VPN RA - Cisco ASA z NPS

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

VPN RA - Cisco ASA z NPS

#1

#1 Post autor: piter1789 »

Witam,

Mam pytanie, do bardziej doświadczonych osób

Cisco ASA obsługuje VPN RA, mam na niej kilka grup z różnymi politykami dostępu.
Chcę wykorzystań do tego serwer NPS na Win2k8.
I działa, ale jak mam usera przypisanego do dwóch grup w AD to nie uwierzytelnia się poprawnie. tzn. wygląda to tak jakby brał tylko jedną grupę a drugą grupę nie brał pod uwagę.
Szukam w jaki sposób przekazać nazwę grupy czy polityki, ale coś nie idzie to... pomożecie?

Czy da się uwierzytelnić użytkowników, w zależność do jakich grup należą, znalazłem że numer atrybutu to 25, ale czy da się z użyciem radiusa czy tylko pozostaje LDAP?

Szukam coś na internecie, ale nie mogę doszukać się.

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: VPN RA - Cisco ASA z NPS

#2

#2 Post autor: piter1789 »

Na asa mam soft w wersji asa961-lfbff-k8

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: VPN RA - Cisco ASA z NPS

#3

#3 Post autor: piter1789 »

rozwiązałem problem,;)
ale może zapytam o inne rozwiązanie czy się da w ogóle tak zrobić:

Cisco ASA i Anyconnect lub clientless,
Czy da się zrobić tak, że wpisując login i hasło wrzuca nas do odpowiedniej grupy i przypisuje politykę dostępu?
Chcę pozbyć się wyboru grupy przez usera, a żeby to ASA robiła na podstawie przynależności do grupy w AD.

Powiem, że nie mam ISE ,a Windowsa z NPS;), Mogę skorzystać z LDAP albo RADIUS;)

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: VPN RA - Cisco ASA z NPS

#4

#4 Post autor: piter1789 »

pomoże ktoś?

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

Re: VPN RA - Cisco ASA z NPS

#5

#5 Post autor: eljot »

Poczytaj o Dynamic Access Policies

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: VPN RA - Cisco ASA z NPS

#6

#6 Post autor: piter1789 »

eljot pisze:Poczytaj o Dynamic Access Policies
Czytałem, ale mam problem dalej bo korzystam już z tego,

ale nie bardzo mogę ogarnąć sposób jak wyżej opisałem,
używałem atrybutów:
ldap.memberOF i biorę nazwę grupy z AD
cisco.tunnelgroup i nazwę grupy z ASA gdzie mam politykę dostępu

ale coś mi to nie działa. tak jak powinno, muszę dalej mieć możliwość wyboru grupy.

Awatar użytkownika
Dee_Jay
member
member
Posty: 16
Rejestracja: 18 kwie 2014, 20:37

Re: VPN RA - Cisco ASA z NPS

#7

#7 Post autor: Dee_Jay »

Witam,
Ja ostatnio robiłem vpn u siebie z uwierzytelnianiem w domenie za pomocą LDAP, poniżej podsyłam konfig:
ldap attribute-map vpn_mapa_ldap

map-name memberOf Group-Policy

map-value memberOf CN=grupa1_domena,OU=GRUPY,DC=domena,DC=pl grupa1_asa
map-value memberOf CN=grupa2_domena,OU=GRUPY,DC=domena,DC=pl grupa2_asa

map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address





tunnel-group VPN general-attributes

authentication-server-group grupa_ldap

default-group-policy VPNPolicyDefault

password-management password-expire-in-days 5

group-policy grupa1_asa attributes

dns-server value 10.10.10.10 10.10.10.11

vpn-simultaneous-logins 1

vpn-session-timeout 120

vpn-filter value acl_grupa1_acl
vpn-tunnel-protocol ikev1 l2tp-ipsec ssl-client ssl-clientless

default-domain value domena.pl


Mam nadzieje, że pomoże jeśli jeszcze jest potrzebny.

ODPOWIEDZ