Ny mpampiasa dia tsy maintsy afaka misintona ny mpanjifa AnyConnect avy amin'ny vavahadin'ny VPN, amin'ny alàlan'ny fanamarinana Login/Password, ny mody AnyConnect rehetra ilaina dia tsy maintsy apetraka ho azy mifanaraka amin'ny politikan'ny mpampiasa;
Ny mpampiasa dia tokony ho afaka mamoaka taratasy fanamarinana ho azy (ho an'ny iray amin'ireo trangan-javatra, ny tena zava-dehibe dia ny famoahana boky sy fampiakarana amin'ny PC), fa nametraka olana mandeha ho azy aho ho an'ny fihetsiketsehana (tsy tara loatra ny fanesorana azy).
Ny fanamarinana fototra dia tsy maintsy atao amin'ny dingana maromaro, voalohany misy fanamarinana fanamarinana miaraka amin'ny famakafakana ny saha ilaina sy ny soatoaviny, avy eo ny fidirana / tenimiafina, amin'ity indray mitoraka ity dia tsy maintsy ampidirina ao amin'ny varavarankely fidirana ny anaran'ny mpampiasa voalaza ao amin'ny saha fanamarinana. Anaran'ny lohahevitra (CN) tsy misy fahaizana manova.
Mila mahazo antoka ianao fa ny fitaovana idiranao dia ny solosaina finday navoakan'ny mpampiasa ho an'ny fidirana lavitra, fa tsy zavatra hafa. (Safidy maromaro no natao mba hanomezana fahafaham-po an'io fepetra io)
Ny toetry ny fitaovana fampifandraisana (amin'ity dingana ity ny PC) dia tokony hojerena amin'ny alàlan'ny fisavana latabatra iray feno amin'ny fepetra takian'ny mpanjifa (famintinana):
Files sy ny fananany;
Fisoratana anarana;
OS patch avy amin'ny lisitra nomena (fampidirana SCCM taty aoriana);
Ny fisian'ny Anti-Virus avy amin'ny mpanamboatra manokana sy ny maha-zava-dehibe ny sonia;
Hetsiky ny tolotra sasany;
Ny fisian'ny programa sasany napetraka;
Hanombohana, manoro hevitra aho fa tena mijery ny fampisehoana horonan-tsary momba ny fampiharana vokatr'izany ianao Youtube (5 minitra).
Ankehitriny aho dia manolotra ny handinika ny antsipirian'ny fampiharana tsy voarakitra ao amin'ny horonan-tsary.
Andao hanomana ny mombamomba ny AnyConnect:
Nanome ohatra momba ny famoronana profil aho teo aloha (amin'ny resaka sakafo ao amin'ny ASDM) ao amin'ny lahatsoratro momba ny fametrahana VPN Load-Balancing Cluster. Ankehitriny dia tiako ny hanamarika misaraka ireo safidy izay ilaintsika:
Ao amin'ny mombamomba, dia hanondro ny vavahadin'ny VPN sy ny anaran'ny mombamomba ny fifandraisana amin'ny mpanjifa farany:
Andao amboary ny famoahana taratasy fanamarinana mandeha ho azy avy amin'ny lafin'ny mombamomba, izay manondro, indrindra ny mari-pamantarana fanamarinana ary, amin'ny ankapobeny, tandremo ny saha. Voalohany (I), izay misy sanda manokana ampidirina tanana UID milina fitsapana (famantarana fitaovana tokana izay novokarin'ny mpanjifa Cisco AnyConnect).
Eto aho dia te-hanao digression tononkira, satria ity lahatsoratra ity dia mamaritra ny foto-kevitra; ho an'ny tanjona fihetsiketsehana, ny UDID amin'ny famoahana taratasy fanamarinana dia ampidirina ao amin'ny saha voalohany amin'ny mombamomba ny AnyConnect. Mazava ho azy, amin'ny tena fiainana, raha manao izany ianao, dia hahazo taratasy fanamarinana miaraka amin'ny UDID mitovy amin'io sehatra io ny mpanjifa rehetra ary tsy hisy na inona na inona hiasa ho azy ireo, satria mila ny UDID an'ny PC manokana izy ireo. Ny AnyConnect, indrisy, dia mbola tsy mametraka fanoloana ny saha UDID ho amin'ny mombamomba ny fangatahana fanamarinana amin'ny alàlan'ny fari-piainan'ny tontolo iainana, toy ny ataony, ohatra, miaraka amin'ny variable %USER%.
