hegl 10 Geschrieben 9. Januar 2015 Melden Teilen Geschrieben 9. Januar 2015 Hallo,ich teste gerade die LDPA-Authentifizierung für AnyConnect (ASA 8.2.3). Soweit habe ich das jetzt auch ans Laufen gebracht. User in der AD-Gruppe SSL_VPN_Benutzer können sich per AnyConnect verbinden. ldap attribute-map AnyConnect-LogIn map-name memberOf IETF-Radius-Class map-value memberOf CN=SSL_VPN_Benutzer,OU=Gruppen,OU=Firma,DC=xyz,DC=de sslvpngroup dynamic-access-policy-record DfltAccessPolicy aaa-server LDAP_SRV_GRP protocol ldap aaa-server LDAP_SRV_GRP (inside) host DC01.xyz.de server-port 636 ldap-base-dn DC=xyz,DC=de ldap-scope subtree ldap-naming-attribute sAMAccountName ldap-login-password * ldap-login-dn CN=Admin,CN=Builtin,DC=xyz,DC=de ldap-over-ssl enable server-type microsoft ldap-attribute-map AnyConnect-LogIn aaa local authentication attempts max-fail 3 webvpn enable outside svc image disk0:/anyconnect-win-3.1.06073-k9.pkg 1 svc enable tunnel-group-list enable group-policy NoSSLAccess internal group-policy NoSSLAccess attributes vpn-simultaneous-logins 0 group-policy sslvpngroup internal group-policy sslvpngroup attributes dns-server value DNS-Server1, DNS-Server2 vpn-simultaneous-logins 3 vpn-tunnel-protocol svc split-tunnel-policy tunnelspecified split-tunnel-network-list value split-tunnel default-domain value xyz.de split-dns value xyz.de msie-proxy method no-proxy webvpn svc keep-installer installed svc rekey time 30 svc rekey method ssl svc ask none default svc tunnel-group sslgroup type remote-access tunnel-group sslgroup general-attributes address-pool anyconnect-pool authentication-server-group LDAP_SRV_GRP LOCAL authentication-server-group (inside) LDAP_SRV_GRP LOCAL default-group-policy NoSSLAccess tunnel-group sslgroup webvpn-attributes group-alias sslgroup_users enable Wenn ich nun eine weitere Gruppe der AD, z.B. Fremdfirmenmitarbeiter auch für bestimmte Ressourcen zulassen will, was muss ich dann tun? Wie ist hier die Vorgehensweise, hat jemand einen Link zu einer Beispielkonfiguration?Weiterhin hattte ich gedacht, dass nach obigerKonfiguration auch eine Anmeldung mit einen loaklen User (auf der ASA eingerichtet) funktioniert. Offensichtlich aber nicht, wo ist hier noch was zu konfigurieren? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 Am flexibelsten ist man da mit dynamic access policys, ist halt die frage ob du noch mehr Gruppen oder auch deine MA differenzieren möchtest oder nicht, was sagt ein Blick in die Kristallkugel für die nächsten 6-12 Monate ? Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 20. Januar 2015 Autor Melden Teilen Geschrieben 20. Januar 2015 (bearbeitet) Oki, dynamic access policy schaue ich mir mal an bearbeitet 20. Januar 2015 von hegl Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.