Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .

Доступ по AnyConnect в зависимости от группы AD

Добрый день.

 

Настраиваю AnyConnect с авторизацией через LDAP c правами доступа в зависимости от группы в домене по данной статье - http://www.experts-exchange.com/Security/Software_Firewalls/Cisco_PIX_Firewall/Q_27436009.html

Соединение устанавливается в независимости от того в какой группе находится пользователь

Я так понимаю не срабатывает маппинг на группы.

ldap attribute-map ad0map

map-name memberOf Group-Policy

map-value memberOf CN=vpn-users,OU=Groups,DC=domain,DC=local GroupPolicy_arw-vpn_ldap0

 

ldap attribute-map ad1map

map-name memberOf Group-Policy

map-value memberOf CN=vpn-admins,OU=Groups,DC=domain,DC=local GroupPolicy_arw-vpn_ldap1

Если прописать маппинг в зависимости от значения Dialin

ldap attribute-map CISCOMAP
  map-name  msNPAllowDialin cVPN3000-IETF-Radius-Class
  map-value msNPAllowDialin FALSE NOACCESS
  map-value msNPAllowDialin TRUE ALLOWACCESS

То все работает.

Хотелось бы иметь возможность контролировать доступ в зависимости от группы AD.

Подскажите что упустил или не так сделал.

 

 

 

2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения
Cisco Employee

Если пользователь входит в

Если пользователь входит в несколько групп AD, то могут быть трудности, т.к. порядком выполнения сравнений рулить нельзя. Есть enhancement, но это не реализовано:

CSCub12834    Enhancement - LDAP attribute mapping with explicit precedence

 

И не понятно, зачем две map: ad0map, ad1map.

 

Если хочется отображать пользователя в group-policy, то концептуально правильный путь - использовать какой-то др. атрибут AD (например, department), а не multi-valued attribute memberOf.

 

Cisco Employee

Да.

Да.

10 ОТВЕТ.
Cisco Employee

Если пользователь входит в

Если пользователь входит в несколько групп AD, то могут быть трудности, т.к. порядком выполнения сравнений рулить нельзя. Есть enhancement, но это не реализовано:

CSCub12834    Enhancement - LDAP attribute mapping with explicit precedence

 

И не понятно, зачем две map: ad0map, ad1map.

 

Если хочется отображать пользователя в group-policy, то концептуально правильный путь - использовать какой-то др. атрибут AD (например, department), а не multi-valued attribute memberOf.

 

Если требуется сделать

Если требуется сделать следующую структуру по значению поля department :

значение admin - полный админский доступ

значение user -  доступ к определенным ресурсам

значение отсутствует - доступ запрещен

Как можно реализовать? 

Или требуется чтобы в поле обязательно было значение?

Cisco Employee

Если пусто, то attribute-map

Если пусто, то attribute-map group-policy не назначит и сработает настройка default-group-policy в tunnel-group. А в ней ставите vpn-tunnel-protocol ikev1. AnyConnect не подключится, т.к. IKEv1 не поддерживает.

В DfltGrpPolicy оставил

В DfltGrpPolicy оставил только vpn-tunnel-protocol ikev1.

Все равно происходит соединение при пустом поле department.

Что не так?

Cisco Employee

show vpn-sessiondb detail

show vpn-sessiondb detail anyconnect

в студию

 

Result of the command: "show

Result of the command: "show vpn-sessiondb detail anyconnect"

Session Type: AnyConnect Detailed

Username     : nkrysenkov             Index        : 1541
Assigned IP  : 10.2.150.45            Public IP    : 83.220.237.59
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 18755                  Bytes Rx     : 11919
Pkts Tx      : 44                     Pkts Rx      : 69
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : company-vpn_ldap1      Tunnel Group : company-vpn_ldap1
Login Time   : 14:59:08 GST Fri Oct 3 2014
Duration     : 0h:00m:15s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 1541.1
  Public IP    : 83.220.237.59
  Encryption   : none                   Hashing      : none                   
  TCP Src Port : 44823                  TCP Dst Port : 443                    
  Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
  Client OS    : Windows                
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.05160
  Bytes Tx     : 5773                   Bytes Rx     : 773                    
  Pkts Tx      : 4                      Pkts Rx      : 1                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
SSL-Tunnel:
  Tunnel ID    : 1541.2
  Assigned IP  : 10.2.150.45            Public IP    : 83.220.237.59
  Encryption   : RC4                    Hashing      : SHA1                   
  Encapsulation: TLSv1.0                TCP Src Port : 44824                  
  TCP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
  Client OS    : Windows                
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.05160
  Bytes Tx     : 6039                   Bytes Rx     : 800                    
  Pkts Tx      : 6                      Pkts Rx      : 9                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  Filter Name  : acl_split-tunnel-1
  
DTLS-Tunnel:
  Tunnel ID    : 1541.3
  Assigned IP  : 10.2.150.45            Public IP    : 83.220.237.59
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: DTLSv1.0               UDP Src Port : 37375                  
  UDP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 30 Minutes             
  Client OS    : Windows                
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.05160
  Bytes Tx     : 6943                   Bytes Rx     : 10346                  
  Pkts Tx      : 34                     Pkts Rx      : 59                     
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  Filter Name  : acl_split-tunnel-1
  
NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 15 Seconds
  Hold Left (T): 0 Seconds              Posture Token: 
  Redirect URL : 

Cisco Employee

Так при чем тут DfltGrpPolicy

Так при чем тут DfltGrpPolicy?

Group Policy : company-vpn_ldap1      Tunnel Group : company-vpn_ldap1

В "tunnel-group company-vpn_ldap1 general-attributes" видимо стоит "default-group-policy company-vpn_ldap1". В ней и надо запрещать доступ. А всем пользователям, которым доступ разрешен, назначать другую (другие) group-policy через "ldap attribute-map".

Именно так и стоит.Требуется

Именно так и стоит.

Требуется company-vpn_ldap1 прописать другую Group Policy в которой запрещен доступ через AnyConnect, а в ldap attribute-map сделать ссылки на Group Policy : company-vpn_ldap1?

 

Верно?

Cisco Employee

Да.

Да.

Спасибо за помощь.Удалось все

Спасибо за помощь.

Удалось все настроить.

 

189
Просмотры
0
Полезный материал
10
Ответы
СоздатьДля создания публикации, пожалуйста в систему