VPNおよびSSHアクセスにLDAP認証を使用するASA5510(8.4.3)のペアがあります。 RADIUSを使用するすべてのCatalystスイッチで、RADIUS config(2008R2 NPS)でShell:priv-lvlを15に設定できます。ただし、私が見つけることができる最良のものすべてのCiscoドキュメントを含むASAでは、タイトルや会社などの他のフィールドに「15」を付けて、それを特権レベルRADIUS属性にマッピングすることにより、悪用することです。 AAA設定で。私が本当にやりたいのは、共有パスワードを入力せずに、ADグループのL15プライベートをASAに割り当てることです。これを行う方法があるかどうかは誰にもわかりません。
LDAPの使用を気にしない場合は、サーバーインフラストラクチャで何も変更せずに、必要なことを正確に実行できます。
ASA LDAP統合を行う方法は、memberOf LDAP属性を使用して、編集する値の一致をトリガーすることです。 CLI AAAの場合、次の属性マップを設定できます。
ldap attribute-map NetworkAdministrators
map-name memberOf IETF-Radius-Service-Type
map-value memberOf "CN=NetAdmins,OU=Security,DC=mycompany,DC=local" 6
これにより、ログインしてそのグループに一致するすべてのユーザーのサービスタイプが6(admin)に設定されます。次に、デバイス管理のみに使用する新しいAAAサーバグループを定義します。VPNユーザーの属性マップを壊したくない場合。
aaa-server networkers-auth protocol ldap
次に、LDAPサーバーのサーバーエントリを作成します。これは、VPNまたは他のLDAP機能に使用するのと同じサーバーに対して行うことができます。
aaa-server networkers-auth (inside_interface) Host 10.1.1.1
ldap-base-dn DC=netgain,DC=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
server-type Microsoft
ldap-attribute-map NetworkAdministrators
最後の行ldap-attribute-map NetworkAdministrators
は、ldap-mapを認証サーバーに関連付けるものです。
最後に、すべての作業をまとめて、ASAAAAセクションに適用します。
aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server
したがって、ASAにSSHで接続できず、LDAPユーザーを使用できないことをテストするには、問題なくログインできるはずです。これで、enable
モードに入ると、パスワードの入力を求められます。次に、認証に一意のLDAPパスワードを使用します。
ASAで不適切に設定されていると、ASAでLDAPユーザ管理者権限が付与される可能性があるため、これを機器で完全にテストしてください。