Назад | Перейти на главную страницу

Уровень привилегий группы LDAP Cisco ASA

У нас есть пара ASA 5510 (8.4.3), на которых мы используем аутентификацию LDAP для доступа к VPN и SSH. На всех наших коммутаторах Catalyst, которые используют RADIUS, мы можем установить shell: priv-lvl на 15 в конфигурации RADIUS (2008R2 NPS). Однако лучшее, что я могу найти на ASA, в том числе во всех документах Cisco, - это злоупотребление каким-либо другим полем, таким как название или компания, вставив в него цифру 15 и сопоставив это значение с атрибутом RADIUS уровня привилегий в Конфигурация AAA. Что я действительно хочу сделать, так это назначить кому-либо в группе AD L15 привилегии на ASA без необходимости вводить общий пароль. Кто-нибудь знает, есть ли способ сделать это?

Если вы не против использования LDAP, вы можете делать именно то, что вам нужно, ничего не меняя в инфраструктуре сервера.

Интеграция ASA LDAP выполняется с помощью атрибута memberOf LDAP, который запускает сопоставление значения, которое мы хотим изменить. Для cli AAA вы можете настроить следующую карту атрибутов:

ldap attribute-map NetworkAdministrators
    map-name  memberOf IETF-Radius-Service-Type
    map-value memberOf "CN=NetAdmins,OU=Security,DC=mycompany,DC=local" 6

Это устанавливает тип службы 6 (администратор) для всех пользователей, которые входят в систему и соответствуют этой группе. Затем определите новую группу серверов AAA, которая будет использоваться только для администрирования устройства, вы не хотите нарушать свои карты атрибутов для пользователей vpn.

aaa-server networkers-auth protocol ldap

Теперь создайте запись сервера для вашего сервера LDAP, это может быть тот же сервер, который вы используете для VPN или других функций LDAP.

aaa-server networkers-auth (inside_interface) host 10.1.1.1
    ldap-base-dn DC=netgain,DC=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password *****
    ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
    server-type microsoft
    ldap-attribute-map NetworkAdministrators

Последняя строка ldap-attribute-map NetworkAdministrators это то, что связывает ldap-map с вашим сервером аутентификации.

Наконец, давайте объединим всю работу и применим ее к разделу ASA AAA:

aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server

Итак, чтобы проверить, что вы не можете использовать ssh для своего ASA и использовать своего пользователя LDAP, вы должны иметь возможность войти в систему без проблем. Теперь, когда вы входите enable вам будет предложено ввести пароль. Затем вы будете использовать свой уникальный пароль LDAP для аутентификации.

Пожалуйста, протестируйте это полностью на своем оборудовании, потому что при неправильной настройке на вашем ASA любой пользователь LDAP может получить права администратора на вашем ASA.