady działają na ASA bez FTD , nie wiem jak to wygląda na FTD bo nie miałem czasu się zagłębić w to środowisko :/

Re: AnyConnect i dynamioczny access do określonych zasobów

: 07 lis 2019, 17:57
autor: Bolo
No ale DAP to host checker. Czy można podciągnąć pod to IP?

Re: AnyConnect i dynamioczny access do określonych zasobów

: 07 lis 2019, 18:13
autor: RiFF
Tworzysz Group Policy do niej przypisujesz pule adresow oraz ACL potem w DAP powiązujesz to z grupą w AD i już (nie dotykasz sprawdzania hosta) . Ew tak jak pisałem wcześniej mapujesz nazwę Group Policy z grupa w AD za pomocą LDAP Attribute Maps . Oczywiście oprócz wybranej metody musisz mieć skonfigurowany profil LDAPa (w AAA serwer groups) a w Anyconnect Connection Profiles w Authorization ten profil wybrany .

Re: AnyConnect i dynamioczny access do określonych zasobów

: 07 lis 2019, 18:18
autor: Bolo
Mam ISE . Dobra to tak będę kombinować. Dam znac czy sukces czy nie

Re: AnyConnect i dynamioczny access do określonych zasobów

: 08 lis 2019, 10:04
autor: RiFF
Powinno działać, robiłem kiedyś profil który matchowal grupę z AD z group policy ASA przez ISE (na potrzeby posture remedation) . Zresztą to Radius , wiec wstrzyknie to co mu każesz tylko atrybuty musza się zgadzać ;) (tu jest jakiś przykład na szybko - https://www.petenetlive.com/KB/Article/0001155)

Re: AnyConnect i dynamioczny access do określonych zasobów

: 19 lis 2019, 16:55
autor: zet69
Czesc, jak masz ise, to wygadniej chyba stworzyc pare DACL i na podstawie grupy do ktorej przypisany jest user matchowac go do okreslonej grupy. Mozesz uzyc wtedy tylko jedna GroupPolicy, bo DACL i tak jest wysylana na ASA przez ISE w zaleznosci od przynaleznosci usera do odpowiedniej grupy w AD.

Re: AnyConnect i dynamioczny access do określonych zasobów

: 27 lis 2019, 13:40
autor: Bolo
Cześć,
Mam ISE
Version 2.4.0.357
Installed Patches 9
Product Identifier (PID)ISE-VM-K9

Zrobiłem remote access do sieci poprzez AnyConnect + dACL na ISE. Za 1 razem zadziało od strzała. Zalogował poprzez Group Sec w AD usera do której ten user należy. Pobrał dACLkę z profilu authz. I niby wszystko ok.

Kolejne test i tu pojawia się problem.

Zmieniłem dACL w Authorization Profiles > VPN-TST-Profile z TEST_VPN na inną. Kliknałęm SAVE. Włączyłem AnyConnect i Połącz. Wprowadziłem hasło i po chwili ponownie pojawił się monit o wpisanie hasła. Na AnyConnect pojawił się log: Auth Faill.

Sprawdziłem w Operations->Radius->Live Logs :

User admintest 5200 Authentication succeeded.

Jeszcze raz wpisuje hasło - komunikat ten sam i w AD konto zablokowane i na ISE: 24415 User authentication against Active Directory failed since user's account is locked out

Zmieniłem dACL na inną - jest ok. Zmieniam w dACL cokolwiek, dodaję np: icmp permit any any i po przelogowaniu znowu te same kwiatki.

Zmineiłem także Profil Authz - niestety to samo. Raz działa, a gdy zmieniałm dACL to już przestaje.

Czy ten case nadaje sie do Cisco TAC?

Pozdrawiam