Minha organização tem um Cisco ASA 5510 que atuei como firewall / gateway para um de nossos escritórios. A maioria dos recursos que um usuário remoto procuraria existia por dentro. Implementei a oferta usual - redes internas básicas com NAT de saída, uma interface externa principal com alguns IPs públicos secundários no pool PAT para serviços voltados ao público, alguns links IPSec site-to-site para outras ramificações etc. e estou trabalhando agora na VPN.
Eu tenho o WebVPN (VPN SSL sem cliente) funcionando e até mesmo percorrendo os links site a site. No momento estou deixando um legado OpenVPN AS no local para cliente grosso VPN. O que eu gostaria de fazer é padronizar um método de autenticação para toda a VPN e, em seguida, alternar para o servidor VPN IPSec da Cisco.
Eu estou tentando descobrir o que é realmente possível para a autenticação desses usuários de VPN (thick client e sem cliente). Minha organização usa o Google Apps e já usamos dotnetopenauth para autenticar usuários para alguns serviços internos. Eu gostaria de poder fazer o mesmo para uma VPN fina e grossa.
Alternativamente, uma solução baseada em assinatura usando pares de chaves públicas RSA (tipo ssh-keygen) seria útil para identificar user @ hardware.
Estou tentando fugir da autenticação de nome de usuário / senha herdada, especialmente se for interna para a Cisco (apenas outra senha definida para gerenciar e para os usuários esquecerem). Eu sei que posso mapear em um servidor LDAP existente, mas temos contas LDAP criadas para apenas 10% da base de usuários (principalmente desenvolvedores para acesso ao shell Linux).
Eu acho que o que eu estou procurando é um pedaço de middleware que aparece para a Cisco como um servidor LDAP, mas irá interagir com a identidade OpenID existente do usuário. Nada do que vi na Cisco sugere que isso seja feito de forma nativa. Mas as chaves públicas RSA seriam um vice-campeão, e muito melhor do que autônomo ou mesmo autenticação LDAP. O que é realmente prático aqui?
Eu não acho que você será capaz de usar OpenID mas na maioria dos casos o ASA irá interagir com um servidor Radius ou Tacacs + (Cisco ACS por exemplo) e este servidor irá interagir com seu autenticador (Active Directory, servidor RSA, ...)
O servidor Radius / Tacacs + então age como um proxy de autenticação.
O Cisco ASA suportará muitos protocolos de grupos de servidores AAA, incluindo LDAP e NTLM v1 (domínio NT). Link para o Guia de Configuração se alguém estiver interessado.
Mas, como você já tem a VPN sem cliente em execução, deve poder usar o mesmo grupo de servidores AAA para as conexões VPN do cliente. No ASDM, os perfis de conexão devem estar listados no Clientless e no Client.
Um método de autenticação interessante no ASA é " Formulários HTTP ". Ele pega um nome de usuário / senha do usuário e o envia para um site arbitrário, então procura por um cookie apropriado na resposta. Isso pode se encaixar muito bem em um site do OpenID, embora eu nunca tenha tentado.
Existe alguma documentação em cisco.com sobre usando PKI para autenticação VPN, no entanto eu não vi nada para autenticação baseada em keypair RSA.
OpenID-LDAP parece ser o oposto do que você está tentando fazer.
Depois de um café, acho que o que você está tentando fazer tem um problema inerente. O ASA é projetado para fazer autenticação (confirmando quem você é), bem como autorização (confirmando o que você tem acesso), mas com OpenID a autenticação já foi feita e você está apenas fazendo autorização.
Tags authentication vpn cisco rsa cisco-asa