Удаленная VPN - двухфакторная аутентификация с Cisco ASA + OpenLDAP
Кто-то может дать мне трассу (или связаться с документацией / как к) реализовать двухфакторную аутентификацию (пароль LDAP + сертификат) на Cisco ASA для RemoteVPN (с клиентом Anyconnect)?
В настоящее время наш Cisco ASA (5505, 8.4.3) настроен для использования аутентификации по паролю сервер OpenLDAP. Мы используем RemoteVPN с Клиентом AnyConnect (SSL VPN). И я хотел бы добавить сертификаты в аутентификацию/процесс авторизации. Я не хочу использовать любой внешний Центр сертификации. Мне даже, вероятно, не нужны персональные сертификаты для каждого пользователя.
То, в чем я нуждаюсь, должно только проверить, есть ли у пользователя действительный сертификат прежде чем/после того, как/во время аутентификации/авторизации на LDAP с паролем.
Честно говоря, теперь я ясно не понимаю, как это должно работать.
1) В первую очередь, я не понимаю, где это должно быть настроено на Cisco ASA.
Я должен просто включить и сертификат и aaa аутентификацию" (config-tunnel-webvpn) # аутентификация aaa сертификат" для моей туннельной группы через мой сервер OpenLDAP? Как это будет работать затем? OpenLDAP поддерживает проверку сертификата?
Или я должен использовать вторичную аутентификацию для добавления сертификатов? Я должен затем настроить некоторый сервер затем для вторичной аутентификации?
Или я должен сделать какую-либо другую конфигурацию, как полномочия CA? Как затем полномочия CA могут получить имена пользователей от OpenLDAP? Или я могу просто сделать один сертификат для всех пользователей (такой уровень безопасности полностью достаточно для моей компании)?
2) Как процесс проверки сертификата должен работать? Как Cisco ASA проверит сертификат? Это - что-то как openssl частные / открытые ключи или нет? Я могу настроить Локальные полномочия CA на ASA, но все еще получить всех пользователей от OpenLDAP? Это просто извлечет имя пользователя из сертификата, или это будет так или иначе использовать сам сертификат для аутентификации?
Заранее большое спасибо.
Разве аутентификация по телефону не является вариантом? Я предпочитаю это, потому что это намного меньше бремени обслуживания, чем сертификаты. Например, чтобы позволить кому-то новому использовать VPN, вы просто вводите его / ее номер телефона в LDAP, затем, возможно, добавляете его / ее в группу пользователей с поддержкой VPN (если вы вообще выполняете такую фильтрацию), и все. . В то время как с сертификатами вы должны создать сертификат, затем передать его пользователю, а затем пользователь должен позаботиться о нем. OTOH в мобильном телефоне вполне естественно для всех.
Итак, я выбрал двухфакторную аутентификацию на основе телефона, возможно, это также поможет вам в какой-то мере.
Cisco AnyConnect с Active Directory и многофакторной системой Azure. Auth
Это довольно просто сделать, вы можете делать все через графический интерфейс. Но это основано на AD. Хотя MSAF предположительно также поддерживает LDAP, так что это должно быть выполнимо и для вас. Единственное предостережение: телефонные звонки в Azure стоят денег: 1,4 доллара за пользователя в месяц или 1,4 доллара за 10 звонков. Я бы сказал, что это совсем незначительно.