- Форум
- /
- IT и телекоммуникации
- /
- Конфигурация сетевого оборудования
- /
- ASA AnyConnect: LDAP/RADIUS-аутентификация и обновление паролей пользователя (password expired)
ASA AnyConnect: LDAP/RADIUS-аутентификация и обновление паролей пользователя (password expired)
Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.
8 года 7 мес. назад - 8 года 6 мес. назад #168
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
TOLLIFi создал тему: ASA AnyConnect: LDAP/RADIUS-аутентификация и обновление паролей пользователя (password expired)
В этой статье будет рассмотрена конфигурация Cisco ASA AnyConnect, в частности, настройка аутентификации пользователя через Active Directory и RADIUS с возможностью обновления устаревшего пароля пользователя через клиентское приложение AnyConnect. За основу взята конфигурация и схема подключения из предыдущей статьи
ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров
Тестовая структура Active Directory предприятия представлена на рис.:
Задача:
Обеспечить аутентификацию пользователей с возможностью обновления паролей через клиентское приложение Cisco AnyConnect.
Самое оптимальное решение - это обеспечить аутентификацию по протоколу LDAP (LDAPS) на серверах AD, так как только в этом случае при устаревании пароля, система (VPN-приложение) будет заблаговременно предупреждать пользователя о сроках истечения текущего пароля и необходимости сменить его (команда 'password-management password-expire-in-days ...'). Протокол RADIUS предупреждений не выдает, а само сообщение о смене пароля будет показано лишь однажды, только когда придет время смены пароля.
Структура AD представлена в виде "леса" доменов с корневым доменом 'company.com' и поддоменами 'msc' и 'spb'.Для того чтобы иметь возможность аутентификации пользователей сразу из всех доменов, корневой домен выполняет также роль Глобального каталога (используются порты: 3268 (LDAP), 3269 (LDAPS), подробнее см. документацию). Этот Каталог и является отправной точкой запросов аутентификации.
В демонстрационных целях, на сервере AD настроена роль NPS для аутентификации по RADIUS (порты: 1645, 1646).
--- ПРИМЕР КОНФИГУРАЦИИ ASA PASSWORD-MANAGEMENT >>>
Пояснения:
- ldap-naming-attribute userPrincipalName (ldap-naming-attribute sAMAccountName) - для аутентификации пользователя через Глобальный каталог, необходимо использовать атрибут userPrincipalName, т.к. значение этого параметра уникально среди всех доменов (т.е. в качестве имени пользователя будет использоваться запись вида 'Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.' или 'Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.'), для аутентификации пользователя в локальном домене, можно использовать стандартный атрибут sAMAccountName, который уникален лишь в пределах локального домена (имя пользователя будет иметь вид 'username', а не '<домен>\<username>' как в случае с RADIUS-аутентификацией).
- ldap-over-ssl enable - шифровать запросы аутентификации между ASA и AD. ASA автоматически будет использовать порт 626. В случае с Глобальным каталогом AD - необходимо вручную задавать порты (3268 или 3269).
- password-management password-expire-in-days 7 - включает возможность управления паролем через VPN-приложение; 'password-expire-in-days 7' - начать предупреждать за 7 дней о необходимости смены пароля (предупреждать 7 дней подряд - только в LDAP, в RADIUS - предупреждений нет, только одно сообщение в момент истечения пароля).
Тестовая структура Active Directory предприятия представлена на рис.:
Задача:
Обеспечить аутентификацию пользователей с возможностью обновления паролей через клиентское приложение Cisco AnyConnect.
Самое оптимальное решение - это обеспечить аутентификацию по протоколу LDAP (LDAPS) на серверах AD, так как только в этом случае при устаревании пароля, система (VPN-приложение) будет заблаговременно предупреждать пользователя о сроках истечения текущего пароля и необходимости сменить его (команда 'password-management password-expire-in-days ...'). Протокол RADIUS предупреждений не выдает, а само сообщение о смене пароля будет показано лишь однажды, только когда придет время смены пароля.
Структура AD представлена в виде "леса" доменов с корневым доменом 'company.com' и поддоменами 'msc' и 'spb'.Для того чтобы иметь возможность аутентификации пользователей сразу из всех доменов, корневой домен выполняет также роль Глобального каталога (используются порты: 3268 (LDAP), 3269 (LDAPS), подробнее см. документацию). Этот Каталог и является отправной точкой запросов аутентификации.
