Cisco ASA (Adaptive Security Appliance) — серия аппаратных межсетевых экранов, разработанных компанией Cisco Systems.
Одной из возможностей данного устройства является предоставление доступа к корпоративной сети через шифрованное соединение по средствам веб-браузера – WebVPN.
Речь пойдет о настройке WebVPN с авторизацией пользователей через LDAP.
1) Включим webvpn на внешнем интерфейсе
[code]
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# enable outside_if
ciscoasa(config-webvpn)# tunnel-group-list enable
[/code]
2) Настроим AAA группу для авторизации через LDAP
- aaa-server %имя группы% (%внутренний интерфейс%) host %адрес ldap сервера%
- ldap-base-dn место где будет искать пользователей
- ldap-login-dn dn с достаточными правами для поиска пользователей в LDAP сервере
- ldap-login-password пароль авторизации
- ldap-naming-attribute поле которое однозначно идентифицирует запись в LDAP-сервер (обычно UID)
- ldap-scope область поиска или глубина поиска
- server-type тип ldap сервера
[code]
ciscoasa(config)#aaa-server LDAP_SRV_GRP protocol ldap
ciscoasa(config-aaa-server-group)#aaa-server LDAP_SRV_GRP (inside_if) host 192.168.0.2
ciscoasa(config-aaa-server-host)#ldap-base-dn dc=corp, dc=myhost, dc=ru
ciscoasa(config-aaa-server-host)#ldap-login-dn cn=admin, dc=myhost, dc=ru
ciscoasa(config-aaa-server-host)#ldap-login-password ****
ciscoasa(config-aaa-server-host)#ldap-naming-attribute uid
ciscoasa(config-aaa-server-host)#ldap-scope subtree
ciscoasa(config-aaa-server-host)#server-type openldap
ciscoasa(config-aaa-server-host)#exit
[/code]
Проверить работу LDAP_SRV_GRP можно следующим образом
[code]
ciscoasa#test aaa-server authentication LDAP_SRV_GRP host 192.168.0.2 username user1 password 123456
INFO: Attempting Authentication test to IP address <192.168.0.2>
(timeout: 16 seconds)
INFO: Authentication Successful
[/code]
3) Настройка группы туннелей для использования AAA авторизации
[code]
ciscoasa(config)#tunnel-group ExampleGroup2 type remote-access
ciscoasa(config)#tunnel-group ExampleGroup2 general-attributes
ciscoasa(config-tunnel-general)#authentication-server-group LDAP_SRV_GRP
ciscoasa(config-tunnel-general)#tunnel-group ExampleGroup2 webvpn-attributes
ciscoasa(config-tunnel-webvpn)#group-alias Group1 enable
[/code]
После этого авторизация на WebVPN должна осуществляться через LDAP сервер.
В ходе настройки пришлось сделать group-alias Group1 enable и tunnel-group-list enable иначе не работала бы авторизация через LDAP. Может существует более красивый способ ?