blackbox 10 Geschrieben 12. Mai 2009 Melden Teilen Geschrieben 12. Mai 2009 Hallo, ich habe mir mal wieder so meine Gedanken zur ASA und der User Authentication gemacht - da ich mal wieder jemand gefragt hat - was da so geht. Es geht ja meist darum, das nur gewisse "Leute" surfen dürfen. Habe hier schon mit Websense und dem anderen (vergesse immer den Namen) gearbeitet. Die ASA selber bietet ja die Möglichkeit das ganze über LDAP und DAP zu lösen - nur diesen Authentication Dialog kann man ja nicht "automatisch" mit Daten füllen bzw. er gilt auch eher für die IP Session. Habe ihr noch Ideen - wie man das alternativ zu Websense und (dem anderen) lösen könnte - ohne das ich nen Proxy davorbaue ? Den in kleinen Betrieben zu ner 25 User ASA nen Websense finde ich irgendwie mit Kanonen auf Spatzen. Wie sind hier eure Ansätze oder Idee für eine User Authentication gegen evtl. ne ADS or so... Danke für eure Idee... Gruss Michael Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 13. Mai 2009 Melden Teilen Geschrieben 13. Mai 2009 user authentication kann die ASA für http/s, FTP und telnet. Das poppt automatisch auf wenn der User versucht eine http Session zu starten. Du kannst absoluten und idle timeout für die reauthentication bestimmen, wobei aber der Browser das meistens übernimmt. mal schnell via ASDM gemacht: access-list inside_authentication_1 line 1 extended permit tcp 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 eq http access-list inside_authentication_1 line 1 extended permit tcp 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0 eq 443 aaa authentication match inside_authentication_1 inside LDAP Wobei LDAP eine Servergroup bezeichnet, dei muss natürlich mit Server und zugehörigen Login/DN Dings"pfad" gefüttert werden (ich denke man merkt das LDAP nciht meine Stärke ist). Das "andere" wäre dann Secure Computing SmartFilter. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 13. Mai 2009 Melden Teilen Geschrieben 13. Mai 2009 Ich wollte das ganze mal mit einem zentralen WCCP Proxy testen, bin aber noch nicht dazu gekommen. Vielleicht waer das ja was ... Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 13. Mai 2009 Autor Melden Teilen Geschrieben 13. Mai 2009 @Otaku19 Hallo, das kenne ich wie du es da schreibst (und habe ich auch schon im Einsatz - trotzdem DANKE) - das Problem ist, das dann die IP Session da erlaubt wird - wenn sich dann jemand anderes an der Kiste anmeldet - geht es immer noch wenn die Session relativ lang eingestellt ist. Ich fänd es halt schickt - wenn man z.B. mit "automatischer" Anmeldung da was drehen könnte. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 13. Mai 2009 Melden Teilen Geschrieben 13. Mai 2009 @Otaku19 Hallo, das kenne ich wie du es da schreibst (und habe ich auch schon im Einsatz - trotzdem DANKE) - das Problem ist, das dann die IP Session da erlaubt wird - wenn sich dann jemand anderes an der Kiste anmeldet - geht es immer noch wenn die Session relativ lang eingestellt ist. Ich fänd es halt schickt - wenn man z.B. mit "automatischer" Anmeldung da was drehen könnte. Grundsätzlich kannst Du auch über virtual telnet die Authentifizierung steuern. Hier hast Du zwar auch das Problem mit der langen session, jedoch kann man ja auch eine Abmeldung über virtual telnet initiieren. Ein Kollege hatte sowas mal über asp.net programmiert mit dem Ziel, dieses über einen Button im Browser zu realisieren. Funktioniert hat das auch tatsächlich, wurde dann aber bei uns nicht weiter verfolgt, so dass es nie produktiv ging. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.