Tsara ny manamarika fa ny mpanjifa (amin'ity toe-javatra ity) dia mikasa ny hamoaka tsy miankina amin'ny UDID amin'ny fomba manual amin'ny PC voaaro toy izany, izay tsy olana ho azy. Na izany aza, ho an'ny ankamaroantsika dia mila automatique isika (eny, ho ahy dia marina izany =)).
Ary ity no azoko atolotra amin'ny resaka automation. Raha mbola tsy afaka mamoaka taratasy fanamarinana ho azy ny AnyConnect amin'ny alàlan'ny fanoloana ny UDID amin'ny fomba mavitrika, dia misy fomba hafa mitaky eritreritra mamorona sy tanana mahay - holazaiko aminao ny foto-kevitra. Voalohany, andeha hojerentsika ny fomba namoronana ny UDID amin'ny rafitra fiasa samihafa ataon'ny AnyConnect agent:
Windows - SHA-256 hash amin'ny fampifangaroana ny lakile fisoratana anarana DigitalProductID sy Machine SID
OSX - SHA-256 hash PlatformUUID
Linux - SHA-256 hash an'ny UUID amin'ny fizarazarana faka.
Noho izany dia mamorona script ho an'ny OS Windows orinasanay izahay, miaraka amin'ity script ity dia manao kajy eo an-toerana ny UDID amin'ny alàlan'ny fampidirana fantatra ary mamorona fangatahana hamoahana taratasy fanamarinana amin'ny alàlan'ny fampidirana ity UDID ity amin'ny saha ilaina, raha ny marina, azonao atao koa ny mampiasa milina. taratasy fanamarinana navoakan'ny AD (amin'ny fampidirana fanamarinana indroa amin'ny alàlan'ny taratasy fanamarinana amin'ny drafitra Taratasy maromaro).
Andao hanomana ny fandrindrana amin'ny lafiny Cisco ASA:
Andao hamorona TrustPoint ho an'ny mpizara ISE CA, io no hanome taratasy fanamarinana ho an'ny mpanjifa. Tsy handinika ny fomba fanafarana Key-Chain aho; misy ohatra iray voalaza ao amin'ny lahatsoratro fananganana VPN Load-Balancing Cluster.
crypto ca trustpoint ISE-CA
enrollment terminal
crl configure
Izahay dia manamboatra ny fizarana amin'ny alàlan'ny Tunnel-Group mifototra amin'ny fitsipika mifanaraka amin'ireo saha ao amin'ny taratasy fanamarinana izay ampiasaina amin'ny fanamarinana. Ny mombamomba ny AnyConnect nataontsika tamin'ny dingana teo aloha dia namboarina eto ihany koa. Mariho fa mampiasa ny sanda aho SECUREBANK-RA, hamindra ireo mpampiasa manana taratasy fanamarinana navoaka ho any amin'ny vondrona tonelina SECURE-BANK-VPN, mariho azafady fa manana an'ity saha ity aho ao amin'ny tsanganana fangatahana fanamarinana momba ny mombamomba ny AnyConnect.
username-from-certificateCN # Ho an'ny fanamarinana voalohany, mampiasa ny saha CN amin'ny taratasy fanamarinana izahay mba handova ny fidiran'ny mpampiasa
anarana faharoa-avy amin'ny-certificat I # Ho an'ny fanamarinana faharoa amin'ny mpizara DUO dia mampiasa ny solon'anarana nalaina sy ny saha voalohany (I) amin'ny taratasy fanamarinana.
famenoana anarana mpanjifa mialoha # ataovy fenoina mialoha ny solon'anarana ao amin'ny varavarankelin'ny fanamarinana tsy misy fahafahana manova
second-pre-fill-username client afeno ny fampiasana-common-password push # Afeninay ny varavarankely fidirana / tenimiafina ho an'ny fanamarinana faharoa DUO ary mampiasa ny fomba fampahafantarana (sms / push / phone) - dock mba hangataka fanamarinana fa tsy ny saha tenimiafina eto
!
access-list posture-redirect extended permit tcp any host 72.163.1.80
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
dns-server value 192.168.99.155 192.168.99.130
vpn-filter value VPN-Filter
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value ashes.cc
address-pools value vpn-pool
scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1300
anyconnect keep-installer installed
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method ssl
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression lzs
anyconnect dtls compression lzs
anyconnect modules value iseposture
anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
address-pool vpn-pool
authentication-server-group ISE
accounting-server-group ISE
default-group-policy AC-DOWNLOAD
scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
address-pool vpn-pool
authentication-server-group ISE
secondary-authentication-server-group DUO
accounting-server-group ISE
default-group-policy SECURE-BANK-VPN
username-from-certificate CN
secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
authentication aaa certificate
pre-fill-username client
secondary-pre-fill-username client hide use-common-password push
group-alias SECURE-BANK-VPN enable
dns-group ASHES-DNS
!
Avy eo dia miroso amin'ny ISE isika:
Namboarina mpampiasa eo an-toerana izahay (azonao ampiasaina ny AD/LDAP/ODBC, sns.), ho an'ny fahatsorana, namorona mpampiasa eo an-toerana ao amin'ny ISE aho ary nanendry azy teo amin'ny saha. famaritanaUDID PC izay ahafahany miditra amin'ny alàlan'ny VPN. Raha mampiasa fanamarinana eo an-toerana amin'ny ISE aho dia ho voafetra amin'ny fitaovana iray ihany, satria tsy misy sehatra maro, fa amin'ny angon-drakitra fanamarinana avy amin'ny antoko fahatelo dia tsy hanana famerana toy izany aho.
Andeha hojerentsika ny politikan'ny fanomezan-dàlana, mizara ho dingana efatra izy io:
Stage 1 - Politika momba ny fampidinana ny mpandraharaha AnyConnect sy ny famoahana taratasy fanamarinana
Andeha isika hijery toe-javatra mahaliana UUID_VALIDATE, toa avy amin'ny PC misy UDID navela mifandray amin'ny saha ilay mpampiasa manamarina. Description kaonty, ny fepetra dia toy izao:
Ny mombamomba ny fanomezan-dàlana ampiasaina amin'ny dingana 1,2,3 dia toy izao manaraka izao:
Azonao atao ny manamarina tsara ny fahatongavan'ny UDID avy amin'ny mpanjifa AnyConnect aminay amin'ny fijerena ny antsipirian'ny fivoriana mpanjifa ao amin'ny ISE. Amin'ny antsipiriany dia ho hitantsika fa AnyConnect amin'ny alàlan'ny mekanika ACIDEX tsy mandefa vaovao momba ny sehatra ihany, fa koa ny UDID ny fitaovana toy ny Cisco-AV-PAIR:
Andeha hojerentsika ny taratasy fanamarinana nomena ny mpampiasa sy ny saha Voalohany (I), izay ampiasaina handraisana azy ho fidirana ho an'ny fanamarinana MFA faharoa amin'ny Cisco DUO:
Amin'ny lafiny DUO Radius Proxy ao amin'ny log dia hitantsika mazava tsara ny fomba nanaovana ny fangatahana fanamarinana, dia tonga amin'ny UDID ho solon'anarana:
Avy amin'ny vavahadin'ny DUO dia mahita hetsika fanamarinana mahomby izahay:
Ary ao amin'ny fananan'ny mpampiasa no napetrako Alias, izay nampiasaiko ho an'ny fidirana, dia izao no UDID an'ny PC navela hidirana:
Vokatr'izany dia nahazo:
Fanamarinana mpampiasa sy fitaovana marobe;
Fiarovana amin'ny fanambakana ny fitaovan'ny mpampiasa;
Fanombanana ny toetry ny fitaovana;
Mety hampitombo ny fanaraha-maso miaraka amin'ny mari-pamantarana milina sehatra, sns.;