是否可以將 Cisco AnyConnect VPN 配置為同時使用兩種單獨的 LDAP 身份驗證方法?
我有一個帶有 Security Plus 許可證的 Cisco ASA 5505 以及一個 AnyConnect Plus 許可證。我目前在 ASA 上沒有任何 VPN 配置,因為我仍處於規劃階段。在購買第三方軟體之前,我想知道是否支持我計劃的配置。
我正在考慮對連接到 VPN 的使用者使用雙重身份驗證,可能會使用額外的證書組件。我發現 Duo Security使用 LDAP 進行 AnyConnect 集成。此外,AnyConnect 允許您使用 LDAP 對 Active Directory 進行身份驗證。我做了很多研究,發現了很多配置雙重身份驗證的資源。但是,每個資源似乎都使用兩種不同的身份驗證協議。例如,思科官方文件向您展示如何將 LOCAL 設置為主要,將 LDAP 設置為次要。他們的措辭使您看起來可以將 LDAP 用於主要或次要,但沒有明確說明您可以同時使用這兩種方式。我還找到了描述如何為故障轉移或負載平衡配置冗餘 LDAP 伺服器的資源,這不是我想要的。我的問題是是否可以使用兩個完全獨立的 LDAP 伺服器並讓客戶端對兩者進行身份驗證。理想情況下,配置應如下所示:
tunnel-group RA general-attributes authentication-server-group LDAP_AD secondary-authentication-server-group LDAP_DUO default-group-policy Group1 authorization-required tunnel-group RA webvpn-attributes authentication aaa certificate
顯然,LDAP_AD 和 LDAP_DUO 都將使用“aaa-server LDAP_xx 協議 ldap”以及所需的伺服器資訊配置為它們自己的條目。我在想這個配置應該要求使用者輸入他們的 AD 憑據,使用帶有 OTP 或 Push 身份驗證的 Duo 安全性,並檢查機器是否具有有效的證書。以前有沒有人嘗試過,或者發現文件說支持這種類型的配置?
我最終回答了我自己的問題 - 這是可能的。我發現 Duo 提供免費試用,所以我繼續設置了一個帳戶,以嘗試讓它與我的設置一起使用。最後,我能夠同時設置 Active Directory LDAP 和 Duo Security LDAP。程式碼的相關部分在這裡:
tunnel-group VPN_RA type remote-access tunnel-group VPN_RA general-attributes address-pool X authentication-server-group WINDOWS secondary-authentication-server-group Duo_LDAP use-primary-username authorization-server-group WINDOWS default-group-policy Group1 authorization-required tunnel-group VPN_RA webvpn-attributes authentication aaa certificate group-alias RA enable
使用者必須輸入他們的 AD 使用者名和密碼以及 Duo 的二級密碼才能連接。機器上還必須有有效的證書。
Cisco ASA 路由器支持每個配置文件一個身份驗證組。因此,如果您的 VPN 連接配置文件設置為使用名為 VPN 的身份驗證組,那麼當使用者連接到 VPN 時,他們將對 VPN 身份驗證組中的第一個可用伺服器進行身份驗證。
您可以為備份身份驗證源設置 LOCAL,但僅當主身份驗證源不可用時才可用。
除了身份驗證之外,您還可以要求客戶端證書。
如果您希望使用 OTP 或其他一些 2FA 方案,請在 Cisco 論壇上進行精彩討論。