Уровень привилегий группы Cisco ASA LDAP

Question

Уровень привилегий группы Cisco ASA LDAP

У нас есть пара ASA 5510 (8.4.3), на которой мы используем аутентификацию LDAP для доступа VPN и SSH. На всех наших коммутаторах Catalyst, которые используют RADIUS, мы можем установить для shell:priv-lvl значение 15 в конфигурации RADIUS (2008R2 NPS). Однако лучшее, что я могу найти на ASA, в том числе во всех документах Cisco, - это злоупотребить каким-то другим полем, например названием или компанией, вставив в него "15" и сопоставив его с атрибутом RADIUS уровня привилегий в ААА конфиг. Что я действительно хочу сделать, так это назначить кого-либо в группе AD L15 privs на ASA без необходимости вводить общий пароль. Кто-нибудь знает, есть ли способ сделать это?

4

ldap cisco cisco-asa radius aaa

Источник

bab 21 май '12 в 14:27

1 ответ

Другие вопросы по тегам ldap cisco cisco-asa radius aaa

bluedogs 06 май '13 в 17:34 2013-05-06 17:34 · Answer 1 · 2013-05-06 17:34

Если вы не возражаете против использования LDAP, вы можете делать именно то, что вам нужно, ничего не меняя в инфраструктуре сервера.

Мы осуществляем интеграцию ASA LDAP с помощью атрибута memberOf LDAP, чтобы инициировать совпадение со значением, которое мы хотим отредактировать. Для cli AAA вы можете настроить следующую карту атрибутов:

ldap attribute-map NetworkAdministrators
    map-name  memberOf IETF-Radius-Service-Type
    map-value memberOf "CN=NetAdmins,OU=Security,DC=mycompany,DC=local" 6

Это устанавливает тип сервиса на 6 (admin) для всех пользователей, которые входят в систему и соответствуют этой группе. Затем определите новую группу серверов AAA, которая будет использоваться только для администрирования устройства, вы не хотите ломать свои карты атрибутов для пользователей vpn.

aaa-server networkers-auth protocol ldap

Теперь создайте запись сервера для вашего сервера LDAP, это может быть тот же сервер, который вы используете для VPN или других функций LDAP.

aaa-server networkers-auth (inside_interface) host 10.1.1.1
    ldap-base-dn DC=netgain,DC=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password *****
    ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
    server-type microsoft
    ldap-attribute-map NetworkAdministrators

Последняя строка ldap-attribute-map NetworkAdministrators это то, что связывает ldap-карту с вашим сервером аутентификации.

Наконец, давайте соберем всю работу и применим ее к разделу ASA AAA:

aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server

Таким образом, чтобы проверить, не можете ли вы использовать ssh для ASA и использовать пользователя LDAP, вы сможете войти в систему без проблем. Теперь при входе enable В режиме вам будет предложено ввести пароль. Затем вы будете использовать свой уникальный пароль LDAP для аутентификации.

Пожалуйста, полностью протестируйте это на своем оборудовании, потому что, если неправильно настроено на ASA, могут позволить любые привилегии администратора пользователя LDAP на ASA.