В демонстрационных целях, на сервере AD настроена роль NPS для аутентификации по RADIUS (порты: 1645, 1646).
--- ПРИМЕР КОНФИГУРАЦИИ ASA PASSWORD-MANAGEMENT >>>
ВНИМАНИЕ: Спойлер!
!
aaa-server RADIUS-COM-COMPANY protocol radius
!
aaa-server RADIUS-COM-COMPANY (INSIDE) host 10.0.0.1
key RaDiUsKeY
!
aaa-server LDAP-COM-COMPANY protocol ldap
aaa-server LDAP-COM-COMPANY-MSC protocol ldap
aaa-server LDAP-COM-COMPANY-SPB protocol ldap
!
aaa-server LDAP-COM-COMPANY (INSIDE) host 10.0.0.1
server-port 3269
ldap-base-dn DC=company,DC=com
ldap-group-base-dn DC=company,DC=com
ldap-naming-attribute userPrincipalName
ldap-login-password PaSsWoRd
ldap-login-dn CN=ASAUser,OU=Users,DC=company,DC=com
ldap-over-ssl enable
server-type microsoft
aaa-server LDAP-COM-COMPANY-MSC (INSIDE) host 10.0.1.1
ldap-base-dn CN=Users_MSC,OU=Groups,DC=msc,DC=company,DC=com
ldap-group-base-dn CN=Users_MSC,OU=Groups,DC=msc,DC=company,DC=com
ldap-naming-attribute sAMAccountName
ldap-login-password PaSsWoRd
ldap-login-dn CN=ASAUser,OU=Users,DC=company,DC=com
ldap-over-ssl enable
server-type microsoft
aaa-server LDAP-COM-COMPANY-SPB (INSIDE) host 10.0.2.1
ldap-base-dn CN=Users_SPB,OU=Groups,DC=spb,DC=company,DC=com
ldap-group-base-dn CN=Users_SPB,OU=Groups,DC=spb,DC=company,DC=com
ldap-naming-attribute sAMAccountName
ldap-login-password PaSsWoRd
ldap-login-dn CN=ASAUser,OU=Users,DC=company,DC=com
ldap-over-ssl enable
server-type microsoft
!
tunnel-group TG-AAA-LDAP general-attributes
address-pool POOL-VPN
authentication-server-group LDAP-COM-COMPANY RADIUS-COM-COMPANY LOCAL
default-group-policy GP-AAA
password-management password-expire-in-days 7
!
tunnel-group TG-AAA-LDAP-MSC general-attributes
address-pool POOL-VPN
authentication-server-group LDAP-COM-COMPANY-MSC RADIUS-COM-COMPANY LOCAL
default-group-policy GP-AAA
password-management password-expire-in-days 7
!
tunnel-group TG-AAA-LDAP-SPB general-attributes
address-pool POOL-VPN
authentication-server-group LDAP-COM-COMPANY-SPB RADIUS-COM-COMPANY LOCAL
default-group-policy GP-AAA
password-management password-expire-in-days 7
!
- ldap-naming-attribute userPrincipalName (ldap-naming-attribute sAMAccountName) - для аутентификации пользователя через Глобальный каталог, необходимо использовать атрибут userPrincipalName, т.к. значение этого параметра уникально среди всех доменов (т.е. в качестве имени пользователя будет использоваться запись вида 'Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.' или 'Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.'), для аутентификации пользователя в локальном домене, можно использовать стандартный атрибут sAMAccountName, который уникален лишь в пределах локального домена (имя пользователя будет иметь вид 'username', а не '<домен>\<username>' как в случае с RADIUS-аутентификацией).
- ldap-over-ssl enable - шифровать запросы аутентификации между ASA и AD. ASA автоматически будет использовать порт 626. В случае с Глобальным каталогом AD - необходимо вручную задавать порты (3268 или 3269).
- password-management password-expire-in-days 7 - включает возможность управления паролем через VPN-приложение; 'password-expire-in-days 7' - начать предупреждать за 7 дней о необходимости смены пароля (предупреждать 7 дней подряд - только в LDAP, в RADIUS - предупреждений нет, только одно сообщение в момент истечения пароля).
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Последнее редактирование: 8 года 6 мес. назад пользователем TOLLIFi.
Пожалуйста Войти , чтобы присоединиться к беседе.
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- ASA AnyConnect: LDAP/RADIUS-аутентификация и обновление паролей пользователя (password expired)