我们有一对 ASA 5510(8.4.3),我们使用 LDAP 身份验证进行 VPN 和 SSH 访问。在所有使用 RADIUS 的 Catalyst 交换机上,我们都能够在 RADIUS 配置(2008R2 NPS)中将 shell:priv-lvl 设置为 15。但是,我在 ASA 上(包括在所有 Cisco 文档中)找到的最佳方法是滥用其他字段,例如职位或公司,方法是将“15”粘贴到其中并将其映射到 AAA 配置中的特权级别 RADIUS 属性。我真正想要做的是为 AD 组中的任何人分配 ASA 上的 L15 特权,而无需输入共享密码。有人知道是否有办法做到这一点吗?
答案1
如果您不介意使用 LDAP,您可以做您需要做的事情,而不必对服务器基础设施进行任何更改。
我们进行 ASA LDAP 集成的方式是使用 memberOf LDAP 属性来触发对我们要编辑的值的匹配。对于 cli AAA,您可以配置以下属性映射:
ldap attribute-map NetworkAdministrators
map-name memberOf IETF-Radius-Service-Type
map-value memberOf "CN=NetAdmins,OU=Security,DC=mycompany,DC=local" 6
这会将任何登录并匹配该组的用户的服务类型设置为 6(管理员)。接下来定义一个新的 AAA 服务器组,仅用于设备管理,您不想破坏 vpn 用户的属性映射。
aaa-server networkers-auth protocol ldap
现在为您的 LDAP 服务器创建一个服务器条目,这可以是与您用于 VPN 或其他 LDAP 功能的同一服务器。
aaa-server networkers-auth (inside_interface) host 10.1.1.1
ldap-base-dn DC=netgain,DC=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local
server-type microsoft
ldap-attribute-map NetworkAdministrators
最后一行ldap-attribute-map NetworkAdministrators将 ldap-map 与您的身份验证服务器关联起来。
最后,让我们将所有工作整合在一起并将其应用于 ASA AAA 部分:
aaa authentication ssh console networkers-auth LOCAL
aaa authentication enable console networkers-auth LOCAL
aaa authorization exec authentication-server
因此,为了进行测试,您可以 ssh 到您的 ASA 并使用您的 LDAP 用户,然后您应该能够顺利登录。现在,当您进入enable模式时,系统会提示您输入密码。然后,您将使用您的唯一 LDAP 密码进行身份验证。
请在您的设备上进行全面测试,因为如果在您的 ASA 上配置不当,任何 LDAP 用户都可能拥有您的 ASA 的管理员权限。