Dzień Dobry
AnyConnect podłączony do ISE Servera. Wszystko pięknie działa.
Na ASA sa 3 grupy:
1. admin
2. user
3. test
I pojawił się problem. Użytkownik z grupy user wybrał zamiast docelowej USER, gidze mam wszystkie polityki wybrał TEST. I zaczęły się problemy. Niestety to nie jest szeregowy user wiec :):)
Proszę powiedzieć czy można na AnyConnect wymusić coś takiego by dany użytkownik nie mógł się zalogować do innej grupy niż tak które jest do niego przypisana?
Z góry bardzo dziękuję
AnyConnect logowanie się do okreslonej grupy
Re: AnyConnect logowanie się do okreslonej grupy
Hej,
mozna, jest taka opcja do ustawienia zeby sie wyswietlala lista grup lub nie. Jesli nie, to dany user loguje sie do swojej i tylko swojej przypisanej grupy, nie ma opcji wyboru. Ponizej z wlaczana opcja pokazywania grup.
Pozdruffka!
mozna, jest taka opcja do ustawienia zeby sie wyswietlala lista grup lub nie. Jesli nie, to dany user loguje sie do swojej i tylko swojej przypisanej grupy, nie ma opcji wyboru. Ponizej z wlaczana opcja pokazywania grup.
Kod: Zaznacz cały
ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#tunnel-group-list enable
Re: AnyConnect logowanie się do okreslonej grupy
dziękuje @drake
BTW nie sadzisz że to dość dziwne, że user moze wybrać inne realm, ASA i ISE go wpuszczą ale i tak zostanie przypisana odpowiednia dACL na ISE?
Oczywiście jak się loguje do innego realma otrzymuje inna adrsacje , DNS etc. Szkoda ze nie można w jakiś sposób tego przyblokowac inaczej aniżeli poprzez "schowanie" group-listy
Pozdrawiam
BTW nie sadzisz że to dość dziwne, że user moze wybrać inne realm, ASA i ISE go wpuszczą ale i tak zostanie przypisana odpowiednia dACL na ISE?
Oczywiście jak się loguje do innego realma otrzymuje inna adrsacje , DNS etc. Szkoda ze nie można w jakiś sposób tego przyblokowac inaczej aniżeli poprzez "schowanie" group-listy
Pozdrawiam
Re: AnyConnect logowanie się do okreslonej grupy
Jesteś w stanie zbudować politykę na ISE jak chcesz.. musisz tylko dodać atrybut do ise w postaci profilu grupy z ASA/FTD i śmiga;) nie pamiętam go z głowy. Ale napisz jutro na priv, jak coś;).
BTW. w logu na ISE widać ten atrybut, tylko do wykorzystaj;)
wg. mnie nie bo nie zrobiłeś dokładnego "złapania" do polityki. A np. grupa z AD do którejś polityki spasowała;)
(temat znam bo przerabiałem kilka razy))
BTW. w logu na ISE widać ten atrybut, tylko do wykorzystaj;)
wg. mnie nie bo nie zrobiłeś dokładnego "złapania" do polityki. A np. grupa z AD do którejś polityki spasowała;)
(temat znam bo przerabiałem kilka razy))
Re: AnyConnect logowanie się do okreslonej grupy
Czesc kolego @piter1789.
Wiadomość poszła na priv
Wiadomość poszła na priv