ASA и LDAP over SSL

-

Видимо начиная с какой то версии ПО на Cisco ASA, работа с LDAP сервером с использованием SSL(TLS) невозможна без импорта на ASA сертификата LDAP сервера (либо его, либо того кем он подписан, например корневого доменного).

как узнать какой у вас на сервере сертификат  кем он подписан:

Ну например при помощи openssl

openssl s_client -showcerts -connect <адрес LDAP сервера>:636 

Далее надо получить сертификат в формате BASE64

И добавить его на ASA, например через CLI:

crypto ca trustpoint ROOTCA
 enrollment terminal
 no ca-check

crypto ca authenticate ROOTCA
 <вставляем base64 текст>
 quit
 yes 

В aaa-server <имя>(INSIDE) host <адрес LDAP сервера>
добавляем
ldap-over-ssl enable

И тестируем
test aaa-server authentication <имя> host <адрес LDAP сервера>
Вводим имя пользователя
Вводим пароль

 

 

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Статические маршруты и петли маршрутизации

-
 Допустим у вас есть маршрутизатор, он является шлюзом по умолчанию для ПК. Пусть сеть ПК будет 192.168.0.0 255.255.255.0 Так же у вас есть сеть принтеров 192.168.1.0 255.255.255.0 И предположим есть файрвол, он связан с маршрутизатором PtP сетью например 10.0.0.0 255.255.255.252 Сети у вас иногда добавляются но их немного и вам нет смысла поднимать динамическую маршрутизацию. Но вы на файрволе прописали маршрут на сети 192.168.0.0 255.255.0.0 через маршрутизатор 10.0.0.1 А на маршрутизаторе маршрут по умолчанию на файрвол. И теперь если мы пинганем принтер 192.168.1.5 то если он существует мы увидим ответ а если его нет то будет таймаут. А вот если мы пинганем адрес 192.168.2.5 то мы увидим ответ от маршрутизатора что истек TTL потому что у маршрутизатора адрес 192.168.2.5 попадает в маршрут по умолчанию на файрвол, а у файрвола он же в маршрут на сети 192.168.0.0 255.255.0.0 на маршрутизатор. Так они и шлют трафик друг другу пока не истечет TTL. Что делать? 1. Прописать маршруты ...
Далее...

Двухфакторная аутентификация на VPN шлюзах для всех

-
Двухфакторная аутентификация с использованием одноразовых паролей, является одним из самых надежных методов защиты от несанкционированного доступа к внутренним ресурсам компании, так как с одной стороны делает утечку логина/пароля не достаточной для того чтоб злоумышленник смог получить доступ, и с другой делает невозможной перебор паролей, так как перебирать нужно одновременно логин, пароль и одноразовый пароль, а он все время разный. Одноразовый пароль можно например отправить по СМС или по электронной почте, или можно его сгенерировать при помощи программного или аппаратного токена что наиболее удобно и бесплатно. Поставщиков программного обеспечения для двухфакторной аутентификации великое множество, как облачных так и тех кто позволяет развернуть его внутри компании. Для примера приведем несколько подобных: DUO SafeNet MFASoft Multifactor multiOTP   Большинство подобных продуктов состоит, как минимум из следующих компонентов: 1. Radius сервера, который взаимодействует с ш...
Далее...

Собираем в L2 домен пару портов в BDI и порты на Switch карте на Cisco 4331

-
Допустим у нас есть потребность связать в один L2 домен пару SFP портов на шасси, и плюс ко всему мы еще и модуль NIM-ES2-4 используем и подключаем к нему тоже например коммутатор. Что нам потребуется: 1. Настроить BDI и VLAN интерфейсы 2. Настроить на портах на шасси параметры добавления удаления тегов dot1q  3. Настроить Vlan'ы Пример: vlan 2  name MGMT ! vlan 3  name PC ! interface GigabitEthernet0/0/0  no ip address  negotiation auto  service instance 2 ethernet   encapsulation dot1q 2   rewrite ingress tag pop 1   rewrite egress tag push dot1q 2   l2protocol peer stp   bridge-domain 2  !  service instance 3 ethernet   encapsulation dot1q 3   rewrite ingress tag pop 1   rewrite egress tag push dot1q 3   l2protocol peer stp   bridge-domain 3  ! interface GigabitEthernet0/0/1  no ip address  negotiation auto  service instance 2 ethernet   encapsulation dot1q 2   rewr...
Далее...