Cisco ASA WebVPN LDAP Authentication

Cisco ASA (Adaptive Security Appliance) — серия аппаратных межсетевых экранов, разработанных компанией Cisco Systems.

Одной из возможностей данного устройства является предоставление доступа к корпоративной сети через шифрованное соединение по средствам веб-браузера – WebVPN.

Речь пойдет о настройке WebVPN с авторизацией пользователей через LDAP.

1) Включим webvpn на внешнем интерфейсе

[code]
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside_if
ciscoasa(config-webvpn)# tunnel-group-list enable
[/code]

2) Настроим AAA группу для авторизации через LDAP

  • aaa-server %имя группы% (%внутренний интерфейс%) host %адрес ldap сервера%
  • ldap-base-dn место где будет искать пользователей
  • ldap-login-dn dn с достаточными правами для поиска пользователей в LDAP сервере
  • ldap-login-password пароль авторизации
  • ldap-naming-attribute поле которое однозначно идентифицирует запись в LDAP-сервер (обычно UID)
  • ldap-scope область поиска или глубина поиска
  • server-type тип ldap сервера

[code]
ciscoasa(config)#aaa-server LDAP_SRV_GRP protocol ldap
ciscoasa(config-aaa-server-group)#aaa-server LDAP_SRV_GRP (inside_if) host 192.168.0.2
ciscoasa(config-aaa-server-host)#ldap-base-dn dc=corp, dc=myhost, dc=ru
ciscoasa(config-aaa-server-host)#ldap-login-dn cn=admin, dc=myhost, dc=ru
ciscoasa(config-aaa-server-host)#ldap-login-password ****
ciscoasa(config-aaa-server-host)#ldap-naming-attribute uid
ciscoasa(config-aaa-server-host)#ldap-scope subtree
ciscoasa(config-aaa-server-host)#server-type openldap
ciscoasa(config-aaa-server-host)#exit
[/code]

Проверить работу LDAP_SRV_GRP можно следующим образом

[code]
ciscoasa#test aaa-server authentication LDAP_SRV_GRP host 192.168.0.2 username user1 password 123456
INFO: Attempting Authentication test to IP address <192.168.0.2>
(timeout: 16 seconds)
INFO: Authentication Successful
[/code]

3) Настройка группы туннелей для использования AAA авторизации

[code]
ciscoasa(config)#tunnel-group ExampleGroup2 type remote-access
ciscoasa(config)#tunnel-group ExampleGroup2 general-attributes
ciscoasa(config-tunnel-general)#authentication-server-group LDAP_SRV_GRP
ciscoasa(config-tunnel-general)#tunnel-group ExampleGroup2 webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
[/code]

После этого авторизация на WebVPN должна осуществляться через LDAP сервер.
В ходе настройки пришлось сделать group-alias Group1 enable и tunnel-group-list enable иначе не работала бы авторизация через LDAP. Может существует более красивый способ ?

Взято с : 1cisco.com 2cisco.com 3cisco.com

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *