Может ли кто-нибудь дать мне способ (или ссылку на документацию / как это сделать) для реализации двухфакторной аутентификации (пароль LDAP + сертификат) на Cisco ASA для RemoteVPN (с клиентом Anyconnect)?
В настоящее время наш Cisco ASA (5505, 8.4.3) настроен для аутентификации по паролю с использованием сервера OpenLDAP. Мы используем RemoteVPN с AnyConnect Client (SSL VPN). И я хотел бы добавить сертификаты в процесс аутентификации / авторизации. Я не хочу использовать внешние центры сертификации. Мне даже, наверное, не нужны личные сертификаты на каждого пользователя.
Мне нужно просто проверить, есть ли у пользователя действующий сертификат до / после / во время аутентификации / авторизации на LDAP с паролем.
Если честно, сейчас я не совсем понимаю, как это должно работать.
1) Во-первых, я не понимаю, где его настраивать на Cisco ASA.
Должен ли я просто включить как сертификат, так и аутентификацию aaa "(config-tunnel-webvpn) # authentication aaa certificate" для моей туннельной группы через сервер OpenLDAP? Как тогда это будет работать? Поддерживает ли OpenLDAP проверку сертификатов?
Или мне нужно использовать вторичную аутентификацию для добавления сертификатов? Нужно ли мне тогда настраивать какой-то сервер для вторичной аутентификации?
Или мне нужно сделать какие-то другие настройки, например, центр сертификации? Как же тогда центр сертификации может получить имена пользователей из OpenLDAP? Или я могу сделать один сертификат для всех пользователей (такого уровня безопасности вполне достаточно для моей компании)?
2) Как должен работать процесс проверки сертификата? Как Cisco ASA проверит сертификат? Это что-то вроде закрытых / открытых ключей openssl или нет? Могу ли я настроить локальный центр сертификации на ASA, но все же получить всех пользователей из OpenLDAP? Будет ли он просто извлекать имя пользователя из сертификата или каким-то образом будет использовать сам сертификат для аутентификации?
Заранее большое спасибо.
Разве аутентификация по телефону не является вариантом? Я предпочитаю это, потому что это намного меньше бремени обслуживания, чем сертификаты. Например, чтобы позволить кому-то новому использовать VPN, вы просто вводите его / ее номер телефона в LDAP, затем, возможно, добавляете его / ее в группу пользователей с поддержкой VPN (если вы вообще выполняете такую фильтрацию), и все. . В то время как с сертификатами вы должны создать сертификат, затем передать его пользователю, а затем пользователь должен позаботиться о нем. Мобильный телефон OTOH вполне естественно для каждого.
Поэтому я выбрал двухфакторную аутентификацию на основе телефона, возможно, она вам в чем-то поможет.
Cisco AnyConnect с Active Directory и Многофакторной аутентификацией Azure
Сделать это довольно просто, все это можно сделать из графического интерфейса. Но это основано на AD. Хотя MSAF предположительно поддерживает и LDAP, так что это должно быть выполнимо и для вас. Единственное предостережение: телефонные звонки в Azure стоят денег: 1,4 доллара за пользователя в месяц или 1,4 доллара за 10 звонков. Я бы сказал, что это совсем незначительно.