Как объединить несколько списков контроля доступа DAP в FTD 7.4 с помощью ISE Posture?
-
Привет всем, Я столкнулся с проблемой поведения DAP (Dynamic Access Policy) в FTD 7.4 при переходе с прямого LDAP на ISE (RADIUS). Текущая настройка и цель: Пользователи проходят аутентификацию через ISE (AnyConnect VPN).
ISE выполняет оценку состояния (оценка состояния является обязательной, поэтому я должен использовать ISE для авторизации).
Мне нужно отправить
ВСЕ
группы Active Directory пользователя из ISE в FTD.
На стороне FTD у меня есть несколько записей DAP (по одной для каждой группы AD), каждая из которых назначает определенный сетевой ACL. Проблема:
когда я использую прямой
LDAP AAA
, DAP работает отлично — он видит массив
memberOf
, сопоставляет несколько записей DAP и агрегирует полученные списки доступа (объединяя разрешения). Однако, когда я использую
ISE
, я не могу найти способ передать группы AD, чтобы DAP обрабатывал их как многозначный массив для агрегирования. Если я отправляю их в виде одной строки (например, в атрибуте 25 или cisco-av-pair), DAP сопоставляет записи, но часто не может правильно агрегировать ACL по сравнению с нативным поведением LDAP memberOf. Вопросы: Как лучше всего отправить полный список групп AD из ISE, чтобы движок FTD LINA заполнил дерево
aaa.radius
для сопоставления нескольких записей DAP?
Должен ли я использовать несколько атрибутов
cisco-av-pair
или определенный формат в атрибуте
Class
?
Существуют ли известные ограничения для агрегации ACL, когда источником является RADIUS, а не LDAP? Буду очень благодарен за любую помощь или рабочие примеры профиля авторизации ISE для этого случая использования! P.S.
Примечание: я знаю о SGT, но на данный момент я специально ищу решение с помощью DAP и сетевых ACL из-за ограничений инфраструктуры. -
Вместо этого использовал Redirectionless Posture + Identity Firewall, сработало лучше. Спасибо.
-
Вы прочитали эту ветку, чтобы получить полезную информацию? [) BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти