AnyConnect logowanie się do okreslonej grupy

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

AnyConnect logowanie się do okreslonej grupy

#1

#1 Post autor: Bolo »

Dzień Dobry

AnyConnect podłączony do ISE Servera. Wszystko pięknie działa.
Na ASA sa 3 grupy:

1. admin
2. user
3. test

I pojawił się problem. Użytkownik z grupy user wybrał zamiast docelowej USER, gidze mam wszystkie polityki wybrał TEST. I zaczęły się problemy. Niestety to nie jest szeregowy user wiec :):):)
Proszę powiedzieć czy można na AnyConnect wymusić coś takiego by dany użytkownik nie mógł się zalogować do innej grupy niż tak które jest do niego przypisana?
Z góry bardzo dziękuję

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: AnyConnect logowanie się do okreslonej grupy

#2

#2 Post autor: drake »

Hej,
mozna, jest taka opcja do ustawienia zeby sie wyswietlala lista grup lub nie. Jesli nie, to dany user loguje sie do swojej i tylko swojej przypisanej grupy, nie ma opcji wyboru. Ponizej z wlaczana opcja pokazywania grup.

Kod: Zaznacz cały

ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable
Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Re: AnyConnect logowanie się do okreslonej grupy

#3

#3 Post autor: Bolo »

dziękuje @drake
BTW nie sadzisz że to dość dziwne, że user moze wybrać inne realm, ASA i ISE go wpuszczą ale i tak zostanie przypisana odpowiednia dACL na ISE?
Oczywiście jak się loguje do innego realma otrzymuje inna adrsacje , DNS etc. Szkoda ze nie można w jakiś sposób tego przyblokowac inaczej aniżeli poprzez "schowanie" group-listy
Pozdrawiam

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: AnyConnect logowanie się do okreslonej grupy

#4

#4 Post autor: piter1789 »

Jesteś w stanie zbudować politykę na ISE jak chcesz.. musisz tylko dodać atrybut do ise w postaci profilu grupy z ASA/FTD i śmiga;) nie pamiętam go z głowy. Ale napisz jutro na priv, jak coś;).
BTW. w logu na ISE widać ten atrybut, tylko do wykorzystaj;)

wg. mnie nie bo nie zrobiłeś dokładnego "złapania" do polityki. A np. grupa z AD do którejś polityki spasowała;)

(temat znam bo przerabiałem kilka razy))

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Re: AnyConnect logowanie się do okreslonej grupy

#5

#5 Post autor: Bolo »

Czesc kolego @piter1789.
Wiadomość poszła na priv

ODPOWIEDZ