ASA AnyConnect: LDAP/RADIUS-аутентификация и обновление паролей пользователя (password expired)

Больше
5 года 3 нед. назад - 5 года 2 дн. назад #168 от TOLLIFi
COM_KUNENA_MESSAGE_CREATED_NEW
В этой статье будет рассмотрена конфигурация Cisco ASA AnyConnect, в частности, настройка аутентификации пользователя через Active Directory и RADIUS с возможностью обновления устаревшего пароля пользователя через клиентское приложение AnyConnect. За основу взята конфигурация и схема подключения из предыдущей статьи ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров

Тестовая структура Active Directory предприятия представлена на рис.:


Задача:
Обеспечить аутентификацию пользователей с возможностью обновления паролей через клиентское приложение Cisco AnyConnect.

Самое оптимальное решение - это обеспечить аутентификацию по протоколу LDAP (LDAPS) на серверах AD, так как только в этом случае при устаревании пароля, система (VPN-приложение) будет заблаговременно предупреждать пользователя о сроках истечения текущего пароля и необходимости сменить его (команда 'password-management password-expire-in-days ...'). Протокол RADIUS предупреждений не выдает, а само сообщение о смене пароля будет показано лишь однажды, только когда придет время смены пароля.

Структура AD представлена в виде "леса" доменов с корневым доменом 'company.com' и поддоменами 'msc' и 'spb'.Для того чтобы иметь возможность аутентификации пользователей сразу из всех доменов, корневой домен выполняет также роль Глобального каталога (используются порты: 3268 (LDAP), 3269 (LDAPS), подробнее см. документацию). Этот Каталог и является отправной точкой запросов аутентификации.

В демонстрационных целях, на сервере AD настроена роль NPS для аутентификации по RADIUS (порты: 1645, 1646).


--- ПРИМЕР КОНФИГУРАЦИИ ASA PASSWORD-MANAGEMENT >>>

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Вложения:
Last edit: 5 года 2 дн. назад by TOLLIFi.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум