У нас есть пара ASA 5510 (8.4.3), на которых мы используем аутентификацию LDAP для доступа к VPN и SSH. На всех наших коммутаторах Catalyst, которые используют RADIUS, мы можем установить shell: priv-lvl на 15 в конфигурации RADIUS (2008R2 NPS). Однако лучшее, что я могу найти на ASA, в том числе во всех документах Cisco, - это злоупотребление каким-либо другим полем, таким как название или компания, вставив в него цифру 15 и сопоставив это значение с атрибутом RADIUS уровня привилегий в Конфигурация AAA. Что я действительно хочу сделать, так это назначить кому-либо в группе AD L15 привилегии на ASA без необходимости вводить общий пароль. Кто-нибудь знает, есть ли способ сделать это?
Если вы не против использования LDAP, вы можете делать именно то, что вам нужно, ничего не меняя в инфраструктуре сервера.
Интеграция ASA LDAP выполняется с помощью атрибута memberOf LDAP, который запускает сопоставление значения, которое мы хотим изменить. Для cli AAA вы можете настроить следующую карту атрибутов:
ldap attribute-map NetworkAdministrators
map-name memberOf IETF-Radius-Service-Type
map-value memberOf "CN=NetAdmins,OU=Security,DC=mycompany,DC=local" 6
Это устанавливает тип службы 6 (администратор) для всех пользователей, которые входят в систему и соответствуют этой группе. Затем определите новую группу серверов AAA, которая будет использоваться только для администрирования устройства, вы не хотите нарушать свои карты атрибутов для пользователей vpn.
aaa-server networkers-auth protocol ldap
Теперь создайте запись сервера для вашего сервера LDAP, это может быть тот же сервер, который вы используете для VPN или других функций LDAP.
aaa-server networkers-auth (inside_interface) host 10.1.1.1
ldap-base-dn DC=netgain,DC=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
server-type microsoft
ldap-attribute-map NetworkAdministrators
Последняя строка ldap-attribute-map NetworkAdministrators
это то, что связывает ldap-map с вашим сервером аутентификации.
Наконец, давайте объединим всю работу и применим ее к разделу ASA AAA:
aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server
Итак, чтобы проверить, что вы не можете использовать ssh для своего ASA и использовать своего пользователя LDAP, вы должны иметь возможность войти в систему без проблем. Теперь, когда вы входите enable
вам будет предложено ввести пароль. Затем вы будете использовать свой уникальный пароль LDAP для аутентификации.
Пожалуйста, протестируйте это полностью на своем оборудовании, потому что при неправильной настройке на вашем ASA любой пользователь LDAP может получить права администратора на вашем ASA.