Zum Inhalt wechseln


Foto

LDAP ASA


  • Bitte melde dich an um zu Antworten
2 Antworten in diesem Thema

#1 hegl

hegl

    Board Veteran

  • 704 Beiträge

 

Geschrieben 09. Januar 2015 - 09:41

Hallo,

ich teste gerade die LDPA-Authentifizierung für AnyConnect (ASA 8.2.3). Soweit habe ich das jetzt auch ans Laufen gebracht. User in der AD-Gruppe SSL_VPN_Benutzer können sich per AnyConnect verbinden.

ldap attribute-map AnyConnect-LogIn
  map-name  memberOf IETF-Radius-Class
  map-value memberOf CN=SSL_VPN_Benutzer,OU=Gruppen,OU=Firma,DC=xyz,DC=de sslvpngroup
dynamic-access-policy-record DfltAccessPolicy
aaa-server LDAP_SRV_GRP protocol ldap
aaa-server LDAP_SRV_GRP (inside) host DC01.xyz.de
 server-port 636
 ldap-base-dn DC=xyz,DC=de
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *
 ldap-login-dn CN=Admin,CN=Builtin,DC=xyz,DC=de
 ldap-over-ssl enable
 server-type microsoft
 ldap-attribute-map AnyConnect-LogIn
aaa local authentication attempts max-fail 3

webvpn
 enable outside
 svc image disk0:/anyconnect-win-3.1.06073-k9.pkg 1
 svc enable
 tunnel-group-list enable

group-policy NoSSLAccess internal
group-policy NoSSLAccess attributes
 vpn-simultaneous-logins 0

group-policy sslvpngroup internal
group-policy sslvpngroup attributes
 dns-server value DNS-Server1, DNS-Server2
 vpn-simultaneous-logins 3
 vpn-tunnel-protocol svc
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-tunnel
 default-domain value xyz.de
 split-dns value xyz.de
 msie-proxy method no-proxy
 webvpn
  svc keep-installer installed
  svc rekey time 30
  svc rekey method ssl
  svc ask none default svc

tunnel-group sslgroup type remote-access
tunnel-group sslgroup general-attributes
 address-pool anyconnect-pool
 authentication-server-group LDAP_SRV_GRP LOCAL
 authentication-server-group (inside) LDAP_SRV_GRP LOCAL
 default-group-policy NoSSLAccess
tunnel-group sslgroup webvpn-attributes
 group-alias sslgroup_users enable

Wenn ich nun eine weitere Gruppe der AD, z.B. Fremdfirmenmitarbeiter auch für bestimmte Ressourcen zulassen will, was muss ich dann tun? Wie ist hier die Vorgehensweise, hat jemand einen Link zu einer Beispielkonfiguration?
Weiterhin hattte ich gedacht, dass nach obigerKonfiguration auch eine Anmeldung mit einen loaklen User (auf der ASA eingerichtet) funktioniert. Offensichtlich aber nicht, wo ist hier noch was zu konfigurieren?



#2 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 12. Januar 2015 - 15:21

Am flexibelsten ist man da mit dynamic access policys, ist halt die frage ob du noch mehr Gruppen oder auch deine MA differenzieren möchtest oder nicht, was sagt ein Blick in die Kristallkugel für die nächsten 6-12 Monate ?


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#3 hegl

hegl

    Board Veteran

  • 704 Beiträge

 

Geschrieben 20. Januar 2015 - 06:57

Oki, dynamic access policy schaue ich mir mal an


Bearbeitet von hegl, 20. Januar 2015 - 06:57.