LDAP AAA Server mit ASA 5505

[Nightwalker_z]

Nur der Vollständigkeit halber und für andere LDAP Probleme/Troubleshooting:

Es gibt ein kleines, kostenloses Windows Tool, welches sich "Softerra LDAP Browser" nennt. Mit diesem Tool kann man sich an einen LDAP Server ankoppeln und per GUI einfach durch den LDAP Wald browsen. Außerdem sieht man auf anhieb schön die einzelnen Attribute der User bzw. Gruppen. Natürlich sieht man auch die ganzen schönen CNs, DNs und was es sonst noch alles gibt und kann das via Copy und Paste dann für die ASA (oder "wasauchimmer") Konfig verwenden.

[blackbox]

@Nightwalker - hatte ich doch schon weiter oben vorgeschlagen :-)

[bnice]

sh run aaa:

Code:

aaa authentication enable console LOCAL 
aaa authentication http console LOCAL 
aaa authentication serial console LOCAL 
aaa authentication ssh console LOCAL 
aaa authentication match inside_authentication inside ldap-authenticat

sh run aaa-server:

Code:

aaa-server ldap-authenticat protocol ldap
 reactivation-mode depletion deadtime 1
 max-failed-attempts 1
aaa-server ldap-authenticat (inside) host x.x.x.x
 server-port 389
 ldap-base-dn dc=domain,dc=local
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *
 ldap-login-dn cn=administrator,cn=users,dc=domain,dc=local
 server-type microsoft
 ldap-attribute-map ActiveDirectoryMapTable
aaa-server ldap-authorize protocol ldap
 reactivation-mode depletion deadtime 1
 max-failed-attempts 1
aaa-server ldap-authorize (inside) host x.x.x.x
 server-port 389
 ldap-base-dn dc=domain,dc=local
 ldap-scope subtree
 ldap-naming-attribute sAMAcountName
 ldap-login-password *
 ldap-login-dn cn=administrator,cn=users,dc=domain,dc=local
 server-type microsoft
 ldap-attribute-map ActiveDirectoryMapTable

sh run ldap:

Code:

ldap attribute-map ActiveDirectoryMapTable
  map-name  msNPAllowDialin cVPN3000-IETF-Radius-Class
  map-value msNPAllowDialin FALSE NOaccess
  map-value msNPAllowDialin TRUE VPNaccess

sh run access-list inside_authentication:

Code:

access-list inside_authentication remark LDAP-Policy
access-list inside_authentication extended permit tcp Mobile_Clients 255.255.255.0 any

Wobei ich nicht genau weiss, ob ich "aaa-server ldap-authorize" überhaupt noch brauche, ist noch ein Überbleibsel der ersten LDAP-Konfiguration...

[Nightwalker_z]

Zitat von blackbox @Nightwalker - hatte ich doch schon weiter oben vorgeschlagen :-)

Wow - wer lesen kann ist sowas von im Vorteil :-)
Sorry. Ist mir beim Überfliegen irgendwie durch die Lappen gegangen.

[blackbox]

@Nightwalker :-) :-) :-)

[Nightwalker_z]

Das zeugt nur davon, dass das Tool wirklich gut sein muss, wenn es (im selben Thread) zweimal unabhängig voneinander vorgeschlagen wird *rauswind*

[bnice]

Zitat von Otaku19 zeig mal deine aaa konfig

Hab ich gemacht - siehst Du da irgendwelche Auffälligkeiten?