|
|
Страница 1 из 1
|
[ Сообщений: 10 ] |
|
Проблема с настройкой AnyConnect+LDAP
Автор |
Сообщение |
araneon
Зарегистрирован: 01 апр 2020, 17:46 Сообщения: 6
|
Всем доброго дня! В связи с всеобщем карантином, остро встала потребность в удалённом доступе сотрудников нашей конторы к ресурсам внутренней сети. В наличии: Cisco ASA Software Version 8.2(3) ASDM Version 7.6(2)150 Anyconnect-win-4.5.02036-webdeploy-k9.pkg Anyconnect-win-4.8.02042-core-vpn-predeploy-k9.msi
Но есть одна большая проблема, я не силён в настройке Cisco и в связи с этим искал инструкции в инете и настраивал ASA через ASDM.
Когда то давно был настроен (не мной) доступ через AnyConnect к ресурсам внутренней сети, но там используются локальные учётные записи на ASA. Данная настройка и по сей день работает нормально. А теперь необходимо настроить такой же доступ только используя авторизацию через LDAP. На ASA настройки LDAP сделал, через cli авторизация и аутентификация под доменными учётками, проходят нормально. Правда настройку делал без сертификата от доменного центра сертификации, так как пока нет возможности согласовать выдачу сертификата.
В итоге, если с удалённой машины при подключении выбираю группу которую настраивал для LDAP авторизации, ввожу доменную учётку и ничего, авторизации нет, AnyConnect просит снова ввести учётные данные. А при выборе группы для локальных учёток и авторизации через любую из локальных, то всё нормально, авторизация проходит и доступ есть. Не могу понять в какую сторону нужно копать. На тестовом ПК установил DART, но пока к сожалению не могу разобраться с его логами. А как смотреть логи подключений на ASA я пока ещё не знаю. ((( Ещё к стати момент, (незнаю важен он или нет) но при подключении, AnyConnect выдаёт сообщение об ошибке с сертификатом, это было и с самого начала, как только был настроен доступ по локальным учёткам.
Буду очень признателен за любую помощь в решении моего головняка!
|
03 апр 2020, 09:41 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Пропишите нужный authentication-server-group в используемой tunnel-group
|
03 апр 2020, 10:43 |
|
|
araneon
Зарегистрирован: 01 апр 2020, 17:46 Сообщения: 6
|
Bessmertniy писал(а): Пропишите нужный authentication-server-group в используемой tunnel-group Спасибо, что откликнулисьВот что у меня прописано: Код: tunnel-group SSL_VPN type remote-access tunnel-group SSL_VPN general-attributes address-pool (inside) SSL_VPN address-pool SSL_VPN authentication-server-group OFFICE authentication-server-group (tp) OFFICE secondary-authentication-server-group OFFICE use-primary-username secondary-authentication-server-group (inside) OFFICE use-primary-username authorization-server-group OFFICE authorization-server-group (tp) OFFICE default-group-policy OFFICE_POLYCY username-from-certificate use-script tunnel-group SSL_VPN webvpn-attributes group-alias SSL_VPN enable group-url https://10.130.100.50/SSL_VPN enable
|
03 апр 2020, 10:55 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
Необходимо сделать 2-ю tunnel-group В ней необходимо указать другой тип аутентификации/авторизации И Сделать для неё другое имя в выпадающем списке. Например: tunnel-group LDAP_VPN type remote-access tunnel-group LDAP_VPN general-attributes address-pool (inside) SSL_VPN address-pool SSL_VPN authentication-server-group LDAP (имя поправить на ваше!) secondary-authentication-server-group LDAP use-primary-username (имя поправить на ваше!) authorization-server-group LDAP (имя поправить на ваше!) default-group-policy OFFICE_POLYCY username-from-certificate use-script tunnel-group LDAP_VPN webvpn-attributes group-alias LDAP_VPN enable group-url https://10.130.100.50/LDAP_VPN enable В итоге в меню появится новый пункт LDAP и аутентификация/авторизация будет происходить через LDAP
|
03 апр 2020, 11:31 |
|
|
araneon
Зарегистрирован: 01 апр 2020, 17:46 Сообщения: 6
|
У меня есть ещё несколько групп, которые я могу выбирать из выпадающего списка при подключении AnyConnect. Это не то? Вложение:
Снимок8.jpg [ 29.47 КБ | Просмотров: 6454 ]
Вложение:
Снимок5.jpg [ 65.47 КБ | Просмотров: 6454 ]
Вложение:
Снимок6.jpg [ 64.98 КБ | Просмотров: 6454 ]
|
03 апр 2020, 12:07 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
araneon писал(а): Ещё к стати момент, (незнаю важен он или нет) но при подключении, AnyConnect выдаёт сообщение об ошибке с сертификатом, это было и с самого начала, как только был настроен доступ по локальным учёткам. так и будет пока не приделаете к интерфейсу нормальный сертификат, который удовлетворит клиента. araneon писал(а): итоге, если с удалённой машины при подключении выбираю группу которую настраивал для LDAP авторизации, ввожу доменную учётку и ничего, авторизации нет, AnyConnect просит снова ввести учётные данные. aaa-server Код: aaa-server OFFICE protocol ldap aaa-server OFFICE (inside) host 10.10.10.5 server-port 636 ldap-base-dn dc=local, dc=lan ldap-scope subtree ldap-naming-attribute sAMAccountName ldap-login-password ***** ldap-login-dn cn=ldap_login_for_asa, cn=users, dc=local, dc=lan ldap-over-ssl enable server-type auto-detect
профиль Код: tunnel-group SSL_VPN type remote-access tunnel-group SSL_VPN general-attributes address-pool AC-POOL authentication-server-group OFFICE default-group-policy OFFICE_POLYCY tunnel-group SSL_VPN webvpn-attributes customization CUSTOM-AC group-alias SSL_VPN enable
Все остальное по вкусу. и поотключайте всякие лишние настройки, типа второго пароля и прочего - только себя смущать этим будете Если не хотите ломать то, что есть - просто сделайте новый профиль, без всякой ерунды, не нужной вам и выбирайте его при подключении AC
|
03 апр 2020, 12:58 |
|
|
araneon
Зарегистрирован: 01 апр 2020, 17:46 Сообщения: 6
|
aliotru писал(а): так и будет пока не приделаете к интерфейсу нормальный сертификат, который удовлетворит клиента.
