问题描述
我负责使用 OpenLDAP 服务器设置 Cisco ASA 5xxx 防火墙以在 VPN 中进行身份验证。到目前为止一切正常。
但是,我正在尝试检查用户的“memberOf”属性以评估他是否能够连接到连接配置文件隧道。事实上,我有一些连接配置文件,我想阻止用户访问每个配置文件。根据 memberOf 值,我想允许或不允许用户访问隧道。于是我开始使用DAP规则来检查被认证用户的memberOf ldap属性。这个 memberOf 是我的 OpenLDAP 服务器中的一个叠加层,并且有很多 memberOf 属性。
我能够根据“ldap.uid”过滤规则并根据用户名拒绝访问。如果我尝试使用“ldap.memberOf”进行过滤,它将不再起作用。就像 cisco DAP 规则不识别此特定属性或其值一样。我不理解为什么 :/。 该属性的格式为:“cn=myGroup,ou=Groups,dc=xxxx,dc=yyyy”。我确实复制/粘贴了防火墙 DAP 规则中的值。
我使用 ASDM 来管理防火墙,但我不熟悉它的命令行...
如果有人想将其与“memberOf”一起使用,我将不胜感激:D
提前致谢
解决方法
好的,我想出了解决方案:
由于 memberOf 被认为是可选的,因此不会返回给 CISCO ASA 的请求。例如,如果我使用属性“description”作为连接配置文件过滤器,它会返回到 ASA(如在 ldapsearch 中)并且它会起作用。此属性描述可多次使用,并可用作快速修复。但是,最好为用户创建一个自定义 objectClass,带有自定义属性,确保它由 ldap 返回(没有 ldapsearch 的选项“+”)。
也许我的回答不清楚,因为它非常具体。如果你们中的一个人需要帮助,我可以通过详细说明我的答案来提供帮助:-)