Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Cisco ASA5505. Недоступен интернет через identity firewall

Здравствуйте все!

Поставило тут задачку начальство сделать так, чтобы пользователи авторизировались с помощью AD и ходили в интернет.
Дано Cisco ASA 5505. На контроллере домена стоит AD agent (который говорит что dc - up и client - up), АСА спокойно забирает логины пользователей.
IP-адреса в сети раздаются по DHCP, который поднят на контроллере домена.

Суть проблемы такова, что после ауторизации пользователя интернет отваливается спустя некоторое время. То есть Пользователь зашел на комп, потом открыл браузер, открыл пару сайтов, потом прошло от 5 и 7 минут простоя и далее интернет недоступен. Интернет появляется тиогда, когда пользователь заново перезайдёт на компьютер, либо на некоторое время выключит "Сетевое подключение по локальной сети" на 1 минуту. Куда тут копать?

Конфиг сего безобразия на АСЕ таков:

object-group user ACTIVE_ALLOW
 user-group DCU\\CASA61_Allow
 user DCU\User1
 user DCU\User2

access-list inside_access_in_1 extended permit ip object-group-user ACTIVE_ALLOW 192.168.1.0 255.255.255.0 any log debugging

aaa-server ADA protocol radius
 ad-agent-mode
 interim-accounting-update
 reactivation-mode depletion deadtime 1
 merge-dacl after-avpair
aaa-server ADA (inside) host dc61-01
 key *****
 radius-common-pw *****
 no mschapv2-capable
aaa-server AD protocol ldap
 reactivation-mode depletion deadtime 1
aaa-server AD (inside) host dc61-01
 ldap-base-dn dc=DCU,dc=local
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn CN=CISCOASA61,OU=Users_MC,dc=DCU,dc=local
 server-type microsoft
user-identity domain DCU aaa-server AD
user-identity domain DC61-01 aaa-server AD
user-identity default-domain DCU
user-identity action domain-controller-down DCU disable-user-identity-rule
no user-identity action mac-address-mismatch remove-user-ip
no user-identity inactive-user-timer
user-identity logout-probe netbios local-system probe-time minutes 60 retry-interval seconds 5 retry-count 5 match-any
user-identity poll-import-user-group-timer hours 12
user-identity ad-agent active-user-database full-download
user-identity ad-agent aaa-server ADA
user-identity user-not-found enable

 

В данный момент времени пока писала это сообщение сюда (20 мин), 1 раз из интернета вышвернуло.

 

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Доброго времени суток. Я

Доброго времени суток. Я почти уверен что проблема не в ASA, а в фильтрации NetBios-сообщений до клиента (или на клиенте). Проерить это очень легко, изменив таймаут в этой команде с 20, допустим, до 1 мин. Очевидно, вы должны потерять связь, если netbios не пройдет. 

user-identity logout-probe netbios local-system probe-time minutes 20 retry-interval seconds 3 retry-count 3 user-not-needed

3 ОТВЕТ.
New Member

Проблемы с сопоставленим IP <

Проблемы с сопоставленим IP <> Username

Смоделируем ситуацию:
Учетка обычная: DCU\User1 (Имеет доступ в Интернет)
Учетка админская: DCU\User2 (Не имеет доступ в Интернет)
IP компьютера: 10.1.61.135
IP Сервера 1: 10.1.61.242 – местный сервер/компьютер
IP Сервера 2: 10.1.30.242 – удалённый сервер/компьютер

1) Первое включение компьютера и вход на компьютер под обычной учеткой:

Код:
IP-User mapping 10.1.61.135(0)<->DCU\User1 added


Здесь всё верно. Интернет есть.

2) Вход по RDP на местный сервер/компьютер 1 под админской учетной записью:

Код:
idfw_adagent[0]: IP-User mapping 10.1.61.242(0)<->DCU\User2 added


Здесь всё верно.
Далее поработав на сервере 1, и в интернете всё работает нормально.
Закрывши корректно соединение по RDP c Сервером 1, интернет работает.

3) Второй вход по RDP на местный сервер/компьютер 1 под админской учетной записью:

Код:
idfw_adagent: NP IDFW: remove ip 10.1.61.135 from user User1 domain=1 uid=2 import=0 useripcnt=0 hashcnt=22
idfw_adagent: NP IDFW: add 10.1.61.135/0/0 to DCU\User2/9 ipcnt=2 hashcnt=23
idfw_adagent[0]: IP-User mapping 10.1.61.135(0)<->DCU\User2 added


Соостветсвенно на компьютере с IP 10.1.61.135 доступ в Интернет прекращается.

4) Перелогиниваемся на компьютере с IP 10.1.61.135 под обычной учетной записью, чтобы появился Интернет.

Код:
idfw_adagent: NP IDFW: remove ip 10.1.61.135 from user User2 domain=1 uid=9 import=0 useripcnt=1 hashcnt=22
idfw_adagent: NP IDFW: add 10.1.61.135/0/0 to DCU\User1/2 ipcnt=1 hashcnt=23
idfw_adagent[0]: IP-User mapping 10.1.61.135(0)<->DCU\User1 added


Интернет появляется.

5) Вход по RDP на удалённый по RDP на Сервер 2 или какой-нибудь другой компьютер/сервер под админской учеткой:
Происходит следующее:
Удаляется сопоставление IP<>Username

Код:
idfw_adagent: NP IDFW: remove ip 10.1.61.135 from user User1 domain=1 uid=2 import=0 useripcnt=0 hashcnt=22


и добавляется не правильное сопоставление IP<>Username

Код:
idfw_adagent: NP IDFW: add 10.1.61.135/0/0 to DCU\User2/9 ipcnt=2 hashcnt=23
idfw_adagent[0]: IP-User mapping 10.1.61.135(0)<->DCU\User2 added


Соостветсвенно на компьютере с IP 10.1.61.135 доступ в Интернет прекращается.

6) Перелогиниваемся на компьютере с IP 10.1.61.135 под обычной учетной записью, чтобы появился Интернет.

Код:
idfw_adagent: NP IDFW: remove ip 10.1.61.135 from user User2 domain=1 uid=9 import=0 useripcnt=1 hashcnt=22
idfw_adagent: NP IDFW: add 10.1.61.135/0/0 to DCU\User1/2 ipcnt=1 hashcnt=23
idfw_adagent[0]: IP-User mapping 10.1.61.135(0)<->DCU\User1 added


Интернет появляется.

Это происходит не только по RDP, а например тогда, когда, нужно установить или удалить программу на компьютере из-под админской учетной записью:
1) Первое включение компьютера и вход на компьютер под обычной учеткой:

Код:
IP-User mapping 10.1.61.135(0)<->DCU\User1 added


Здесь всё верно.
Интернет есть.

2) Запуск установки/удаления программы:

Код:
idfw_adagent: NP IDFW: remove ip 10.1.61.135 from user User1 domain=1 uid=2 import=0 useripcnt=0 hashcnt=22
idfw_adagent: NP IDFW: add 10.1.61.135/0/0 to DCU\User2/9 ipcnt=2 hashcnt=23
idfw_adagent[0]: IP-User mapping 10.1.61.135(0)<->DCU\User2 added


Интенета нету.

3) Соответственно Перелогиниваемся на компьютере с IP 10.1.61.135 под обычной учетной записью, чтобы появился Интернет.

Код:
idfw_adagent: NP IDFW: remove ip 10.1.61.135 from user User2 domain=1 uid=9 import=0 useripcnt=1 hashcnt=22
idfw_adagent: NP IDFW: add 10.1.61.135/0/0 to DCU\User1/2 ipcnt=1 hashcnt=23
idfw_adagent[0]: IP-User mapping 10.1.61.135(0)<->DCU\User1 added


Интернет появляется.

Текущая конфигурация IDFW такая:

Код:
aaa-server CDA2 protocol radius
 ad-agent-mode
 interim-accounting-update periodic 24
 reactivation-mode depletion deadtime 1
 merge-dacl after-avpair
 dynamic-authorization

aaa-server CDA2 (inside) host 10.1.61.250
 key *****
 radius-common-pw *****
 no mschapv2-capable

aaa-server AD protocol ldap
 reactivation-mode depletion deadtime 1

aaa-server AD (inside) host dc61-01
 ldap-base-dn dc=DCU,dc=local
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn CN=CISCOASA61,OU=Technical accounts,dc=DCU,dc=local
 server-type microsoft

cts server-group CDA2

user-identity domain DCU aaa-server AD
user-identity default-domain DCU
user-identity action domain-controller-down DCU disable-user-identity-rule
user-identity action netbios-response-fail remove-user-ip
user-identity inactive-user-timer minutes 120
user-identity logout-probe netbios local-system probe-time minutes 20 retry-interval seconds 3 retry-count 3 user-not-needed
user-identity poll-import-user-group-timer hours 12
user-identity ad-agent aaa-server CDA2
user-identity ad-agent event-timestamp-check
user-identity monitor user-group DCU\\CASA61_Allow
user-identity monitor user-group DCU\\CASA61_Allow_Middle
user-identity monitor user-group DCU\\CASA61_Allow_Low
aaa authentication telnet console LOCAL
aaa authentication http console LOCAL
aaa authentication enable console LOCAL
aaa authentication ssh console LOCAL
aaa authentication serial console LOCAL
aaa authentication match inside_authentication inside LOCAL
aaa authorization command LOCAL
aaa authorization exec authentication-server



Вот такая шняга, и эта шняга по нормальному заводиться не хочет(

New Member

со статическими адресами как?

со статическими адресами как?!

если dhcp ставить на asa?!

 

Доброго времени суток. Я

Доброго времени суток. Я почти уверен что проблема не в ASA, а в фильтрации NetBios-сообщений до клиента (или на клиенте). Проерить это очень легко, изменив таймаут в этой команде с 20, допустим, до 1 мин. Очевидно, вы должны потерять связь, если netbios не пройдет. 

user-identity logout-probe netbios local-system probe-time minutes 20 retry-interval seconds 3 retry-count 3 user-not-needed

208
Просмотры
0
Полезный материал
3
Ответы
СоздатьДля создания публикации, пожалуйста в систему