Nível de privilégio do grupo de Cisco ASA LDAP

4

Temos um par de ASA 5510s (8.4.3) em que usamos autenticação LDAP para acesso VPN e SSH. Em todos os nossos Catalyst Switches, que usam RADIUS, podemos configurar o shell: priv-lvl para 15 na configuração RADIUS (2008R2 NPS). No entanto, o melhor que posso encontrar nos ASAs, incluindo em todos os documentos da Cisco, é abusar de algum outro campo, como título ou empresa, colocando "15" nele e mapeando-o para o atributo RADIUS de nível de privilégio no Configuração AAA. O que eu realmente quero fazer é atribuir qualquer um em privativas do grupo AD L15 nos ASAs sem ter que digitar uma senha compartilhada. Alguém sabe se há uma maneira de fazer isso?

    
por bab 21.05.2012 / 16:27

1 resposta

1

Se você não se importar em usar o LDAP, poderá fazer exatamente o que precisa sem alterar nada na infraestrutura do servidor.

A forma como fazemos a integração LDAP ASA é para nós o atributo memberOf LDAP para acionar uma correspondência no valor que queremos editar. Para cli AAA você pode configurar o seguinte mapa de atributos:

ldap attribute-map NetworkAdministrators
    map-name  memberOf IETF-Radius-Service-Type
    map-value memberOf "CN=NetAdmins,OU=Security,DC=mycompany,DC=local" 6

Isso define o tipo de serviço como 6 (admin) para todos os usuários que fazem login e correspondem a esse grupo. Em seguida, defina um novo Grupo de Servidores AAA para usar apenas para administração de dispositivos, você não quer quebrar seus mapas de atributos para usuários vpn.

aaa-server networkers-auth protocol ldap

Agora crie uma entrada de servidor para o seu servidor LDAP, isso pode ser para o mesmo servidor que você usa para VPN ou outras funções do LDAP.

aaa-server networkers-auth (inside_interface) host 10.1.1.1
    ldap-base-dn DC=netgain,DC=local
    ldap-scope subtree
    ldap-naming-attribute sAMAccountName
    ldap-login-password *****
    ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
    server-type microsoft
    ldap-attribute-map NetworkAdministrators

A última linha ldap-attribute-map NetworkAdministrators é o que associa o ldap-map ao seu servidor de autenticação.

Finalmente, vamos reunir todo o trabalho e aplicá-lo à seção AAA da ASA:

aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server

Portanto, para testar você não pode usar o ssh no seu ASA e usar o seu usuário LDAP, você deve ser capaz de logar sem problemas. Agora, quando você inserir o modo enable , será solicitada uma senha. Você então usará sua senha LDAP exclusiva para autenticação.

Por favor, teste isso completamente em seu equipamento, porque se configurado incorretamente em seu ASA, você pode permitir privilégios de administrador de usuário LDAP em seu ASA.

    
por 06.05.2013 / 19:34