Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 08:05



Ответить на тему  [ Сообщений: 10 ] 
Проблема с настройкой AnyConnect+LDAP 
Автор Сообщение

Зарегистрирован: 01 апр 2020, 17:46
Сообщения: 6
Всем доброго дня!
В связи с всеобщем карантином, остро встала потребность в удалённом доступе сотрудников нашей конторы к ресурсам внутренней сети.
В наличии:
Cisco ASA Software Version 8.2(3)
ASDM Version 7.6(2)150
Anyconnect-win-4.5.02036-webdeploy-k9.pkg
Anyconnect-win-4.8.02042-core-vpn-predeploy-k9.msi

Но есть одна большая проблема, я не силён в настройке Cisco и в связи с этим искал инструкции в инете и настраивал ASA через ASDM.

Когда то давно был настроен (не мной) доступ через AnyConnect к ресурсам внутренней сети, но там используются локальные учётные записи на ASA. Данная настройка и по сей день работает нормально.
А теперь необходимо настроить такой же доступ только используя авторизацию через LDAP.
На ASA настройки LDAP сделал, через cli авторизация и аутентификация под доменными учётками, проходят нормально. Правда настройку делал без сертификата от доменного центра сертификации, так как пока нет возможности согласовать выдачу сертификата.

В итоге, если с удалённой машины при подключении выбираю группу которую настраивал для LDAP авторизации, ввожу доменную учётку и ничего, авторизации нет, AnyConnect просит снова ввести учётные данные. А при выборе группы для локальных учёток и авторизации через любую из локальных, то всё нормально, авторизация проходит и доступ есть.
Не могу понять в какую сторону нужно копать.
На тестовом ПК установил DART, но пока к сожалению не могу разобраться с его логами.
А как смотреть логи подключений на ASA я пока ещё не знаю. (((
Ещё к стати момент, (незнаю важен он или нет) но при подключении, AnyConnect выдаёт сообщение об ошибке с сертификатом, это было и с самого начала, как только был настроен доступ по локальным учёткам.

Буду очень признателен за любую помощь в решении моего головняка!


Вложения:
Комментарий к файлу: Окно авторизации для доменного пользователя.
Снимок3.jpg
Снимок3.jpg [ 29.46 КБ | Просмотров: 6466 ]
Комментарий к файлу: Окно авторизации для локального пользователя.
Снимок2.jpg
Снимок2.jpg [ 25.97 КБ | Просмотров: 6466 ]
Комментарий к файлу: Ошибка сертификата, до и после подключения.
Снимок1.jpg
Снимок1.jpg [ 46.6 КБ | Просмотров: 6466 ]
03 апр 2020, 09:41
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Пропишите нужный authentication-server-group в используемой tunnel-group


03 апр 2020, 10:43
Профиль

Зарегистрирован: 01 апр 2020, 17:46
Сообщения: 6
Bessmertniy писал(а):
Пропишите нужный authentication-server-group в используемой tunnel-group

Спасибо, что откликнулись
Вот что у меня прописано:
Код:
tunnel-group SSL_VPN type remote-access
tunnel-group SSL_VPN general-attributes
 address-pool (inside) SSL_VPN
 address-pool SSL_VPN
 authentication-server-group OFFICE
 authentication-server-group (tp) OFFICE
 secondary-authentication-server-group OFFICE use-primary-username
 secondary-authentication-server-group (inside) OFFICE use-primary-username
 authorization-server-group OFFICE
 authorization-server-group (tp) OFFICE
 default-group-policy OFFICE_POLYCY
 username-from-certificate use-script
tunnel-group SSL_VPN webvpn-attributes
 group-alias SSL_VPN enable
 group-url https://10.130.100.50/SSL_VPN enable


03 апр 2020, 10:55
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Необходимо сделать 2-ю tunnel-group
В ней необходимо указать другой тип аутентификации/авторизации
И Сделать для неё другое имя в выпадающем списке.
Например:

tunnel-group LDAP_VPN type remote-access
tunnel-group LDAP_VPN general-attributes
address-pool (inside) SSL_VPN
address-pool SSL_VPN
authentication-server-group LDAP (имя поправить на ваше!)
secondary-authentication-server-group LDAP use-primary-username (имя поправить на ваше!)
authorization-server-group LDAP (имя поправить на ваше!)
default-group-policy OFFICE_POLYCY
username-from-certificate use-script
tunnel-group LDAP_VPN webvpn-attributes
group-alias LDAP_VPN enable
group-url https://10.130.100.50/LDAP_VPN enable

В итоге в меню появится новый пункт LDAP и аутентификация/авторизация будет происходить через LDAP


03 апр 2020, 11:31
Профиль

Зарегистрирован: 01 апр 2020, 17:46
Сообщения: 6
У меня есть ещё несколько групп, которые я могу выбирать из выпадающего списка при подключении AnyConnect.
Это не то?
Вложение:
Снимок8.jpg
Снимок8.jpg [ 29.47 КБ | Просмотров: 6454 ]

Вложение:
Снимок5.jpg
Снимок5.jpg [ 65.47 КБ | Просмотров: 6454 ]

Вложение:
Снимок6.jpg
Снимок6.jpg [ 64.98 КБ | Просмотров: 6454 ]


03 апр 2020, 12:07
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
araneon писал(а):
Ещё к стати момент, (незнаю важен он или нет) но при подключении, AnyConnect выдаёт сообщение об ошибке с сертификатом, это было и с самого начала, как только был настроен доступ по локальным учёткам.

