ASA Anyconnect e DAP

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Ciao a tutti,
stò configurando un accesso VPN sul'ASA (ver. 8.4(3) ) e mi mi stavo chiedendo se posso configurare anche degli "if" nella configurazione dei gruppi nel DAP.
Mi spiego meglio: ho configurato il DAP per il match sui gruppi di active directory ma ho notato che tutt'ora che un gruppo matcha per lui non fà differenza se l'utente appartiene a GRUPPO1 o GRUPPO2, tutt'ora che l'utente conosce la password ed è in uno dei gruppi che possono accedere via webvpn il DAP consente l'accesso.
Il chè si traduce in un problema di sicurezza per le acl; se io metto un'acl restrittiva sul GROUPPO1 e un utente smaliziato impara che GRUPPO2 non ha queste restrizioni basta che nella stringa di login anyconnect specifichi /GRUPPO2 e aggira le mie acl.

Stò sbagliando qualcosa nella configurazione o è possibile dire che un utente può far parte solo di un determinato gruppo?

Grazie in anticipo
Rizio
Si vis pacem para bellum
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Faccio un UP di questo post perchè mi interessa e non ho ancora trovato risposta.
Come faccio a fare in modo che un utente faccia il match solo su un gruppo e non su tutti gli altri configurati sull'ASA?

Tnk's
Rizio
Si vis pacem para bellum
Rispondi