Se você não se importar em usar o LDAP, poderá fazer exatamente o que precisa sem alterar nada na infraestrutura do servidor.
A forma como fazemos a integração LDAP ASA é para nós o atributo memberOf LDAP para acionar uma correspondência no valor que queremos editar. Para cli AAA você pode configurar o seguinte mapa de atributos:
ldap attribute-map NetworkAdministrators
map-name memberOf IETF-Radius-Service-Type
map-value memberOf "CN=NetAdmins,OU=Security,DC=mycompany,DC=local" 6
Isso define o tipo de serviço como 6 (admin) para todos os usuários que fazem login e correspondem a esse grupo. Em seguida, defina um novo Grupo de Servidores AAA para usar apenas para administração de dispositivos, você não quer quebrar seus mapas de atributos para usuários vpn.
aaa-server networkers-auth protocol ldap
Agora crie uma entrada de servidor para o seu servidor LDAP, isso pode ser para o mesmo servidor que você usa para VPN ou outras funções do LDAP.
aaa-server networkers-auth (inside_interface) host 10.1.1.1
ldap-base-dn DC=netgain,DC=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
server-type microsoft
ldap-attribute-map NetworkAdministrators
A última linha ldap-attribute-map NetworkAdministrators
é o que associa o ldap-map ao seu servidor de autenticação.
Finalmente, vamos reunir todo o trabalho e aplicá-lo à seção AAA da ASA:
aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server
Portanto, para testar você não pode usar o ssh no seu ASA e usar o seu usuário LDAP, você deve ser capaz de logar sem problemas. Agora, quando você inserir o modo enable
, será solicitada uma senha. Você então usará sua senha LDAP exclusiva para autenticação.
Por favor, teste isso completamente em seu equipamento, porque se configurado incorretamente em seu ASA, você pode permitir privilégios de administrador de usuário LDAP em seu ASA.