リモートVPN-CiscoASA + OpenLDAPを使用した2要素認証
Cisco ASA for RemoteVPN(Anyconnectクライアントを使用)で2要素認証(LDAPパスワード+証明書)を実装するための経路(またはドキュメント/方法へのリンク)を誰かに教えてもらえますか?
現在、Cisco ASA(5505、8.4.3)は、OpenLDAPサーバーを使用したパスワード認証用に構成されています。 AnyConnectクライアント(SSL VPN)でRemoteVPNを使用します。そして、認証/承認プロセスに証明書を追加したいと思います。外部の認証局を使用したくありません。私はおそらくすべてのユーザーに個人証明書を必要としないでしょう。
私が必要としているのは、パスワードを使用したLDAPでの認証/承認の前/後/最中にユーザーが有効な証明書を持っているかどうかを確認することだけです。
正直なところ、今はどういう仕組みなのかはっきりとはわかりません。
1)まず、CiscoASAのどこに設定すればよいかわかりません。
OpenLDAPサーバーを介してトンネルグループの証明書とAAA認証「(config-tunnel-webvpn)#authentication aaacertificate」の両方を有効にする必要がありますか?それではどのように機能しますか? OpenLDAPは証明書の検証をサポートしていますか?
または、証明書を追加するために2次認証を使用する必要がありますか?次に、セカンダリ認証用にサーバーを構成する必要がありますか?
または、CA権限など、他の構成を行う必要がありますか?では、CA機関はどのようにしてOpenLDAPからユーザー名を取得できますか?または、すべてのユーザーに対して1つの証明書を作成することはできますか(このようなセキュリティレベルは私の会社にとって完全に十分です)?
2)証明書の検証プロセスはどのように機能する必要がありますか? Cisco ASAはどのように証明書を検証しますか?それはopenssl秘密/公開鍵のようなものですか? ASAでローカルCA権限を設定しても、OpenLDAPからすべてのユーザーを取得できますか?証明書からユーザー名を抽出するだけですか、それとも認証に証明書自体を使用しますか?
事前にどうもありがとうございました。
電話ベースの認証はオプションではありませんか?証明書よりもメンテナンスの負担がはるかに少ないので、私はそれを好みます。たとえば、新しい人がVPNを使用できるようにするには、その人の電話番号をLDAPに入力してから、その人をVPN対応ユーザーグループに追加します(そのようなフィルタリングを行う場合)。これで完了です。 。一方、証明書の場合は、証明書を生成してからユーザーに渡す必要があり、ユーザーがそれを処理する必要があります。 OTOHの携帯電話は、誰にとっても自然なものです。
だから私は電話ベースの二要素認証を採用しました、多分それは何らかの形であなたを助けるでしょう。
ActiveDirectoryおよびAzureMulti-FactorAuthを使用したCiscoAnyConnect
それはかなり簡単です、あなたはそれをすべてGUIから行うことができます。しかし、それはADに基づいています。 MSAFはおそらくLDAPもサポートしていると思われますが、それはあなたにとっても実行可能であるはずです。唯一の注意点は、Azureの通話には、ユーザーあたり月額$ 1.4または$ 1.4/10の通話料金がかかることです。それはごくわずかだと思います。