ASA - ADS - IFMember

[blackbox 10]

Hallo,

 

ich stelle mir immer mal wieder die Frage - ob es nicht doch irgendwie geht - das man bei der ASA ne AAA Abfrage bauen kann gegen die ADS (LDAP) - ob jemand in einer "Gruppe" ist oder nicht und damit steuern das er surfen kann. Ich würde dafür gerne den IAS nehmen (für Remote Dial In mache ich es ja schon). Man kann ja auf dem IAS noch ein weiteres Profil erstellen mit einer Abfrage auf eine Gruppe - nur dann beist es sich ja mit dem Dial IN.

 

Irgendjemand ne Idee dazu (hmm vielleicht zweiter IAS - mal probieren)

 

Gruss Michael

[hegl 10]

Grundsätzlich sollte so etwas laufen.

 

Wir haben dies so in der Art mit dem ACS, der ein external mapping auf die ADS macht. Allerdings funktioniert das nicht so zufriedenstellend, da wir auch die VPN-User über ein weiteres ext. mapping konfiguriert haben. Hier beisst sich der ACS selbst in den Schwanz (ist der User Inet-User, funktioniert auch VPN-Access) . Dies ist aber ´ne interne ACS-Geschichte und sollte nach Auskunft eines CISCO-Consultant aber funktionieren.

 

Im Prinzip brauchst Du "nur" über virtual telnet den AAA-Server anzugeben und diesen entsprechend zu konfigurieren.

 

Wie´s mit dem IAS laufen soll, kann ich (noch) nicht sagen.

[blackbox 10]

Hi,

 

ich habe es jetzt mal auf "2" IAS verteilt - den einen für VPN und den anderen mit einer "If Member of" abfrage direkt auf dem IAS - dann geht es. Das ****e beim IAS ist, das er nicht auswerten kann - von wo der Request kommt (er zeigt es im Logfile zwar sauber an (ip:souce-ip) - aber auswerten - keine Chance - lt Doku nur wenn man mit MS-RAS arbeiten (Bullshit).

 

Nun habe ich den "Tekradius" noch entdeckt - werden dem mal antesten (ACS habe ich auch - aber ich suche mal ne "free" Lösung - so für Zuhause und Co.)