У меня есть Cisco ASA 5505 с лицензией Security Plus и лицензией AnyConnect Plus. В настоящее время у меня нет конфигурации VPN на ASA, поскольку я все еще нахожусь на этапе планирования. Я хотел бы узнать, поддерживается ли моя запланированная конфигурация, прежде чем покупать стороннее программное обеспечение.
Я изучаю возможность использования двойной аутентификации для пользователей, подключающихся к VPN, возможно, с дополнительным компонентом сертификата. Я обнаружил, что Duo Security имеет Интеграция AnyConnect с использованием LDAP. Кроме того, AnyConnect позволяет использовать LDAP для аутентификации в Active Directory. Я провел много исследований и нашел много ресурсов для настройки двойной аутентификации. Однако каждый ресурс, похоже, использует два разных протокола аутентификации. Например, официальная документация Cisco показывает, как настроить LOCAL как первичный, а LDAP как вторичный. Их формулировка создает впечатление, что вы можете использовать LDAP как для первичного, так и для вторичного сервера, но прямо не говорит, что вы можете делать и то, и другое. Я также нашел ресурсы, описывающие, как настроить резервные серверы LDAP для переключения при отказе или балансировки нагрузки, а это не то, что я ищу. Мой вопрос в том, можно ли использовать два полностью отдельных сервера LDAP и аутентифицировать клиента на обоих. В идеале конфиг должен выглядеть так:
tunnel-group RA general-attributes
authentication-server-group LDAP_AD
secondary-authentication-server-group LDAP_DUO
default-group-policy Group1
authorization-required
tunnel-group RA webvpn-attributes
authentication aaa certificate
Очевидно, что и LDAP_AD, и LDAP_DUO должны быть настроены как их собственные записи с использованием «aaa-server LDAP_xx protocol ldap» вместе с необходимой информацией о сервере. Я думаю, что эта конфигурация должна требовать, чтобы пользователи вводили свои учетные данные AD, использовали безопасность Duo с OTP или Push-аутентификацией и проверяли, есть ли у машины действующий сертификат. Кто-нибудь пробовал это раньше или нашел документацию, в которой говорится, что этот тип конфигурации поддерживается?
В итоге я ответил на свой вопрос - это возможно. Я узнал, что Duo предлагает бесплатную пробную версию, поэтому я пошел дальше и создал учетную запись, чтобы попытаться заставить ее работать с моей настройкой. В конце концов, мне удалось настроить Active Directory LDAP и Duo Security LDAP одновременно. Соответствующая часть кода находится здесь:
tunnel-group VPN_RA type remote-access
tunnel-group VPN_RA general-attributes
address-pool X
authentication-server-group WINDOWS
secondary-authentication-server-group Duo_LDAP use-primary-username
authorization-server-group WINDOWS
default-group-policy Group1
authorization-required
tunnel-group VPN_RA webvpn-attributes
authentication aaa certificate
group-alias RA enable
Пользователь должен ввести свое имя пользователя и пароль AD вместе с дополнительным паролем для Duo, чтобы подключиться. На машине также должен быть действующий сертификат.
Маршрутизаторы Cisco ASA поддерживают одну группу аутентификации для каждого профиля. Итак, если ваш профиль VPN-подключения настроен на использование группы аутентификации с именем VPN, тогда, когда пользователи подключаются к VPN, они будут аутентифицироваться на первом доступном сервере в группе аутентификации VPN.
Вы можете установить LOCAL для резервного источника аутентификации, но он доступен, только если основной источник аутентификации недоступен.
Вы можете потребовать сертификат клиента в дополнение к аутентификации.
Если вы хотите использовать OTP или другую схему 2FA, на форумах Cisco есть отличное обсуждение.