web-dev-qa-db-ja.com

Cisco ASALDAPグループの特権レベル

VPNおよびSSHアクセスにLDAP認証を使用するASA5510(8.4.3)のペアがあります。 RADIUSを使用するすべてのCatalystスイッチで、RADIUS config(2008R2 NPS)でShell:priv-lvlを15に設定できます。ただし、私が見つけることができる最良のものすべてのCiscoドキュメントを含むASAでは、タイトルや会社などの他のフィールドに「15」を付けて、それを特権レベルRADIUS属性にマッピングすることにより、悪用することです。 AAA設定で。私が本当にやりたいのは、共有パスワードを入力せずに、ADグループのL15プライベートをASAに割り当てることです。これを行う方法があるかどうかは誰にもわかりません。

4
bab

LDAPの使用を気にしない場合は、サーバーインフラストラクチャで何も変更せずに、必要なことを正確に実行できます。

ASA LDAP統合を行う方法は、memberOf LDAP属性を使用して、編集する値の一致をトリガーすることです。 CLI AAAの場合、次の属性マップを設定できます。

ldap attribute-map NetworkAdministrators
    map-name  memberOf IETF-Radius-Service-Type
    map-value memberOf "CN=NetAdmins,OU=Security,DC=mycompany,DC=local" 6

これにより、ログインしてそのグループに一致するすべてのユーザーのサービスタイプが6(admin)に設定されます。次に、デバイス管理のみに使用する新しいAAAサーバグループを定義します。VPNユーザーの属性マップを壊したくない場合。

aaa-server networkers-auth protocol ldap

次に、LDAPサーバーのサーバーエントリを作成します。これは、VPNまたは他のLDAP機能に使用するのと同じサーバーに対して行うことができます。

aaa-server networkers-auth (inside_interface) Host 10.1.1.1
    ldap-base-dn DC=netgain,DC=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password *****
    ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
    server-type Microsoft
    ldap-attribute-map NetworkAdministrators

最後の行ldap-attribute-map NetworkAdministratorsは、ldap-mapを認証サーバーに関連付けるものです。

最後に、すべての作業をまとめて、ASAAAAセクションに適用します。

aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server

したがって、ASAにSSHで接続できず、LDAPユーザーを使用できないことをテストするには、問題なくログインできるはずです。これで、enableモードに入ると、パスワードの入力を求められます。次に、認証に一意のLDAPパスワードを使用します。

ASAで不適切に設定されていると、ASAでLDAPユーザ管理者権限が付与される可能性があるため、これを機器で完全にテストしてください。

1
bluedogs