A mi cégünknél a SSO-t úgy „próbáljuk” megvalósítani, hogy akit csak lehet az Active Directory-ból hitelesítünk. Ez a legkézenfekvőbb megoldás. Az Ad-hoz időnként Ldap-on időnkét Radius segítségével fékőzünk hozzá.
Nem kis fejvakarás volt, miután kitaláltam, hogy a Cisco ASA tűfalaink is az AD segítségével hitelesítsék a felhasználókat, ráadásul úgy, hogy vegyék figyelembe ad AD csoport tagságot is.
Valójában rengeteg „HOWTO” lelhető fel a világhálón ebben a témában de nekem egyik sem tűnt elég egyértelműnek.
Most megpróbálkozom én is közzétenni egy ilyen „HOWTO”-t Mindenki ítélje meg maga, hogy mekkora sikerrel 🙂
- Vegyünk egy ASA-t 🙂
A kiinduló állapot a következő:
1 Cisco ASA 5510 Oprendeszer 8.2, ASDM 6.3
Ms Active directory. Két csoportnak lesz joga belépni: VPN userek és Kiemelt VPN userek. - LDAP attribute map létrehozás.
Ez fogja az Active directory csoportokat a megfelelő Cisco group policyk-hoz rendelni.
- AAA szerver csoport létrehozás
- Active directory (ldap) szerverek hozzáadása a csoporthoz.
Most jött el az ideje, az előzőleg létrehozott LDAP Attribute Map használatának.
- Connection Profile létrehozása.
Itt természetesen az imént konfigurált AAA csoportot kell választani autentikációs forrásként.
Az, hogy itt milyen Group policy-t választunk gyakorlatilag mindegy. A rendszer úgyis az LDAP Attribute Map-ban beállított policy-t fogja az adott felhasználóhoz rendelni.
- DAP vagyis Dynamic Access Policies.
Na ez még jól megkavarhat mindent. DAP-val egy csomó olyan dolgot meg lehet csinálni amit a sima Group policy-val viszont sok szempontból máshogy működik.
Az AD csoport szerinti differenciálást például meg lehet valósítani DAG segítségével is, és ebben az esetben nem kell használni LDAP Attribute Map funkciót, mivel ez „beépítve” tartalmazza a DAG.
Lássunk egy példát:
Itt a Kiemelt VPN Userek csoport tagjaira fog passzolni (akik web böngészővel vagy any connect programból lépnek be)
Az alul található füleken számos dolgot konfigurálhatunk amik természetesen csak a Kiemelet VPN Userek csoportra fog vonatkozni.
Röviden ennyi.
Ez után már csak a Group policy-kat megfelelően konfigurálni.Esetleg ha webvpn-t használ valaki, akkor azt személyre szabni. Erről is írok majd egyszer. Nem kevés időm ment el vele mire mindent lefordítottam a webvpn szolgáltatás felhasználói felületén…