отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Настройка Identity Options ASA 5525-X

Добрый день!

ASA 5520 ver. 9.1(4), nat не используется. Не могу понять почему не работают ACL через Identity Options. На ASA тесты для агента и AD проходят. В агенте (1.0.0.011) все зелененькое, в разделе "IP to identity" есть пользователи и ip. Без user-group правила работаю нормально. Включил debug user-identity all, но в логах ничего не появляется. Как можно отследить где проблема?

Настройки ASA:

aaa-server Group-AD-Agent protocol radius
 ad-agent-mode
aaa-server Group-AD-Agent (outside_business) host cda1
 key *****
aaa-server Group_AD_Server protocol ldap
aaa-server Group_AD_Server (outside) host dc1
 ldap-base-dn DC=AD,DC=com
 ldap-scope subtree
 ldap-login-password *****
 ldap-login-dn AD\user
 server-type microsoft
aaa-server Group_AD_Server (outside) host dc2
 ldap-base-dn DC=AD,DC=com
 ldap-scope subtree
 ldap-login-password *****
 ldap-login-dn AD\user
 server-type microsoft
user-identity domain AD.com aaa-server Group_AD_Server
user-identity default-domain AD.com
user-identity action domain-controller-down AD.com disable-user-identity-rule
user-identity ad-agent aaa-server Group-AD-Agent

!

object-group service DM_INLINE_SERVICE_4
 service-object tcp destination eq ssh
 service-object tcp destination eq telnet

!

object-group network DM_INLINE_NETWORK_3
 network-object object Network1
 network-object object Network10

!

object-group network DM_INLINE_NETWORK_9
 network-object object Network2
 network-object object Network20

!

access-list outside_business_access_in extended permit object-group DM_INLINE_SERVICE_4 user-group AD.com\\group_user1 object-group DM_INLINE_NETWORK_3 object-group DM_INLINE_NETWORK_9

 

 

1 ОТВЕТ
New Member

Может кому-от пригодиться.

Может кому-от пригодиться. Проблема была в том, что не правильно указывался домен, то есть было

user-identity domain AD.com aaa-server Group_AD_Server
user-identity default-domain AD.com
user-identity action domain-controller-down AD.com disable-user-identity-rule

а надо

user-identity domain AD aaa-server Group_AD_Server
user-identity default-domain AD
user-identity action domain-controller-down AD disable-user-identity-rule

58
Просмотры
0
Полезный материал
1
Ответы