Überprüfung Gruppenmitgliedschaft bei Cisco VPN-Concentrator mit ISA

[Andreas_Z 10]

Hallo alle Zusammen!

 

Ich setze einen Cisco VPN-Concentrator der 3000er Serie ein, um Benuztern Remotezugriff einen Server zu gewähren. Die Benutzerauthentifikation erfolgt per RADIUS. Als RADIUS nutze ich den IAS, der bei Windows 2003 dabei ist. Die gesamte Konstellation funktioniert auch gut. Nun ist aber so, daß ich mehrere interne Nutzergruppen auf dem VPN-C defniert habe, um verschiedene Zugangsregelwerke anwenden zu können. Die Nutzer müssen also beim Aufbau des VPN-Tunnels einen Gruppennamen mit zugehörigem Passwort angeben. Erst dann erfolgt die eigentliche Benutzerauthentifikation. Auch das klappt hervorragend. Jedoch habe ich mal folgende Überlegung angestellt. Wenn ein Nutzer die Gruppe wechselt, könnte er sich aufgrund seines Wissens über die Zugangsdaten der "alten" Gruppe wieder die alten Zugriffsrechte verschaffen. Er meldet sich also einfach weiter mit der alten Gruppe an. Wie kann ich nun bei der Anmeldung die Gruppenzugehörigkeit zu einer Gruppe prüfen und den Zugang in Abhänigkeit davon steuern? Die Gruppen auf dem VPN-C auf extern umstellen und alles auf dem RADIUS machen, klappt leider nicht, weil ich dann mit Hilfe des RADIUS alle zur Gruppenkonfig gehörigen Parameter definieren und übergeben muß. Leider geht dies nicht für alle Parameter. Und leider sind davon auch Parameter betroffen, die für die derzeitige Funktion wichtig sind. Also habe ich die Überlegung angestellt, den Benutzernamen einfach ein @gruppenname zu erweitern. Gibt es nun eine Möglichkeit, diesen angehängten Gruppennamen im RADIUS auszulesen und dort mit einer AD-Gruppenzugehörigkeit zu vergleichen?

 

Vielen Dank für alle Tipps im vorraus

Gruß Andreas_Z

[günterf 45]

Hi!

 

Hat ja wohl mit dem MCSE wenig zu tun!

 

Ich verschiebe den mal!

[Andreas_Z 10]

Guten Morgen Günterf!

 

Vielen Dank. Da war ich wohl etwas unaufmerksam. :rolleyes:

 

Gruß Andreas