Опубликовано Fedia 5 Сентябрь , 2011
Ну вот, настало время описать ту засаду, что обещал в прошлой статье, а заодно расскажу еще про одну хитрость, которую обнаружил «методом тыка» на ACS5.2.
Итак, напомню, что при настройке связки «тройственного союза»: ASA->ACS5.2->RSA SecurID+AD возникает неопределенность. Опишу ее поподробнее.
Запрос от ASA смело уходит через протокол RADIUS на ACS5.2 на котором настроено, что все, что приходит с этой ASA обрабатывается профилем, скажем, VPN_PROFILE. Предположим в этом профиле в качестве сервера аутентификации применен сложный механизм (sequence), состоящий из запроса на RSA Auth Manager и дополнительного запроса атрибутов через LDAP в Active Directory, а в случае неудачи – прямой запрос в AD. Т.е. логика такая: спросить RSA и в случае успеха для данного пользователя запросить атрибуты из AD (например, я использовал memberOf). А если для данного пользователя нет токена, то запросить напрямую AD. Напомню, что по условию задачи все пользователи должны быть в AD.
И вот тут нас и ждет засада!
Читать продолжение записи »
Метки: ACS, AD, ASA, SecurID
Опубликовано: Безопасность cisco | 7 комментариев »