Jump to content

LDAP ASA

hegl

Von hegl
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hegl

hegl   10

Geschrieben
Geschrieben

Hallo,

ich teste gerade die LDPA-Authentifizierung für AnyConnect (ASA 8.2.3). Soweit habe ich das jetzt auch ans Laufen gebracht. User in der AD-Gruppe SSL_VPN_Benutzer können sich per AnyConnect verbinden.

ldap attribute-map AnyConnect-LogIn
  map-name  memberOf IETF-Radius-Class
  map-value memberOf CN=SSL_VPN_Benutzer,OU=Gruppen,OU=Firma,DC=xyz,DC=de sslvpngroup
dynamic-access-policy-record DfltAccessPolicy
aaa-server LDAP_SRV_GRP protocol ldap
aaa-server LDAP_SRV_GRP (inside) host DC01.xyz.de
 server-port 636
 ldap-base-dn DC=xyz,DC=de
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *
 ldap-login-dn CN=Admin,CN=Builtin,DC=xyz,DC=de
 ldap-over-ssl enable
 server-type microsoft
 ldap-attribute-map AnyConnect-LogIn
aaa local authentication attempts max-fail 3

webvpn
 enable outside
 svc image disk0:/anyconnect-win-3.1.06073-k9.pkg 1
 svc enable
 tunnel-group-list enable

group-policy NoSSLAccess internal
group-policy NoSSLAccess attributes
 vpn-simultaneous-logins 0

group-policy sslvpngroup internal
group-policy sslvpngroup attributes
 dns-server value DNS-Server1, DNS-Server2
 vpn-simultaneous-logins 3
 vpn-tunnel-protocol svc
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-tunnel
 default-domain value xyz.de
 split-dns value xyz.de
 msie-proxy method no-proxy
 webvpn
  svc keep-installer installed
  svc rekey time 30
  svc rekey method ssl
  svc ask none default svc

tunnel-group sslgroup type remote-access
tunnel-group sslgroup general-attributes
 address-pool anyconnect-pool
 authentication-server-group LDAP_SRV_GRP LOCAL
 authentication-server-group (inside) LDAP_SRV_GRP LOCAL
 default-group-policy NoSSLAccess
tunnel-group sslgroup webvpn-attributes
 group-alias sslgroup_users enable

Wenn ich nun eine weitere Gruppe der AD, z.B. Fremdfirmenmitarbeiter auch für bestimmte Ressourcen zulassen will, was muss ich dann tun? Wie ist hier die Vorgehensweise, hat jemand einen Link zu einer Beispielkonfiguration?
Weiterhin hattte ich gedacht, dass nach obigerKonfiguration auch eine Anmeldung mit einen loaklen User (auf der ASA eingerichtet) funktioniert. Offensichtlich aber nicht, wo ist hier noch was zu konfigurieren?

Otaku19 Veteran

Otaku19   33

Geschrieben
Geschrieben

Am flexibelsten ist man da mit dynamic access policys, ist halt die frage ob du noch mehr Gruppen oder auch deine MA differenzieren möchtest oder nicht, was sagt ein Blick in die Kristallkugel für die nächsten 6-12 Monate ?

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...