ASA AnyConnect: LDAP/RADIUS-аутентификация и обновление паролей пользователя (password expired)
4 года 10 мес. назад - 4 года 10 мес. назад #168
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
COM_KUNENA_MESSAGE_CREATED_NEW
В этой статье будет рассмотрена конфигурация Cisco ASA AnyConnect, в частности, настройка аутентификации пользователя через Active Directory и RADIUS с возможностью обновления устаревшего пароля пользователя через клиентское приложение AnyConnect. За основу взята конфигурация и схема подключения из предыдущей статьи
ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров
Тестовая структура Active Directory предприятия представлена на рис.:
Задача:
Обеспечить аутентификацию пользователей с возможностью обновления паролей через клиентское приложение Cisco AnyConnect.
Самое оптимальное решение - это обеспечить аутентификацию по протоколу LDAP (LDAPS) на серверах AD, так как только в этом случае при устаревании пароля, система (VPN-приложение) будет заблаговременно предупреждать пользователя о сроках истечения текущего пароля и необходимости сменить его (команда 'password-management password-expire-in-days ...'). Протокол RADIUS предупреждений не выдает, а само сообщение о смене пароля будет показано лишь однажды, только когда придет время смены пароля.
Структура AD представлена в виде "леса" доменов с корневым доменом 'company.com' и поддоменами 'msc' и 'spb'.Для того чтобы иметь возможность аутентификации пользователей сразу из всех доменов, корневой домен выполняет также роль Глобального каталога (используются порты: 3268 (LDAP), 3269 (LDAPS), подробнее см. документацию). Этот Каталог и является отправной точкой запросов аутентификации.
В демонстрационных целях, на сервере AD настроена роль NPS для аутентификации по RADIUS (порты: 1645, 1646).
--- ПРИМЕР КОНФИГУРАЦИИ ASA PASSWORD-MANAGEMENT >>>
Тестовая структура Active Directory предприятия представлена на рис.:
Задача:
Обеспечить аутентификацию пользователей с возможностью обновления паролей через клиентское приложение Cisco AnyConnect.
Самое оптимальное решение - это обеспечить аутентификацию по протоколу LDAP (LDAPS) на серверах AD, так как только в этом случае при устаревании пароля, система (VPN-приложение) будет заблаговременно предупреждать пользователя о сроках истечения текущего пароля и необходимости сменить его (команда 'password-management password-expire-in-days ...'). Протокол RADIUS предупреждений не выдает, а само сообщение о смене пароля будет показано лишь однажды, только когда придет время смены пароля.
Структура AD представлена в виде "леса" доменов с корневым доменом 'company.com' и поддоменами 'msc' и 'spb'.Для того чтобы иметь возможность аутентификации пользователей сразу из всех доменов, корневой домен выполняет также роль Глобального каталога (используются порты: 3268 (LDAP), 3269 (LDAPS), подробнее см. документацию). Этот Каталог и является отправной точкой запросов аутентификации.
В демонстрационных целях, на сервере AD настроена роль NPS для аутентификации по RADIUS (порты: 1645, 1646).
--- ПРИМЕР КОНФИГУРАЦИИ ASA PASSWORD-MANAGEMENT >>>
ВНИМАНИЕ: Спойлер!
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Forum Login
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- ASA AnyConnect: LDAP/RADIUS-аутентификация и обновление паролей пользователя (password expired)