Исходные данные: На ASA настроена аутентификация пользователей через LDAP. Для LDAP аутентификации используется Microsoft Windows сервер. Настройка производится с использованием ASDM. Клиенты соединяются по IPSec.
Необходимо выполнить 2 задачи:
1. Привязка статического IP к имени пользователя в AD.
2. Настройка политик в соответствии с LDAP атрибутами пользователя.
1. Привязка статического IP к имени пользователя в AD.
Постановка задачи: Привязать статический IP удаленным пользователям.
Решение:
- на сервере аутентификации назначить пользователю статический IP адрес.
- проассоциировать соответствующий LDAP атрибут с внутренними атрибутами ASA.
Подробнее:
1.1. В AD пользователю необходимо назначить статический IP адрес, используя вкладку Dial-in.
1.2. Для сопоставления LDAP атрибутов, передаваемых в процессе аутентификации MS Windows сервером, и внутренних атрибутов ASA, необходимо настроить “LDAP Attribute Map” (“Configuration”->”Remote Access VPN” -> “AAA/Local Users” -> “LDAP Attribute Map”). Добавляем LDAP Attribute Map (или модифицируем существующую). В созданной LDAP Attribute Map (или существующей) создаем ассоциацию windows-атрибута msRADIUSFramedIPAddress с cisco’вским IETF-Radius-Framed-IP-Address.
2. Настройка политик в соответствии с LDAP атрибутами пользователя.
Постановка задачи: Разрешить удаленное подключение только пользователям, имеющим отмеченный переключатель Allow во вкладке Dial-in в AD.
Решение:
- на сервере аутентификации пометить пользователя как имеющего право на удаленный доступ (установить соответствующий LDAP атрибут).
- создать Connection Profile на ASA, назначить ему политику, запрещающую всем коннект.
- создать на ASA политику разрешающую коннект.
- проассоциировать ранее установленный LDAP атрибут, возвращаемый сервером аутентификации с соответствующей разрешительной политикой.
Подробнее:
2.1. В AD пользователю, имеющему право на удаленное подключение, необходимо отметить переключатель Allow, используя вкладку Dial-in.
2.2. К пользователю можно применить политики, определяющие различные атрибуты.
Приоритеты атрибутов политик показаны на схеме:
Существуют следующие типы атрибутов:
1. Dynamic Access Policy (DAP) Attributes– атрибуты динамических политик доступа, хранятся на флешке в файле dap.xml. Для редактирования из CLI недоступны, следует во всех случаях использовать ASDM.
2. User Attributes – атрибуты, предоставляемые сервером LDAP. Если на сервере атрибут не установлен, он не возвращается. Например, если на вкладке Dial-in атрибут Remote Access Permission (msNPAllowDialin) выставлен в положение Control Access through Remote Access Policy, он считается не установленным и не передается на ASA при аутентификации.
3. Group Policy Attributes – атрибуты, полученные из групповой политики, ассоциированной с пользователем.
4. Group Policy Attributes Associated with Connection Profile – атрибуты групповой политики, ассоциированные с Connection Profile
5. System Default Group Policy – системный атрибуты, определяются в политике по умолчанию DfltGrpPolicy. Применяются всегда в последнюю очередь, обладают самым низким приоритетом.
ASA складывает атрибуты всех политик с учетом приоритетов политик. Т.е. атрибуты, определенные в DAP являются более приоритетными, чем User Attributes и т.д.
В политике DfltGrpPolicy (“Configuration”->”Remote Access VPN” -> “Network (Client) Access” -> “Group Policies”) атрибут Simultaneous Logins выставлен в 0, запрещая таким образом удаленный коннект.
Создаем Connection Profile (“Configuration”->”Remote Access VPN” -> “Network (Client) Access” -> “IP Connection Profiles”) и устанавливаем в качестве дефолтной системную политику DfltGrpPolicy.
2.3. Создаем свою политику, разрешающую VPN соединения AllowVPN (“Configuration”->”Remote Access VPN” -> “Network (Client) Access” -> “Group Policies”). Определяем ее параметры, не забываем выставить атрибут Simultaneous Logins отличный от 0.
2.4. Создаем/редактируем “LDAP Attribute Map” (“Configuration”->”Remote Access VPN” -> “AAA/Local Users” -> “LDAP Attribute Map”), добавляя в нее ассоциацию атрибута msNPAllowDialin на IETF-Radius-Class (определяет имя Group Policy) . Добавляем также ассоциацию значений TRUE=AllowVPN.
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.