有人可以给我一个path(或链接到文档/如何)在Cisco ASA for RemoteVPN(使用Anyconnect客户端)上实现双因素身份validation(LDAP密码+证书)?
目前我们的思科ASA(5505,8.4.3)configuration为使用OpenLDAP服务器进行密码authentication。 我们使用RemoteVPN与AnyConnect客户端(SSL VPN)。 我想将证书添加到authentication/授权过程中。 我不想使用任何外部证书颁发机构。 我甚至可能不需要每个用户的个人证书。
我需要的仅仅是检查用户是否具有有效的证书之前/之后/期间的身份validation/授权LDAP的密码。
说实话,现在我不清楚它应该如何工作。
1)首先,我不明白,应该在哪里configurationCisco ASA。
我应该通过我的OpenLDAP服务器为我的隧道组启用证书和aaa身份validation“(config-tunnel-webvpn)#authentication aaa certificate”吗? 那么它将如何工作? OpenLDAP是否支持证书validation?
或者我需要使用辅助身份validation来添加证书? 我需要然后configuration一些服务器,然后进行二次authentication?
或者我需要进行其他configuration,如CA权限? 那么CA权威机构如何从OpenLDAP获取用户名呢? 或者我可以为所有用户制作一个证书(这样的安全级别对我的公司来说是完全够用的)?
2)证书validation过程如何工作? 思科ASA如何validation证书? 是不是像openssl私人/公共密钥或不? 我可以在ASA上设置本地CA权限,但仍然可以从OpenLDAP获得所有用户吗? 它会从证书中提取用户名还是以某种方式使用证书本身进行身份validation?
非常感谢您提前。
不是基于电话的身份validation选项? 我更喜欢这个,因为它比证书要less得多的维护负担。 例如,为了让新来的人使用VPN,只需在LDAP中填写自己的电话号码,然后将他/她添加到启用了VPN的用户组(如果您进行了这种types的过滤),就是这样。 鉴于证书你必须生成一个证书,然后把它交给用户,然后用户需要照顾它。 OTOH手机对于每个人来说都是非常自然的。
所以我用基于电话的双因素身份validation,也许它也会以某种方式帮助你。
思科AnyConnect与Active Directory和Azure多因素validation
这样做相当容易,你可以从GUI中完成。 但是它是基于AD的。 虽然MSAF也支持LDAP,所以它也应该可以做到。 唯一需要注意的是,Azure电话费用为1.4美元/用户/月或1.4 / 10美元。 我会说这是微不足道的。