Значит это пока ничего страшного и я так понимаю, что на работу авторизации через LDAP не влияет. Вот мои настройки, в них что-то не правильно? sh run aaa-server OFFICE Код: aaa-server OFFICE protocol ldap aaa-server OFFICE (tp) host 10.130.10.10 timeout 5 ldap-base-dn OU=Users,OU=RO,DC=corp,DC=tp,DC=ru ldap-group-base-dn OU=Groups,OU=RO,DC=corp,DC=tp,DC=ru ldap-scope subtree ldap-naming-attribute sAMAccountName ldap-login-password ***** ldap-login-dn CN=TestUser,OU=TEST,OU=Users,OU=RO,DC=corp,DC=tp,DC=ru server-type microsoft ldap-attribute-map AD
sh run tunnel-group SSL_VPN Код: tunnel-group SSL_VPN type remote-access tunnel-group SSL_VPN general-attributes address-pool (inside) SSL_VPN address-pool SSL_VPN authentication-server-group OFFICE LOCAL authentication-server-group (tp) OFFICE secondary-authentication-server-group OFFICE use-primary-username secondary-authentication-server-group (inside) OFFICE use-primary-username authorization-server-group OFFICE authorization-server-group (tp) OFFICE default-group-policy OFFICE_POLYCY username-from-certificate use-script tunnel-group SSL_VPN webvpn-attributes group-alias SSL_VPN enable group-url https://10.130.100.50/SSL_VPN enable
aliotru писал(а): Все остальное по вкусу. и поотключайте всякие лишние настройки, типа второго пароля и прочего - только себя смущать этим будете
А где это отключается? aliotru писал(а): Если не хотите ломать то, что есть - просто сделайте новый профиль, без всякой ерунды, не нужной вам и выбирайте его при подключении AC Я как раз и создал новый профиль SSL_VPN, ранее были только: DefaultRAGroup (не знаю кто это делал и зачем) DefaultWEBVPNGroup (не знаю кто это делал и зачем) AnyConnectVPN (работает на данный момент для подключения под локальными учётками) Вложение:
Снимок10.jpg [ 38.6 КБ | Просмотров: 6442 ]
|
03 апр 2020, 14:11 |
|
|
araneon
Зарегистрирован: 01 апр 2020, 17:46 Сообщения: 6
|
Вроде получилось: 1) Добавил политику в Dynamic Access Policies 2) В DfltAccessPolicies изменил Action на Terminate. 3) B (как это не смешно звучит ) при подключении, ввёл повторно пароль в поле Second passwordИ всё заработало может и ранее бы работало, я чёт реально не подумал туда пароль второй раз вводить. Теперь вроде осталось 1 вопрос: Как убрать этот чёртов Second password ?
|
03 апр 2020, 23:58 |
|
|
Starican
Зарегистрирован: 23 июн 2009, 10:26 Сообщения: 216
|
так сами же настроили в tunnel-group
secondary-authentication-server-group OFFICE use-primary-username secondary-authentication-server-group (inside) OFFICE use-primary-username
удалите эти строки
|
04 апр 2020, 12:29 |
|
|
araneon
Зарегистрирован: 01 апр 2020, 17:46 Сообщения: 6
|
Starican писал(а): так сами же настроили в tunnel-group
secondary-authentication-server-group OFFICE use-primary-username secondary-authentication-server-group (inside) OFFICE use-primary-username
удалите эти строки ООО Спасибо Вам большое.
|
04 апр 2020, 12:43 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 10 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 53 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|