思科ASA LDAP组权限级别

我们有一对ASA 5510s(8.4.3),我们使用LDAPauthentication进行VPN和SSH访问。 在所有使用RADIUS的Catalyst交换机上,我们可以在RADIUSconfiguration(2008R2 NPS)中将shell:priv-lvl设置为15。 但是,在ASA(包括所有的思科文档)上,我能find的最好的办法是通过在其中embedded“15”并将其映射到“权限级别RADIUS属性”来滥用其他字段(如标题或公司) AAAconfiguration。 我真正想要做的是在AD组中为每个人分配L15权限,而不必键入共享密码。 任何人都知道是否有办法做到这一点?

  • SuperMicro IPMI使用基于Windows的RADIUS(NPS)
  • validationRADIUS服务器是否发送正确的证书?
  • 如何从networking策略服务器(ias)服务获得尽可能多的debugging信息?
  • IAS从2003服务器迁移到2008 R2
  • VPN用户的login时间配额
  • 与Windows 7计算机的半径连接
  • One Solution collect form web for “思科ASA LDAP组权限级别”

    如果您不介意使用LDAP,则可以在不更改服务器基础结构上的任何内容的情况下正确执行所需的操作。

    我们做ASA LDAP集成的方式是使用memberOf LDAP属性来触发我们要编辑的值的匹配。 对于cli AAA,您可以configuration以下属性映射:

    ldap attribute-map NetworkAdministrators map-name memberOf IETF-Radius-Service-Type map-value memberOf "CN=NetAdmins,OU=Security,DC=mycompany,DC=local" 6 

    这为任何login并匹配该组的用户设置服务types为6(admin)。 接下来定义一个新的AAA服务器组,仅用于设备pipe理,您不想为vpn用户中断您的属性映射。

     aaa-server networkers-auth protocol ldap 

    现在为您的LDAP服务器创build一个服务器条目,这可以与您用于VPN或其他LDAPfunction的服务器相同。

     aaa-server networkers-auth (inside_interface) host 10.1.1.1 ldap-base-dn DC=netgain,DC=local ldap-scope subtree ldap-naming-attribute sAMAccountName ldap-login-password ***** ldap-login-dn cn=asa2ldap,cn=users,DC=mycompany,DC=local server-type microsoft ldap-attribute-map NetworkAdministrators 

    最后一行ldap-attribute-map NetworkAdministrators是将ldap-map关联到您的validation服务器的。

    最后让我们把所有的工作结合在一起,并将其应用到ASA AAA部分:

     aaa authentication ssh console networkers-auth LOCAL aaa authentication enable console networkers-auth LOCAL aaa authorization exec authentication-server 

    因此,要testing您不能ssh到您的ASA和用户您的LDAP用户,您应该能够login没有问题。 现在,当您进入enable模式时,系统会提示您input密码。 然后,您将使用您的唯一LDAP密码进行身份validation。

    请在您的设备上完全testing,因为如果您的ASA上configuration不当,可能会让您的ASA上的任何LDAP用户pipe理权限。

    服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.