HA ASA 5516-X + sfr

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
rebe83
fresh
fresh
Posty: 3
Rejestracja: 19 lis 2016, 18:18

HA ASA 5516-X + sfr

#1

#1 Post autor: rebe83 » 18 paź 2018, 15:15

Witam,
Uruchomiłem HA składające z sie z dwóch ASA-5516-X.
Skonfigurowałem dwa moduły SFR.
Zarządzam IPS lokalnie bez FMC.
Próbuje uruchomić rozpoznawanie użytkowników laczac sie z DC po ldapie, dla ASA łatwo ale jak to zrobić dla modułów SFR??
Czy ktos robił coś takiego przy zarządzaniu lokalnym przez ASDMa?

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1447
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE

Re: HA ASA 5516-X + sfr

#2

#2 Post autor: drake » 18 paź 2018, 21:36

Hej, to zarzadzasz lokalnie czy przez FMC??
Da sie, skonfiguruj realm (Integration), jednakze do odpytywania mapowania user/IP bedzie potrzebny zainstalowany na jakims serwerze/komputerze Cisco User Agent. Zeby wsio dzialalo jest troche wymagan, poczytaj w dokumentacji FMC i Cisco User Agent, jest dokladnie wyszczegolnione co i jak.
BTW, pewnie wiesz ze HA na ASA nie oznacza HA modulow SFR i ich konfig nie jest synchronizowany
... Osobny konfig, osobny Backup....

Pozdruffka!
Never stop exploring :)

rebe83
fresh
fresh
Posty: 3
Rejestracja: 19 lis 2016, 18:18

Re: HA ASA 5516-X + sfr

#3

#3 Post autor: rebe83 » 02 gru 2018, 11:55

Cześć,
Niestety Cisco User Agent nie udało mi się zainstalować na DC, win 2012, wbrew temu co mówi cisco ,że to łatwe i przyjemne.
Jest taki produkt Cisco CDA który ułatwia rozpoznawanie userów z przypisanym do nich IP- ale produkt tez jest bardziej przewidziany do integracji z samą ASA nie nie modułem SFR.
Zarządzanie SFR za pomocą ASDM jest tragiczne, zmiana strefy czasowej praktycznie nie możliwa, pozostaje tylko dokupienie virtualngo FMC i ogarnięce tego w taki sposób.

Jak wygląda przełączanie HA na asach za pomocą ASDMa , ktoś robił ?

Pozdrawiam
Rebe83

Awatar użytkownika
polak
wannabe
wannabe
Posty: 241
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: HA ASA 5516-X + sfr

#4

#4 Post autor: polak » 05 gru 2018, 13:46

Monitoring->Failover->Status (i tam możesz przełączyć)
King Kong ain't got shit on me!

chunkpunk
member
member
Posty: 35
Rejestracja: 31 mar 2011, 10:40

Re: HA ASA 5516-X + sfr

#5

#5 Post autor: chunkpunk » 16 sty 2019, 12:24

Nie instaluj AD agenta na DC tyllko na workstacji , u mnie to działa wyśmienicie i bez problemów , userzy sa łądnie rozpoznawani z grup AD
:)

Gizmo
wannabe
wannabe
Posty: 179
Rejestracja: 28 sty 2008, 21:55

Re: HA ASA 5516-X + sfr

#6

#6 Post autor: Gizmo » 12 lut 2019, 14:00

Agenta nie instaluje się na DC, pyszczy nawet o tym przy próbie instalacji. Tylko stacja albo serwer nie będący żadnym DC.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark

ODPOWIEDZ