我的组织有一个Cisco ASA 5510,我已经作为我们办公室的防火墙/网关。 远程用户会寻找的大部分资源都存在于里面。 我已经实施了一般的交易 – 基本内部networking与出站NAT,一个主要的外部接口与公共服务的PAT池中的一些辅助公共IP,一对站点到另一个分支的站点到站点IPSec链接等。而我正在使用VPN。
我有WebVPN(无客户端SSL VPN)工作,甚至遍历站点到站点的链接。 目前,我正在离开一个传统的OpenVPN AS来实现胖客户端VPN。 我想要做的是对所有VPN的身份validation方法进行标准化,然后切换到Cisco的IPSec厚VPN服务器。
我想弄清楚这些VPN用户(胖客户端和无客户端)的身份validation的真正可能性。 我的组织使用Google Apps,我们已经使用dotnetopenauth来validation用户的内部服务。 我希望能够为瘦和厚的VPN做同样的事情。
或者,使用RSA公钥对(ssh-keygentypes)的基于签名的解决scheme将有助于识别用户@硬件。
我试图摆脱传统的用户名/密码身份validation,特别是如果它是思科内部(只是另一个密码设置pipe理,用户忘记)。 我知道我可以映射到现有的LDAP服务器上,但是我们只有大约10%的用户群(主要是Linux shell访问的开发者)创build了LDAP帐户。
我想我正在寻找的是一个中间件,思科认为它是一个LDAP服务器,但将与用户现有的OpenID标识接口。 我在思科看到的任何东西都表明它可以在本地完成这一任务。 但RSA公钥将是亚军,并且比独立的甚至LDAPauthentication要好得多。 这里真的有用吗?
我不认为你将能够使用OpenID,但在大多数情况下,ASA将与Radius或Tacacs +服务器(例如Cisco ACS)进行交互,并且此服务器将与您的身份validation器(Active Directory,RSA服务器,… )。
Radius / Tacacs +服务器就像一个authentication代理。
思科ASA将支持许多AAA服务器组协议,包括LDAP和NTLM v1(NT域)。 configuration指南链接,如果任何人有兴趣。
但是,由于您已经运行了无客户端VPN,因此您应该可以使用相同的AAA服务器组来进行客户端VPN连接。 在ASDM中,连接configuration文件应列在无客户端和客户端下。
在ASA上一个有趣的authentication方法是“ HTTP Forms ”。 它从用户处获取用户名/密码并将其提交给任意网站,然后在响应中查找适当的cookie。 这可能适合OpenID网站,但我从来没有尝试过。
在cisco.com上有一些关于使用PKI进行VPN身份validation的文档 ,但是我没有看到任何基于RSA密钥对的身份validation。
OpenID-LDAP似乎与你所要做的相反。
喝完咖啡之后,我认为你要做的事情有一个固有的问题。 ASA的目的是做authentication(确认你是谁)和授权(确认你有什么权限),但是使用OpenIDauthentication已经完成,你只是做授权。