ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限

  • A+
所属分类:安全 网络

在很多企业中,需要实现不同的人员有不同的VPN访问权限,之前有种方法是在ASA上定义不同的VPN tunnel Group,用户在连接anyconnect客户端时下拉选择不同的组来实现不同的VPN访问。
下面这个案例中使用的是ASA和ISE结合,以简化客户端的访问。不用下拉选择不同的组来实现不同的用户有不同的VPN权限,

ASA配置部分
1.分别定义企业员工和供应商连接VPN后能访问的内部资源

access-list EmployeeAccess remark "access for employee"
access-list EmployeeAccesss extended permit tcp 172.16.254.0 255.255.255.128 host 172.16.1.x    //企业员工可以访问172.16.1.X的服务器
access-list SupplierAccess remark "access for supplier"
access-list SupplierAccess extended permit tcp 172.16.254.128 255.255.255.128 host 172.16.2.x  //供应商可访问172.16.2.X的服务器

2.分别定义企业员工和供应商连接VPN后的地址池

ip local pool vpn_pool1 172.16.254.1-172.16.254.127mask 255.255.255.128
ip local pool vpn_pool2 172.16.254.128-172.16.254.254mask 255.255.255.128

3.在ASA上配置 针对企业员工 EmployeeAccessGRP和供应商SupplierAccessGRP  的二个group-policy(注册这二个GROUP的名字,后面会在ISE时面调用

group-policy EmployeeAccessGRP internal
group-policy EmployeeAccessGRP attributes
dns-server value 172.16.8.16  172.16.8.17
vpn-simultaneous-logins 1
vpn-idle-timeout 30
vpn-session-timeout 720
vpn-filter value EmployeeAccess
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
default-domain value abc.com
address-pools value vpn_pool1
webvpn
port-forward disable
anyconnect ssl compression deflate
anyconnect profiles value anyconnectprofile type user
anyconnect ask enable default anyconnect timeout 30
group-policy SupplierAccessGRP internal
group-policy SupplierAccessGRP attributes
dns-server value 172.16.8.16  172.16.8.17
vpn-simultaneous-logins 1
vpn-idle-timeout 30
vpn-session-timeout 720
vpn-filter value SupplierAccess
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
default-domain value abc.com
address-pools value vpn_pool2
webvpn
port-forward disable
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect ssl compression deflate
anyconnect dtls compression lzs
anyconnect profiles value anyconnectprofile type user

4.在ASA配置RADIUS服务器(ISE的IP地址)

aaa-server ISE_Radius protocol radius
aaa-server ISE_Radius (management) host 172.16.16.136
key *****
aaa-server ISE_Radius (management) host 172.16.16.136
key *****

5 webvpn   // 启用ASA的WebVPN

enable outside tls-only
anyconnect image disk0:/anyconnect-win-4.1.01065-k9.pkg 1
anyconnect profiles anyconnectprofile disk0:/anyconnectprofile.xml
anyconnect enable
cache

tunnel-group DefaultWEBVPNGroup general-attributes  //调用上面定义的RADIUS认证服务器
authentication-server-group CSC_Radius

6.ISE配置部分

1. 添加ASA到ISE为RADIUS客户端
Administration---Network Resourece ---Network device ,然后add,填写ASA的MGT IP和RADIUS的share key

ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限

2.添加 Authorization profile
Policy --- Policy Elements --- Result --- Authorization --- Authorization profile --- add

ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限

分别添加名为 EmployeeAccess 和 SupplierAccess 的 Authorization profile

ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限

在 Common task 的 ASA VPN 后面填入在 ASA 上定义的 group policy : EmployeeAccessGRP和 SupplierAccessGRP (这个名字一定要和 ASA 上的一样)

ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限
ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限

4.添加认证的授权策略 Policy Sets
Policy --- Policy Elements --- Add ,添加名字为 VPNAccess 的认证策略
此例中,我选的条件为:protocol=radius 和 device type=Firewall

ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限

5.添加授权策略
在添加此策略之前,需要先将ISE 加入企业内部的域

Administration --- External Identity Sources --- Active Directory --- add

ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限

加入域后,点AD1 ,然后在 AD group 从 AD 的安全组中添加企业员工和供应商 VPN 帐号所在的安全组

ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限

然后添加授权策略:

ASA 和ISE集成,实现不现的AD用户组有不同的VPN访问权限
  • 我的微信
  • 欢迎大家,与我交流,非诚勿扰谢谢
  • weinxin
  • 奕知伴解 微信公众号
  • 扫一扫关注,从此不迷路。
  • weinxin
刘銮奕

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: