>

Tuesday 18 October 2011

ASA LDAP Authentication

11:01  omyn  No comments

Saya rasa hampir semua tutorial yang ada di internet sudah cukup sebagai panduan dalam implementasi. Saya sendiri mengacu kedalam web cisco untuk hal ini. Karena selain ASA adalah product cisco, juga karena dalam hal ini, tutorial yang ada di web cisco cukup mudah di mengerti.  Maka dari itu saya saya hanya akan membagikan config penting yang ada di ASA dan sedikit tips yang mungkin akan berguna bagi kita.


aaa-server LDAP_SVR_GROUP protocol ldap
aaa-server LDAP_SVR_GROUP host 2.2.2.3
ldap-base-dn CN=Users,DC=omyn,DC=com
ldap-scope subtree
ldap-login-password *
ldap-login-dn CN=omyn,CN=Users,DC=omyn,DC=com
server-type microsoft
aaa-server LDAP_SRV_GROUP protocol ldap

ldap attribute-map CISCOMAP
map-name memberOf IETF-Radius-Class
map-value memberOf  CN=Users,DC=omyn,DC=com CISCOMAP

Untuk melakukan koneksi ke LDAP, baris perintah diatas sudah cukup.

Baris pertama, kita mendefinisikan nama aaa-server dan protocol yang akan dipake. Baris kedua kita memberitahukan di ASA alamat IP  LDAP server atau dalam kasus ini adalah IP dari Active Directory (AD). Dan selanjutnya, dan selanjutnya.

Satu hal yang perlu diperhatikan adalah bagian ldap-login-dn, saya awalnya menyangka bawa CN=omyn, ini merupakan username yang ada di AD. Ternyata salah, CN disitu adalah display name yang ada di AD. Saya melakukan kesalahan pada saat saya Implement di salah satu customer. Pada saat saya nge-Lab, kebetulan saya menggunakan nama yang sama antara display name dan login. Sehingga saya tidak memperhatikan hal itu. Jika kita mempunyai akses ke AD akan lebih memudahkan kita dalam melakukan tracing attribute tersebut. Format attribute di AD pun bermacam-macam, kadang ada yang menambahkan organization unit juga dalam account AD nya. contoh : OU=Administrasi, CN=omyn,CN=Users,DC=omyn,DC=com. Bagaimana kita bisa mengetahui format attributenya?

Saya kebetulan waktu itu mempunyai akses ke AD, saya bisa membuka cmd dan mengetikan dsquery, dari situ kita bisa mengetahui attribute dari user yang akan kita gunakan untuk login.

Oiya, hampir lupa, untuk authentikasinya, kita bisa apply di manapun, bisa untuk login ke ASA ataupun VPN. Contoh berikut digunakan jika kita apply sebagai user untuk VPN.
tunnel-group TUNGRP type remote-access
tunnel-group TUNGRP general-attributes
authentication-server-group LDAP_SVR_GROUP
default-group-policy GRPPOL
tunnel-group TUNGRP ipsec-attributes
pre-shared-key *

Posted in:

0 comments:

Post a Comment