Radius ancora lui...

[Netrunner]

Ciao a tutti voi!

E' il mio primo post e quindi mi presento... Sono Stefano, 28 anni e lavoro come sistemsta da qualche anno in un'azienda informatica del Piemonte.

Chiaramente ho subito un problemino da sottoporvi...
Come ho scritto ho dei guai con l'autenticazione su un ASA 5505. Mi spiego meglio.

Ho un server win 2003 SBS con IIS che fa girare un sito web e uno ftp. La macchina è chiaramente il domain controller.
Per filtrare i continui attacchi DOS all'ftp, sull'ASA 5505 ho attivato l'autenticazione tramite AAA.
Ho creato un AAA server group che usa il protocollo NT Domain. All'interno di questo server group ho inserito il domain controller, fornendo IP e porta 139.
Cliccando su "test" dalla ASDM funziona.
Ho creato una regola AAA che dice:
source "any", destination "IP Pubblico del mio server", "authenticate", "aaaservergroupname", sul solo protocollo FTP.
Il problema è: la richiesta viene ignorata, come se non ci fosse.
Se creo la stessa regola per l'http, con http funziona.
Se tolgo la ACL che mi fa entrare sull'ftp non funziona più l'accesso.

Come risolvo? Qualcuno ha un'idea?

Spero di essermi spiegato umanamente, se avete dubbi chiarisco...


bye,

[zot]

A occhio e croce non stai usando Radius ma LDAP,prova ad usare radius ed ad abilitare IAS sul 2003 SBS ... Questo tenendo presente che parecchie IOS,ultimamente ,stanno uscendo con un pò di problemi.

[Netrunner]

In realtà non è LDAP, perché l'ASA ha la possibilità di scegliere sia LDAP che NT Domain, quindi presumo che in qualcosa si differenzino.
Faccio qualche prova utilizzando l'LDAP, vediamo che cosa succede.


bye,

[zot]

Ma Radius no??

[Netrunner]

Sì sì, ma prima di installare IAS sul server devo avere autorizzazione... invece per provare l'LDAP non mi serve nulla.


bye,

[Netrunner]

Ho messo Radius sull'asa, puntando all'IP interno del server.
Protocollo usato RADIUS

Ho creato dentro IAS un client radius, che punta all'IP dell'ASA.
Protocollo usato RADIUS, Client-Fornitore: Cisco o Radius standard, provati entrambi

dall'interno dell'ASDM mi dice invalid password quando clicco su test, quando sono certo che la password è corretta...

Cosa non va?


bye,

[Netrunner]

Ok, ho risolto il problema radius.

Adesso dall'ADSM riesco tramite la funzione test, ad autenticarmi sul domain controller su cui faccio girare IAS.

Da internet però, se faccio ftp://indirizzo_IP_pubblico rifiuta il login, chiaramente fornendo nome utente e password corrette.
L'asa ora è configurato così:

- un AAA server group che ha dentro il server RADIUS (domain ctrl 2003 sbs);
- una regola Authenticate che usa il gruppo AAA di cui sopra, da any a ip pubblico relativo alla nat statica del server, servizio ftp
- una ACL e una nat relative al server su cui gira il server ftp

Immagino che da internet io, prima di lanciare la connessione ftp, debba lanciare una sessione di autenticazione verso l'asa... Dopo che mi sono autenticato correttamente allora vado di ftp... O sto bestemmiando?


bye,

[zot]

Non ti posso aiutare più di tanto ma comunque l'ASA dovrebbe passare l'autenticazione a IAS il problema e come ripassa il flusso FTP al server FTP...non è che hai problemi con FTP attivo/passivo?, hai visto qui http://www.elifulkerson.com/articles/ci ... nippet.php

[Netrunner]

Ciao,

beh in realtà non lo so, ad ogni modo se la regola AAA è disattivata l'FTP funziona perfettamente, se la attivo invece non si entra nell'FTP... Cosa strana appunto è che facendo il test dall'interno dell'ASA l'auth funziona... AIUTOOOO!!!


bye,