назначение групповой политики RA VPN через LDAP или Radius?

Chess Norris

Здравствуйте, Я помогаю клиенту перейти с ASA 5555-X на FTD 3105, управляемый FMC. Клиент использует локальные имена пользователей в ASA, а затем назначает групповые политики с VPN-фильтром на основе имени пользователя.
Конфигурация в ASA выглядит примерно так групповая политика GP-XXX внутренняя
групповая политика GP-XXX атрибуты
vpn-filter значение VPN-XXX
vpn-tunnel-protocol ssl-client ssl-clientless
!
имя пользователя aaaa пароль xxxxxxxxxxxx зашифрованное
имя пользователя aaaa атрибуты
vpn-group-policy GP-XXX Я полагаю, что FTD не поддерживает назначение групповых политик для локальных пользователей, поэтому мне нужно найти альтернативное решение.
Если у клиента уже есть локальный сервер AD, я думаю, что использование его для аутентификации и назначения групповых политик будет самым простым решением. Однако я не уверен, следует ли использовать Radius (NPS) или LDAP с сопоставлением атрибутов? Я полагаю, что оба метода должны работать, но каковы преимущества/недостатки этих двух методов? Спасибо /Chess

Rob Ingram

@Chess Norris
Лично я предпочитаю RADIUS (в идеале ISE), так как RADIUS позволяет применять авторизацию на детальном уровне. При использовании FMC LDAP с картами атрибутов LDAP позволяет применять большинство атрибутов из заранее определенного списка. ![RobIngram_0-1771492644008.png] Судя по вашему сценарию, вам не требуется ничего сложного, поэтому LDAP или RADIUS удовлетворят вашим требованиям. Преимущество использования LDAP заключается в том, что вам не требуется внешний сервер RADIUS (NPS), а графический интерфейс FMC будет более удобным для пользователя по сравнению с настройкой NPS и определением, какие avps необходимо настроить. Полезное видео —
https://video.cisco.com/detail/video/6331029315112

Chess Norris

Спасибо
[, @Rob Ingram.]