Ciao a tutti,
stò configurando un accesso VPN sul'ASA (ver. 8.4(3) ) e mi mi stavo chiedendo se posso configurare anche degli "if" nella configurazione dei gruppi nel DAP.
Mi spiego meglio: ho configurato il DAP per il match sui gruppi di active directory ma ho notato che tutt'ora che un gruppo matcha per lui non fà differenza se l'utente appartiene a GRUPPO1 o GRUPPO2, tutt'ora che l'utente conosce la password ed è in uno dei gruppi che possono accedere via webvpn il DAP consente l'accesso.
Il chè si traduce in un problema di sicurezza per le acl; se io metto un'acl restrittiva sul GROUPPO1 e un utente smaliziato impara che GRUPPO2 non ha queste restrizioni basta che nella stringa di login anyconnect specifichi /GRUPPO2 e aggira le mie acl.
Stò sbagliando qualcosa nella configurazione o è possibile dire che un utente può far parte solo di un determinato gruppo?
Grazie in anticipo
Rizio
ASA Anyconnect e DAP
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Si vis pacem para bellum
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Faccio un UP di questo post perchè mi interessa e non ho ancora trovato risposta.
Come faccio a fare in modo che un utente faccia il match solo su un gruppo e non su tutti gli altri configurati sull'ASA?
Tnk's
Rizio
Come faccio a fare in modo che un utente faccia il match solo su un gruppo e non su tutti gli altri configurati sull'ASA?
Tnk's
Rizio
Si vis pacem para bellum