Вопросы Теги

Cisco ASA уровень полномочий группы LDAP

Удостоверьтесь, что Вы получаете надлежащую материнскую плату класса рабочей станции/сервера, потому что Вы захотите переставить вокруг большого количества данных. Вам будет нужна более высокая пропускная способность PCI-X или нескольких слотов PCI-E 2.0.

4
задан 21 May 2012 в 17:27
1 ответ

Кто-то смог ответить на вопрос на сайте Stack Overflow:

--420813-

Если вы не против использования LDAP, вы можете делать именно то, что вам нужно, не меняя ничего в инфраструктуре сервера.

Интеграция ASA с LDAP выполняется с помощью атрибута memberOf LDAP, который запускает сопоставление значения, которое мы хотим изменить. Для cli AAA вы можете настроить следующую карту атрибутов: 

ldap attribute-map NetworkAdministrators
    map-name  memberOf IETF-Radius-Service-Type
    map-value memberOf "CN=NetAdmins,OU=Security,DC=mycompany,DC=local" 6

Это устанавливает тип службы 6 (admin) для всех пользователей, которые входят в систему и соответствуют этой группе. Затем определите новую группу серверов AAA, которая будет использоваться только для администрирования устройства, вы не хотите нарушать карты атрибутов для пользователей vpn. 

aaa-server networkers-auth protocol ldap

Теперь создайте запись сервера для вашего сервера LDAP, это может быть тот же сервер, который вы используете для VPN или других функций LDAP. 

aaa-server networkers-auth (inside_interface) host 10.1.1.1
    ldap-base-dn DC=netgain,DC=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password *****
    ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
    server-type microsoft
    ldap-attribute-map NetworkAdministrators

Последняя строка ldap-attribute-map NetworkAdministrators - это то, что связывает ldap-map с вашим сервером аутентификации.

Наконец, давайте объединим всю работу и применим ее к разделу ASA AAA: 

aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server

Итак, чтобы проверить, что вы не можете использовать ssh для своего ASA и использовать своего пользователя LDAP, вы должны иметь возможность без проблем войти в систему. Теперь, когда вы войдете в режим включить , вам будет предложено ввести пароль. Затем вы будете использовать свой уникальный пароль LDAP для аутентификации.

Пожалуйста, проверьте это полностью на своем оборудовании, потому что, если неправильно настроен на вашем ASA, может позволить любому пользователю LDAP административные привилегии на вашем ASA. 

aaa-server networkers-auth (inside_interface) host 10.1.1.1
    ldap-base-dn DC=netgain,DC=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password *****
    ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
    server-type microsoft
    ldap-attribute-map NetworkAdministrators

Последняя строка ldap-attribute-map NetworkAdministrators - это то, что связывает ldap-map с вашим сервером аутентификации.

Наконец, давайте объединим всю работу и применим ее к разделу ASA AAA: 

aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server

Таким образом, чтобы проверить, что вы не можете использовать ssh для своего ASA и использовать своего пользователя LDAP, вы должны иметь возможность без проблем войти в систему. Теперь, когда вы войдете в режим включить , вам будет предложено ввести пароль. Затем вы будете использовать свой уникальный пароль LDAP для аутентификации.

Пожалуйста, проверьте это полностью на своем оборудовании, потому что при неправильной настройке на вашем ASA может позволить любому пользователю LDAP получить права администратора на вашем ASA. 

aaa-server networkers-auth (inside_interface) host 10.1.1.1
    ldap-base-dn DC=netgain,DC=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password *****
    ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
    server-type microsoft
    ldap-attribute-map NetworkAdministrators

Последняя строка ldap-attribute-map NetworkAdministrators - это то, что связывает ldap-map с вашим сервером аутентификации.

Наконец, давайте объединим всю работу и применим ее к разделу ASA AAA: 

aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server

Таким образом, чтобы проверить, что вы не можете использовать ssh для своего ASA и использовать своего пользователя LDAP, вы должны иметь возможность без проблем войти в систему. Теперь, когда вы войдете в режим включить , вам будет предложено ввести пароль. Затем вы будете использовать свой уникальный пароль LDAP для аутентификации.

Пожалуйста, проверьте это полностью на своем оборудовании, потому что, если неправильно настроен на вашем ASA, может позволить любому пользователю LDAP административные привилегии на вашем ASA.

после этого вы сможете без проблем войти в систему. Теперь, когда вы войдете в режим включить , вам будет предложено ввести пароль. Затем вы будете использовать свой уникальный пароль LDAP для аутентификации.

Пожалуйста, проверьте это полностью на своем оборудовании, потому что, если неправильно настроен на вашем ASA, может позволить любому пользователю LDAP административные привилегии на вашем ASA.

после этого вы сможете без проблем войти в систему. Теперь, когда вы войдете в режим включить , вам будет предложено ввести пароль. Затем вы будете использовать свой уникальный пароль LDAP для аутентификации.

Пожалуйста, проверьте это полностью на своем оборудовании, потому что при неправильной настройке на вашем ASA может позволить любому пользователю LDAP получить права администратора на вашем ASA.

1
ответ дан 3 December 2019 в 04:13

Теги

Похожие вопросы