ASA AnyConnect: LDAP/RADIUS-аутентификация и обновление паролей пользователя (password expired)

Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.

В начало
Назад
1
Вперед
В конец

TOLLIFi
Автор темы
Не в сети
COM_KUNENA_SAMPLEDATA_RANK_MODERATOR
TOLLIFi Inc.

Больше

7 года 10 мес. назад - 7 года 10 мес. назад #168 от TOLLIFi

TOLLIFi создал тему: ASA AnyConnect: LDAP/RADIUS-аутентификация и обновление паролей пользователя (password expired)

В этой статье будет рассмотрена конфигурация Cisco ASA AnyConnect, в частности, настройка аутентификации пользователя через Active Directory и RADIUS с возможностью обновления устаревшего пароля пользователя через клиентское приложение AnyConnect. За основу взята конфигурация и схема подключения из предыдущей статьи ASA AnyConnect VPN & ISP load balance: Настройка подключения с резервированием провайдеров

Тестовая структура Active Directory предприятия представлена на рис.:

Задача:
Обеспечить аутентификацию пользователей с возможностью обновления паролей через клиентское приложение Cisco AnyConnect.

Самое оптимальное решение - это обеспечить аутентификацию по протоколу LDAP (LDAPS) на серверах AD, так как только в этом случае при устаревании пароля, система (VPN-приложение) будет заблаговременно предупреждать пользователя о сроках истечения текущего пароля и необходимости сменить его (команда 'password-management password-expire-in-days ...'). Протокол RADIUS предупреждений не выдает, а само сообщение о смене пароля будет показано лишь однажды, только когда придет время смены пароля.

Структура AD представлена в виде "леса" доменов с корневым доменом 'company.com' и поддоменами 'msc' и 'spb'.Для того чтобы иметь возможность аутентификации пользователей сразу из всех доменов, корневой домен выполняет также роль Глобального каталога (используются порты: 3268 (LDAP), 3269 (LDAPS), подробнее см. документацию). Этот Каталог и является отправной точкой запросов аутентификации.

В демонстрационных целях, на сервере AD настроена роль NPS для аутентификации по RADIUS (порты: 1645, 1646).

--- ПРИМЕР КОНФИГУРАЦИИ ASA PASSWORD-MANAGEMENT >>>

ВНИМАНИЕ: Спойлер!

!
aaa-server RADIUS-COM-COMPANY protocol radius
!
aaa-server RADIUS-COM-COMPANY (INSIDE) host 10.0.0.1
 key RaDiUsKeY
!
aaa-server LDAP-COM-COMPANY protocol ldap
aaa-server LDAP-COM-COMPANY-MSC protocol ldap
aaa-server LDAP-COM-COMPANY-SPB protocol ldap
!
aaa-server LDAP-COM-COMPANY (INSIDE) host 10.0.0.1
 server-port 3269
 ldap-base-dn DC=company,DC=com
 ldap-group-base-dn DC=company,DC=com
 ldap-naming-attribute userPrincipalName
 ldap-login-password PaSsWoRd
 ldap-login-dn CN=ASAUser,OU=Users,DC=company,DC=com
 ldap-over-ssl enable
 server-type microsoft
aaa-server LDAP-COM-COMPANY-MSC (INSIDE) host 10.0.1.1
 ldap-base-dn CN=Users_MSC,OU=Groups,DC=msc,DC=company,DC=com
 ldap-group-base-dn CN=Users_MSC,OU=Groups,DC=msc,DC=company,DC=com
 ldap-naming-attribute sAMAccountName
 ldap-login-password PaSsWoRd
 ldap-login-dn CN=ASAUser,OU=Users,DC=company,DC=com
 ldap-over-ssl enable
 server-type microsoft
aaa-server LDAP-COM-COMPANY-SPB (INSIDE) host 10.0.2.1
 ldap-base-dn CN=Users_SPB,OU=Groups,DC=spb,DC=company,DC=com
 ldap-group-base-dn CN=Users_SPB,OU=Groups,DC=spb,DC=company,DC=com
 ldap-naming-attribute sAMAccountName
 ldap-login-password PaSsWoRd
 ldap-login-dn CN=ASAUser,OU=Users,DC=company,DC=com
 ldap-over-ssl enable
 server-type microsoft
!
tunnel-group TG-AAA-LDAP general-attributes
 address-pool POOL-VPN
 authentication-server-group LDAP-COM-COMPANY RADIUS-COM-COMPANY LOCAL
 default-group-policy GP-AAA
 password-management password-expire-in-days 7
!
tunnel-group TG-AAA-LDAP-MSC general-attributes
 address-pool POOL-VPN
 authentication-server-group LDAP-COM-COMPANY-MSC RADIUS-COM-COMPANY LOCAL
 default-group-policy GP-AAA
 password-management password-expire-in-days 7
!
tunnel-group TG-AAA-LDAP-SPB general-attributes
 address-pool POOL-VPN
 authentication-server-group LDAP-COM-COMPANY-SPB RADIUS-COM-COMPANY LOCAL
 default-group-policy GP-AAA
 password-management password-expire-in-days 7
!

Пояснения:

- ldap-naming-attribute userPrincipalName (ldap-naming-attribute sAMAccountName) - для аутентификации пользователя через Глобальный каталог, необходимо использовать атрибут userPrincipalName, т.к. значение этого параметра уникально среди всех доменов (т.е. в качестве имени пользователя будет использоваться запись вида 'Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.' или 'Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.'), для аутентификации пользователя в локальном домене, можно использовать стандартный атрибут sAMAccountName, который уникален лишь в пределах локального домена (имя пользователя будет иметь вид 'username', а не '<домен>\<username>' как в случае с RADIUS-аутентификацией).
- ldap-over-ssl enable - шифровать запросы аутентификации между ASA и AD. ASA автоматически будет использовать порт 626. В случае с Глобальным каталогом AD - необходимо вручную задавать порты (3268 или 3269).
- password-management password-expire-in-days 7 - включает возможность управления паролем через VPN-приложение; 'password-expire-in-days 7' - начать предупреждать за 7 дней о необходимости смены пароля (предупреждать 7 дней подряд - только в LDAP, в RADIUS - предупреждений нет, только одно сообщение в момент истечения пароля).

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.

Последнее редактирование: 7 года 10 мес. назад пользователем TOLLIFi.

Пожалуйста Войти , чтобы присоединиться к беседе.

В начало
Назад
1
Вперед
В конец

Joomla Templates Best Joomla Templates Premium Joomla Templates Free Joomla Templates

Forum Login

Работает на Kunena форум

ASA AnyConnect: LDAP/RADIUS-аутентификация и обновление паролей пользователя (password expired)

Вложения: