В моей организации есть Cisco ASA 5510, который я заставил работать как межсетевой экран / шлюз для одного из наших офисов. Большинство ресурсов, которые искал бы удаленный пользователь, существуют внутри. Я реализовал обычную сделку - базовые внутренние сети с исходящим NAT, один первичный внешний интерфейс с некоторыми вторичными общедоступными IP-адресами в пуле PAT для общедоступных сервисов, пара межсайтовых IPSec-ссылок на другие ветки и т. Д. и я сейчас работаю над VPN.
У меня работает WebVPN (безклиентский SSL VPN), и я даже просматриваю ссылки между сайтами. На данный момент я оставляю устаревшую OpenVPN AS для толстого клиента VPN. Я бы хотел стандартизировать метод аутентификации для всех VPN, а затем переключиться на VPN-сервер Cisco IPSec с расширенной структурой.
Я пытаюсь выяснить, что действительно возможно для аутентификации для этих пользователей VPN (толстый клиент и бесклиентный). Моя организация использует Google Apps, и мы уже используем dotnetopenauth для аутентификации пользователей для пары внутренних сервисов. Я бы хотел иметь возможность делать то же самое для тонких и толстых VPN.
В качестве альтернативы решение на основе подписи с использованием открытых пар ключей RSA (тип ssh-keygen) было бы полезно для идентификации пользователя @ оборудования.
Я пытаюсь уйти от устаревшей аутентификации по имени пользователя и паролю, особенно если она является внутренней для Cisco (просто еще один пароль, установленный для управления и который пользователи могут забыть). Я знаю, что могу сопоставить с существующим сервером LDAP, но у нас есть учетные записи LDAP, созданные только для 10% пользователей (в основном разработчиков для доступа к оболочке Linux).
Я предполагаю, что я ищу промежуточное программное обеспечение, которое представляется Cisco как сервер LDAP, но будет взаимодействовать с существующим идентификатором OpenID пользователя. Ничто из того, что я видел в Cisco, не предполагает, что он может делать это изначально. Но открытые ключи RSA заняли бы второе место и намного лучше, чем автономная или даже LDAP-аутентификация. Что здесь действительно практичного?
Cisco ASA будет поддерживать множество протоколов групп серверов AAA, включая LDAP и NTLM v1 (домен NT). Ссылка на руководство по настройке, если кому-то интересно.
Но, поскольку у вас уже работает Clientless VPN, вы должны иметь возможность использовать ту же группу серверов AAA для подключений Client VPN. В ASDM профили подключения должны быть указаны как для Clientless, так и для Client.
Я не думаю, что вы сможете использовать OpenID, но в большинстве случаев ASA будет взаимодействовать с сервером Radius или Tacacs + (например, Cisco ACS), и этот сервер будет взаимодействовать с вашим аутентификатором (Active Directory, сервер RSA, ... ).
Сервер Radius / Tacacs + тогда действует как прокси-сервер аутентификации.
Есть некоторая документация на cisco.com об использовании PKI для аутентификации VPN, однако я ничего не видел для аутентификации на основе пары ключей RSA.
OpenID-LDAP может показаться противоположным тому, что вы пытаетесь сделать.
После кофе я думаю, что у того, что вы пытаетесь сделать, есть врожденная проблема. ASA предназначен для аутентификации (подтверждения того, кто вы есть), а также для авторизации (подтверждения того, к чему у вас есть доступ), но с OpenID аутентификация уже выполнена, и вы просто выполняете авторизацию.
Один интересный метод аутентификации на ASA: "HTTP-формы". Он принимает имя пользователя / пароль от пользователя и отправляет его на произвольный веб-сайт, а затем ищет соответствующий файл cookie в ответе. Это вполне может соответствовать сайту OpenID, хотя я никогда не пробовал.