取消
显示结果 
搜索替代 
您的意思是: 
cancel
14031
查看次数
10
有帮助
15
回复

VPN 账号问题

seasonli72658
Spotlight
Spotlight
我们现在用的是ASA5515的IPsec,在外网通过VPN访问公司内网的业务,这个账号是申请的审批后可以开通,但是是有时间限制的,每个账号开通的时间不同,我现在没办法来管理每个账号的使用期限,大家有什么好的方法可以来管理每个VPN账号的使用期限呢。
1 个已接受解答

已接受的解答

liu_zhimin
Spotlight
Spotlight
seasonli72658 发表于 2019-10-15 18:06
有例子吗发给我参考一下

请参考附件的设备配置

在原帖中查看解决方案

15 条回复15

liu_zhimin
Spotlight
Spotlight
seasonli72658 发表于 2019-10-15 18:06
有例子吗发给我参考一下

请参考附件的设备配置

YilinChen
Spotlight
Spotlight
关键问题:账号创建是在ASA防火墙本地的配置文件里,还是和Radius/LDAP 第三方集成?
1、如果账号是本地的,那没有自动化解决方案,一切人工,你做个表格,记录所有账号开通相关信息,定时定期人工更新检查,到期了的人工登陆设备配置修改;
2、如果是和第三方集成,无论是Radius服务或是LDAP(WINDOWS域)都能实现自动化,到期前自动提醒、自助修改密码,只看你愿不愿意花时间精力去调试集成了

seasonli72658
Spotlight
Spotlight
YilinChen 发表于 2019-10-12 10:28
关键问题:账号创建是在ASA防火墙本地的配置文件里,还是和Radius/LDAP 第三方集成?
1、如果账号是本地 ...

windows域的要怎么设置才可以提醒呢,或者到期自动关闭

Rockyw
Spotlight
Spotlight
楼主可以参考一下下面的文档
Windows 2008年NP服务器(活动目录)的ASA VPN用户认证有RADIUS配置示例的
https://www.cisco.com/c/zh_cn/support/docs/security/asa-5500-x-series-next-generation-firewalls/117641-config-asa-00.html
ASA防火墙实现windows AD域LDAP认证
http://www.voidcn.com/article/p-vsjorayg-o.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

seasonli72658
Spotlight
Spotlight
Rocky 发表于 2019-10-14 23:13
楼主可以参考一下下面的文档
Windows 2008年NP服务器(活动目录)的ASA VPN用户认证有RADIUS配置示例的
htt ...

RADIUS 可以限制开立账号的使用时限吗,例如我今天开的,只让这个账号使用一周一周后失效

完全感觉
Spotlight
Spotlight
seasonli72658 发表于 2019-10-12 16:01
windows域的要怎么设置才可以提醒呢,或者到期自动关闭

在Windows的AD用户底下有账号过期属性,配一下就行,默认是永不过期

liu_zhimin
Spotlight
Spotlight
建议你在ASA本地创建SSL VPN账号,每个SSL VPN账号设置对应的固定虚拟IP地址。对应的SSL VPN账号虚拟IP关联对应的访问内部资源的策略,ASA可以针对策略设置到期时间,这样就可以满足你的需求,即使到期后VPN还能登陆,但是访问不了资源了,从而实现了安全管控和安全管理。目前我单位就是这样做的,效果不错。

seasonli72658
Spotlight
Spotlight
liu.zhimin 发表于 2019-10-15 17:58
建议你在ASA本地创建SSL VPN账号,每个SSL VPN账号设置对应的固定虚拟IP地址。对应的SSL VPN账号虚拟IP关联 ...

有例子吗发给我参考一下

Rockyw
Spotlight
Spotlight
seasonli72658 发表于 2019-10-15 11:28
RADIUS 可以限制开立账号的使用时限吗,例如我今天开的,只让这个账号使用一周一周后失效

freeradius设置过期时间
http://whobt.com/linux/59.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Rockyw
Spotlight
Spotlight
seasonli72658 发表于 2019-10-15 11:28
RADIUS 可以限制开立账号的使用时限吗,例如我今天开的,只让这个账号使用一周一周后失效

下面的文档也可以参考一下
请教下 VPN 大多都是用什么方案做用户有效期管理?
https://www.v2ex.com/t/129372
TACACS+简单说明
https://blog.csdn.net/linaux_mctc/article/details/78957658
第八节:Daloradius设置用户有效期
http://www.beijinghuayu.com.cn/daloradius%E8%AE%BE%E7%BD%AE%E7%94%A8%E6%88%B7%E6%9C%89%E6%95%88%E6%9C%9F/
【强强对接|第二季】第1篇 防火墙与RADIUS认证服务器对接(含对接指导和管理员RADIUS认证举例)
https://forum.huawei.com/enterprise/zh/forum.php?mod=viewthread&tid=406439
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

robortlin
Spotlight
Spotlight
学习了:(:(

seasonli72658
Spotlight
Spotlight
YilinChen 发表于 2019-10-12 10:28
关键问题:账号创建是在ASA防火墙本地的配置文件里,还是和Radius/LDAP 第三方集成?
1、如果账号是本地 ...

你好我现在用freeradius+daloradius实现了一个界面化的系统,这个我怎么和CISCO防火墙集成来管理VPN的账号呢。因为您这面之前提到过用radius来实现管理VPN账号

seasonli72658
Spotlight
Spotlight
Rocky 发表于 2019-10-15 22:52
freeradius设置过期时间
http://whobt.com/linux/59.html

你好我现在用freeradius+daloradius实现了一个界面化的系统,这个我怎么和CISCO防火墙集成来管理VPN的账号呢。

Rockyw
Spotlight
Spotlight
seasonli72658 发表于 2020-3-5 16:20
你好我现在用freeradius+daloradius实现了一个界面化的系统,这个我怎么和CISCO防火墙集成来管理VPN的账 ...

看看下面这篇文档有没有帮助
FreeRADIUS Used for Administrative Access on Cisco IOS Configuration Example
https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/116291-configure-freeradius-00.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接