forum.opennet.ru

Составление сообщения

Исходное сообщение

"Настройка AnyConnect Client VPN"
Отправлено RussianSuperAdmin, 04-Мрт-24 08:21

> Добрый день.
> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
> сеть, который будет отказывать в установлении соединения по условию.
> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
> клиентской части.
> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
> Заранее спасибо!
Если внутри сети есть домен, то можно поднять RADIUS-сервер. В терминах windows это будет network policy server.
Туда нужно отдать группы пользователей, которым разрешен вход через vpn.
ASA5540 умеет проверять пользователей на Radius-сервере. В ASDM есть специальный мастер.
Кроме того, опять же если есть домен, то можно поднять службу сертификатов и выпускать сертификаты на пользователей или на группы. Это позволит сделать дополнительную проверку на актуальность сертификата. Своеобразная 2FA. Из сертификата пользователя в клиента можно подбрасывать имя пользователя. После входа пользователя можно доменной политикой обновить ему сертификат. Или например если это пользователь подрядчика, то по завершении работ по договору можно отозвать сертификат. Вобщем гибко все. И без DARTов и Umbrella.

Исходное сообщение
"Настройка AnyConnect Client VPN" Отправлено RussianSuperAdmin, 04-Мрт-24 08:21
> Добрый день. > Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную > сеть, который будет отказывать в установлении соединения по условию. > Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости > клиентской части. > Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть? > Заранее спасибо! Если внутри сети есть домен, то можно поднять RADIUS-сервер. В терминах windows это будет network policy server. Туда нужно отдать группы пользователей, которым разрешен вход через vpn. ASA5540 умеет проверять пользователей на Radius-сервере. В ASDM есть специальный мастер. Кроме того, опять же если есть домен, то можно поднять службу сертификатов и выпускать сертификаты на пользователей или на группы. Это позволит сделать дополнительную проверку на актуальность сертификата. Своеобразная 2FA. Из сертификата пользователя в клиента можно подбрасывать имя пользователя. После входа пользователя можно доменной политикой обновить ему сертификат. Или например если это пользователь подрядчика, то по завершении работ по договору можно отозвать сертификат. Вобщем гибко все. И без DARTов и Umbrella.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Добрый день.
>> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную 
>> сеть, который будет отказывать в установлении соединения по условию.
>> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости 
>> клиентской части.
>> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
>> Заранее спасибо!

> Если внутри сети есть домен, то можно поднять RADIUS-сервер. В терминах windows 
> это будет network policy server.
> Туда нужно отдать группы пользователей, которым разрешен вход через vpn.
> ASA5540 умеет проверять пользователей на Radius-сервере. В ASDM есть специальный мастер. 
 
> Кроме того, опять же если есть домен, то можно поднять службу сертификатов 
> и выпускать сертификаты на пользователей или на группы. Это позволит сделать 
> дополнительную проверку на актуальность сертификата. Своеобразная 2FA. Из сертификата 
> пользователя в клиента можно подбрасывать имя пользователя. После входа пользователя можно 
> доменной политикой обновить ему сертификат. Или например если это пользователь подрядчика, 
> то по завершении работ по договору можно отозвать сертификат. Вобщем гибко 
> все. И без DARTов и Umbrella.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру