Cisco

是否可以將 Cisco AnyConnect VPN 配置為同時使用兩種單獨的 LDAP 身份驗證方法?

  • July 15, 2016

我有一個帶有 Security Plus 許可證的 Cisco ASA 5505 以及一個 AnyConnect Plus 許可證。我目前在 ASA 上沒有任何 VPN 配置,因為我仍處於規劃階段。在購買第三方軟體之前,我想知道是否支持我計劃的配置。

我正在考慮對連接到 VPN 的使用者使用雙重身份驗證,可能會使用額外的證書組件。我發現 Duo Security使用 LDAP 進行 AnyConnect 集成。此外,AnyConnect 允許您使用 LDAP 對 Active Directory 進行身份驗證。我做了很多研究,發現了很多配置雙重身份驗證的資源。但是,每個資源似乎都使用兩種不同的身份驗證協議。例如,思科官方文件向您展示如何將 LOCAL 設置為主要,將 LDAP 設置為次要。他們的措辭使您看起來可以將 LDAP 用於主要或次要,但沒有明確說明您可以同時使用這兩種方式。我還找到了描述如何為故障轉移或負載平衡配置冗餘 LDAP 伺服器的資源,這不是我想要的。我的問題是是否可以使用兩個完全獨立的 LDAP 伺服器並讓客戶端對兩者進行身份驗證。理想情況下,配置應如下所示:

tunnel-group RA general-attributes
 authentication-server-group LDAP_AD
 secondary-authentication-server-group LDAP_DUO
 default-group-policy Group1
 authorization-required
tunnel-group RA webvpn-attributes
 authentication aaa certificate

顯然,LDAP_AD 和 LDAP_DUO 都將使用“aaa-server LDAP_xx 協議 ldap”以及所需的伺服器資訊配置為它們自己的條目。我在想這個配置應該要求使用者輸入他們的 AD 憑據,使用帶有 OTP 或 Push 身份驗證的 Duo 安全性,並檢查機器是否具有有效的證書。以前有沒有人嘗試過,或者發現文件說支持這種類型的配置?

我最終回答了我自己的問題 - 這是可能的。我發現 Duo 提供免費試用,所以我繼續設置了一個帳戶,以嘗試讓它與我的設置一起使用。最後,我能夠同時設置 Active Directory LDAP 和 Duo Security LDAP。程式碼的相關部分在這裡:

tunnel-group VPN_RA type remote-access
tunnel-group VPN_RA general-attributes
address-pool X
authentication-server-group WINDOWS
secondary-authentication-server-group Duo_LDAP use-primary-username
authorization-server-group WINDOWS
default-group-policy Group1
authorization-required
tunnel-group VPN_RA webvpn-attributes
authentication aaa certificate
group-alias RA enable

使用者必須輸入他們的 AD 使用者名和密碼以及 Duo 的二級密碼才能連接。機器上還必須有有效的證書。

Cisco ASA 路由器支持每個配置文件一個身份驗證組。因此,如果您的 VPN 連接配置文件設置為使用名為 VPN 的身份驗證組,那麼當使用者連接到 VPN 時,他們將對 VPN 身份驗證組中的第一個可用伺服器進行身份驗證。

您可以為備份身份驗證源設置 LOCAL,但僅當主身份驗證源不可用時才可用。

除了身份驗證之外,您還可以要求客戶端證書。

如果您希望使用 OTP 或其他一些 2FA 方案,請在 Cisco 論壇上進行精彩討論。

https://supportforums.cisco.com/discussion/11691351/two-factor-authentication-recommendations-asa-5510-vpn

引用自:https://serverfault.com/questions/780054