-1

我负责设置一个带有 OpenLDAP 服务器的 Cisco ASA 5xxx 防火墙,用于在 VPN 中进行身份验证。到目前为止一切正常。

但是,我正在尝试检查用户的“memberOf”属性以评估他是否能够连接到连接配置文件隧道。事实上,我有一些连接配置文件,我想阻止用户访问它们中的每一个。根据 memberOf 值,我想允许或不允许用户访问隧道。所以我开始使用 DAP 规则来检查被认证用户的 memberOf ldap 属性。这个 memberOf 是我的 OpenLDAP 服务器中的一个覆盖,并且有许多 memberOf 属性。

我能够根据“ldap.uid”过滤规则并根据用户名拒绝访问。如果我尝试使用“ldap.memberOf”进行过滤,它就不再起作用了。就像 cisco DAP 规则无法识别此特定属性或其值一样。我不懂为什么 :/。此属性的格式为:“cn=myGroup,ou=Groups,dc=xxxx,dc=yyyy”。我确实复制/粘贴了防火墙 DAP 规则中的值。

我使用 ASDM 来管理防火墙,但我不熟悉它的命令行...

如果有人想使它与“memberOf”一起使用,我将非常感激:D

先感谢您

4

1 回答 1

0

好的,我想出了解决方案:

由于 memberOf 被认为是可选的,因此它不会返回给 CISCO ASA 的请求。例如,如果我使用属性“description”作为连接配置文件过滤器,它会返回到 ASA(如在 ldapsearch 中)并且它将起作用。此属性描述可以多次使用,并且可以用作快速修复。但是,最好使用自定义属性创建用户的自定义 objectClass,确保它由 ldap 返回(没有 ldapsearch 的选项“+”)。

也许我的回答不清楚,因为它确实很具体。如果你们中的一个人需要帮助,我可以通过详细说明我的答案来提供帮助:-)

于 2021-05-20T09:58:26.470 回答