так и будет пока не приделаете к интерфейсу нормальный сертификат, который удовлетворит клиента.
araneon писал(а):
итоге, если с удалённой машины при подключении выбираю группу которую настраивал для LDAP авторизации, ввожу доменную учётку и ничего, авторизации нет, AnyConnect просит снова ввести учётные данные.

aaa-server
Код:
aaa-server OFFICE protocol ldap
aaa-server OFFICE (inside) host 10.10.10.5
 server-port 636
 ldap-base-dn dc=local, dc=lan
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn cn=ldap_login_for_asa, cn=users, dc=local, dc=lan
 ldap-over-ssl enable
 server-type auto-detect

профиль
Код:
tunnel-group SSL_VPN type remote-access
tunnel-group SSL_VPN general-attributes
 address-pool AC-POOL
 authentication-server-group  OFFICE
 default-group-policy OFFICE_POLYCY
tunnel-group SSL_VPN webvpn-attributes
 customization CUSTOM-AC
 group-alias SSL_VPN enable

Все остальное по вкусу. и поотключайте всякие лишние настройки, типа второго пароля и прочего - только себя смущать этим будете

Если не хотите ломать то, что есть - просто сделайте новый профиль, без всякой ерунды, не нужной вам и выбирайте его при подключении AC


03 апр 2020, 12:58
Профиль

Зарегистрирован: 01 апр 2020, 17:46
Сообщения: 6
aliotru писал(а):
так и будет пока не приделаете к интерфейсу нормальный сертификат, который удовлетворит клиента.

Значит это пока ничего страшного и я так понимаю, что на работу авторизации через LDAP не влияет.

Вот мои настройки, в них что-то не правильно?
sh run aaa-server OFFICE
Код:
aaa-server OFFICE protocol ldap
aaa-server OFFICE (tp) host 10.130.10.10
 timeout 5
 ldap-base-dn OU=Users,OU=RO,DC=corp,DC=tp,DC=ru
 ldap-group-base-dn OU=Groups,OU=RO,DC=corp,DC=tp,DC=ru
 ldap-scope subtree
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn CN=TestUser,OU=TEST,OU=Users,OU=RO,DC=corp,DC=tp,DC=ru
 server-type microsoft
 ldap-attribute-map AD

sh run tunnel-group SSL_VPN
Код:
tunnel-group SSL_VPN type remote-access
tunnel-group SSL_VPN general-attributes
 address-pool (inside) SSL_VPN
 address-pool SSL_VPN
 authentication-server-group OFFICE LOCAL
 authentication-server-group (tp) OFFICE
 secondary-authentication-server-group OFFICE use-primary-username
 secondary-authentication-server-group (inside) OFFICE use-primary-username
 authorization-server-group OFFICE
 authorization-server-group (tp) OFFICE
 default-group-policy OFFICE_POLYCY
 username-from-certificate use-script
tunnel-group SSL_VPN webvpn-attributes
 group-alias SSL_VPN enable
 group-url https://10.130.100.50/SSL_VPN enable


aliotru писал(а):
Все остальное по вкусу. и поотключайте всякие лишние настройки, типа второго пароля и прочего - только себя смущать этим будете

А где это отключается?
aliotru писал(а):
Если не хотите ломать то, что есть - просто сделайте новый профиль, без всякой ерунды, не нужной вам и выбирайте его при подключении AC

Я как раз и создал новый профиль SSL_VPN, ранее были только:
DefaultRAGroup (не знаю кто это делал и зачем)
DefaultWEBVPNGroup (не знаю кто это делал и зачем)
AnyConnectVPN (работает на данный момент для подключения под локальными учётками)
Вложение:
Снимок10.jpg
Снимок10.jpg [ 38.6 КБ | Просмотров: 6442 ]


03 апр 2020, 14:11
Профиль

Зарегистрирован: 01 апр 2020, 17:46
Сообщения: 6
Вроде получилось:
1) Добавил политику в Dynamic Access Policies
2) В DfltAccessPolicies изменил Action на Terminate.
3) B (как это не смешно звучит :lol: ) при подключении, ввёл повторно пароль в поле Second password
И всё заработало :D :D :D может и ранее бы работало, я чёт реально не подумал туда пароль второй раз вводить.

Теперь вроде осталось 1 вопрос:
Как убрать этот чёртов Second password :twisted: ?


03 апр 2020, 23:58
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
так сами же настроили в tunnel-group

secondary-authentication-server-group OFFICE use-primary-username
secondary-authentication-server-group (inside) OFFICE use-primary-username

удалите эти строки


04 апр 2020, 12:29
Профиль

Зарегистрирован: 01 апр 2020, 17:46
Сообщения: 6
Starican писал(а):
так сами же настроили в tunnel-group

secondary-authentication-server-group OFFICE use-primary-username
secondary-authentication-server-group (inside) OFFICE use-primary-username

удалите эти строки

ООО Спасибо Вам большое.


04 апр 2020, 12:43
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 10 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 53


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB