FirePower + VPN + Grupy AD

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Pajmon
fresh
fresh
Posty: 8
Rejestracja: 07 lis 2012, 16:32

FirePower + VPN + Grupy AD

#1

#1 Post autor: Pajmon »

Mam takie pytanko do specjalistów w zakresie Cisco FirePower.
Szukam materiałów/podpowiedzi jak wykonać następującą rzecz:
Dostęp przez AnyConnect dla dwóch profili VPN na FirePower - to już działa.
Każdy z tych profili VPN ma mieć ograniczenia co do grup ludzi pobieranych z Active Directory, którzy mogą się do nich łączyć. Jak ktoś jest w grupie "A" to może wybrać profil VPN_A i się podłączyć, jeśli ktoś jest w grupie "B" na AD, nie podłącza się do danego VPN_A.

Czy coś takiego jest do osiągnięcia? Jak na razie wiem jak wskazać "Realm" na którym sprawdzam przynależność do konkretnej grupy. Jednak jeśli wszyscy są w tej jednej grupie to mogą się łączyć do wszystkich profili. Mam też dostępnego Radiusa na Windows - jak by co 🙂
Jakieś porady? Linki gdzie szukać?

Z góry dzięki

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: FirePower + VPN + Grupy AD

#2

#2 Post autor: drake »

Hej,
mozesz uzyc radiusa jako authorization server i wtedy z niego pchac po uwierzytelnieniu via AD konkretna grupe w profilu polaczenia. Jako ze info z radiusa nadpisze to co nawet sobie ktos wybral lub defaultowe ustawienia, to bedzie to obowiazywalo po poprawnej autoryzacji. Radius powienien zwrocic parametr Group-Policy. Natomiast dalej majac ta czesc ukladanki zrobiona, konfigurujesz odpowiednio ACP na podstawie grup AD. Ponadto mozesz dla "jasnosci" wykorzystac rozne pule adresowe IPv4 dla konkretnych grup, co ulatwi kontrole oraz poprawi przejrzystosc definicji regul ACP.
Mam nadzieje, ze poprawnie zrozumialem twoj "problem". Wiecej do poczytania tu: https://www.cisco.com/c/en/us/td/docs/s ... gy_zcd_5gb

Pozdruffka!
Never stop exploring :)

https://iverion.de

Pajmon
fresh
fresh
Posty: 8
Rejestracja: 07 lis 2012, 16:32

Re: FirePower + VPN + Grupy AD

#3

#3 Post autor: Pajmon »

Dzięki - popatrzę.

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: FirePower + VPN + Grupy AD

#4

#4 Post autor: piter1789 »

Hej,
podbiję temat ale trochę z innym zapytaniem;)

mają ASA/FTD i NPS..
czy jest opcja zrobienia tak że:

jest dwie grupy w AD(i użytkownik należy do obu). i teraz jeśli wybierze grupę niżej (z profili połączeń) do do niej się zaloguje a nie do tej pierwszej...(zaznaczam, że user należy do obu grup w NPS to kolejność nie ma znaczenia).

ODPOWIEDZ