Cisco ISE — можно ли отправить группу AD в RADIUS access accept?
-
Мы пытаемся настроить аутентификацию в Grafana через Cisco ISE и протокол RADIUS с помощью OAuth, и нам удалось добиться этого, используя атрибуты словаря Cisco AV-Pair. Чтобы детально авторизовать доступ к различным панелям мониторинга, мне нужно, чтобы в Grafana отправлялся другой атрибут, например, группа AD, к которой принадлежит пользователь, который выполнил вход. Вопрос: возможно ли отправить группу AD, к которой принадлежит пользователь-администратор, которая используется в политике авторизации, как часть пакета RADIUS для принятия доступа, так же, как отправляется атрибут словаря? -- Jesus
-
Да, вы можете подключиться к домену AD, чтобы ISE мог получать атрибуты через LDAP. Когда я пытался сделать то же самое через AD, мне не удалось вернуть эти группы AD в Access-Accept.
-
Привет
[, @JPavonM] Профиль авторизации имеет ограниченную поддержку для возврата информации, специфичной для AD. Но я обнаружил, что LDAP-соединение с тем же контроллером домена AD может дать вам нужный результат. ![ArneBier_1-1760389897203.png] Я создал правило политики авторизации, которое использует вышеуказанный профиль, если пользователь является членом группы NetAdmins AD. ![ArneBier_2-1760389983289.png] ![ArneBier_0-1760389850960.png] Может быть, стоит попробовать — настройка интеграции LDAP иногда бывает немного сложной.
-
Еще один момент, который следует учитывать, но только в том случае, если у вас нет очень большого количества различных рекламных групп и разрешений, которыми необходимо управлять. Создайте набор различных правил авторизации, чтобы в случае соответствия пользователя рекламной группе «NetAdm» вы отправляли настраиваемый атрибут, включающий «NetAdm», и так далее для других групп. Если у вас есть только 5–10 различных групп, которым необходимо предоставить доступ таким образом, это вполне выполнимо. ---
Пожалуйста, отмечайте полезные ответы и решения -
@Jonatan Jonasson
, именно так я и поступаю в данный момент, но когда количество групп AD увеличивается, количество профилей авторизации становится неуправляемым. @Arne Bier
, вы имеете в виду настройку LDAP параллельно с обычной точкой присоединения AD? -
Всем привет! Можно ли отправить все группы AD из ISE в FTD 7.4 для авторизации пользователей VPN и назначить ACL с помощью записей динамической политики доступа? Рабочий процесс выглядит следующим образом: 1. Пользователь проходит аутентификацию с помощью ISE. 2. ISE проверяет состояние и авторизует, отправляя также ВСЕ группы AD в FTD, 3. затем FTD имеет записи DAP для каждой группы, чтобы назначить сводные ACL для каждой полученной группы. Все работает нормально при использовании только прямого LDAP AAA, но не работает в сочетании с ISE Posture. Буду благодарен за любую помощь! Спасибо!
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти