很多公司通过ASA防火墙实现×××用户远程访问公司内网,但默认情况下需要为每个用户分配一个×××账号。

而企业内部人员都有自己的域账号,如果能使用域账号访问×××,这样会大大改善用户体验。

以下我们通过LDAP实现ASA与AD域的集中认证。

LDAP(Lightweight Directory Access Protocol),轻量级目录访问协议。它是目录访问协议一个标准,基于X.500 标准且可以根据需要定制。

LDAP 目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表等等。在企业范围内实现LDAP 可以让几乎所有应用程序从LDAP 目录中获取信息。

下面结合一个网络拓扑来看下是如何实现的

公司内部域sr.com,192.168.1.0/24

ASA5520集防火墙、×××网关为一体,外部用户需要远程访问

需求:远程用户可以使用域用户访问×××

clip_p_w_picpath002

实现过程:

Step1:在ASA上添加LDAP认证类型的aaa-server

aaa-server sr.com protocol ldap //指定防火墙与AD中使用的协议

max-failed-attempts 2

aaa-server sr.com (inside) host 192.168.1.80 //指定AAA服务器地址

ldap-base-dn cn=users,dc=sr,dc=com //指定LDAP在域中搜索位置

ldap-scope subtree //在AD中查询的范围

ldap-login-password ***** //指定管理员密码

ldap-login-dn cn=ldadmin,cn=users,dc=sr,dc=com //管理账户对象在AD中LDAP路径(注意该账户密码为永不过期)

server-type microsoft //指定服务器的类型

 

Step2:进行AAA测试: //测试账户是否成功

ciscoasa# test aaa-server authentication sr.com username ldadmin password 123.com

Server IP Address or name: 192.168.1.80

INFO: Attempting Authentication test to IP address <192.168.1.80> (timeout: 12 seconds)

INFO: Authentication Successful

 

Step3.在域控的AD中添加帐号并测试登录.

测试正常。

实现集中身份验证还有其它一些方案,如Radius服务器,radius是一种专门的认证协议,且是工业标准,支持多样的认证方式(除pap,chap,还支持EAP(扩展认证协议))。感兴趣的可以研究下!