ich würde gerne unsere PIX gegen eine ASA ersetzen... Typ vermutlich 5510.
Wegen der möglichen gleichzeitigen VPN Tunnel...
Mich würde mal interessieren, ob sich die ASA für den Internetzugriff gegen das Microsoft Active Directory authentifizieren kann.
Bei der PIX waren nämlich alle Benutzer auf der PIX selber eingetragen.
Inzwischen aber sind wir relativ viele und das ist ständige Arbeit, das zu pflegen.
Ich würde das aber gerne über das AD und eine Gruppe lösen, so dass man nicht mehr drei Passwörter hat... Windows Logon, Internet u.a.
Jetzt kann ich die ASA nur so genau nicht, würde mir also vor dem Einsatz noch mal durch eine Schulung entsprechende Infos holen.
Mich interessieren nur ein paar Dinge schon vorab.
Also ich vermute mal, das die ASA auch AAA unterstützt... Bei der PIX gab es glaube ich zu wissen eine Möglichkeit, gegen RADIUS zu authentifizieren.
Die nächste Sache sind VPNs...
Wir haben eine 2 Wege authentifizierung... Über Token und dann zum AD.
Einfach aus Sicherheitsgründen.
Kann sich die ASA hier auch gehen AD authentifizieren?
jau du kannst dich gegen einen Radius oder ADS Authentifizieren - ist aber dann bei der ASA so wie bei der Pix - es geht ein Fenster auf wo du es eintragen muss - du kannst das Login nicht automatisieren. Aber du kannst die selben Logins nehmen
VPN - geht AD oder Token - was du möchtest (das ging aber schon bei der PIX über nen Radius - bei der ASA jetzt zusätzlich über LDAP oder SDI (Token))
Ja bei der PIX wird die IP des Rechners in eine Liste eingetragen und bleibt dann dort die definierte Stundenzahl erhalten... Das fand ich immer das positive daran, einmalige Auth und man ist für 8h freigeschaltet.
Ist bei der ASA vermutlich ähnlich, oder?
"Da geht ein Fenster auf"
Du meinst dieses Loginfenster HTTP Authentication...?
hm ? ich weiß nicht um was es da geht---ist das der cut through proxy ?
Und zum VPN, selbstverständlich geht das auch mit Tokens, schließlich fragt ja der authentoicationserver den Tokenserver, nicht die ASA direkt den Tokenserver Somit, der ACS muss sich um diese Kommunikation kümmern
bei Token brauchst du kein ACS - jenachdem welchen Token Hersteller du hast - wenn du RSA Token (Voll Unterstützt durch Cisco) - kannst du direkt auf das SDI von RSA zugreifen.
ASA AAA gegen MS AD
Somit, der ACS muss sich um diese Kommunikation kümmern
