Перейти к основному содержанию

Cisco ESA C190 — LDAP Authentication

Cisco ESA C190

Настраиваем доменную аутентификацию на Cisco ESA C190 — Email Security Appliance. Гораздо проще управлять правами пользователей из домена. Сделаем вход в веб интерфейс ESA по доменному логину и паролю.

Сначала добавим профиль LDAP сервера. Переходим в System Administration > LDAP:

esa

Нам нужно добавить профиль и добиться появления Query: externalauth, accept, group. Кликаем Add LDAP Server Profile... Заполняем  LDAP Server Profile.

Секция Server Attributes:

esa

Для доступа к домену нужно создать специального доменного юзера. Обязательно используйте Server Attribute Testing, кликаем Test Server(s):

esa

Если видим Result: succeeded, значит, мы всё указали верно. 

Заполняем секцию Accept Query, ставим галку:

esa

Кликаем Test Query:

esa

Success Action: Pass. 

В домене создаём группу, например, esa-admins, добавляем в неё участников. Члены этой группы будут иметь доступ к управлению ESA через web-интерфейс.

Заполняем секцию Group Query, ставим галку:

esa

Кликаем Test Query:

Query String указываю для Microsoft Active Directory:

(&(memberOf={g})(proxyAddresses=smtp:{a}))

Для SunONE Directory Server будет:

(&(memberOf={g})(mailLocalAddress={a}))

https://www.cisco.com/c/en/us/td/docs/security/esa/esa11-0/user_guide_fs/b_ESA_Admin_Guide_11_0/b_ESA_Admin_Guide_chapter_011010.html#task_1149490

Group Name для тестирования указываем в формате DN (Distinguished Name):

CN=esa-admins,OU=Access,OU=Groups,OU=MyDomain,DC=mydomain,DC=local

esa

Success: Action: match positive. Работает.

Заполняем секцию External Authentication Queries, ставим галку:

esa

Кликаем Test Queries. Здесь два теста, тестируем логин:

esa

Пример успешной авторизации:

Query results for host:mydomain.local
Query (&(objectClass=user)(sAMAccountName=esaadmin)) to server MyDomain (mydomain.local:389)
Query (&(objectClass=user)(sAMAccountName=esaadmin)) lookup success, (mydomain.local:389) returned 1 results
Bind attempt to server MyDomain (mydomain.local:389)
BIND CN=Админов Админ Админович,OU=Системные администраторы,OU=Команда IT,OU=Users,OU=MyDomain,DC=mydomain,DC=local returned True result
authentication succeeded. query: MyDomain.externalauth
Query (&(objectClass=user)(sAMAccountName=esaadmin)) to server MyDomain (mydomain.local:389)
Query (&(objectClass=user)(sAMAccountName=esaadmin)) lookup success, (mydomain.local:389) returned 1 results
Success: Action: match positive

При неуспешной авторизации вы получите Failure с текстом ошибки:

Failure: Action: match negative.
Reason: Unable to bind with Identity esaadmin.

Тестируем членство в группах:

esa

Ответ:

Query results for host:mydomain.local
Query (&(objectClass=user)(sAMAccountName=user)) to server MyDomain (mydomain.local:389)
Query (&(objectClass=user)(sAMAccountName=user)) lookup success, (mydomain.local:389) returned 1 results
Query (&(objectClass=user)(sAMAccountName=user)) to server MyDomain (mydomain.local:389)
Query (&(objectClass=user)(sAMAccountName=user)) lookup success, (mydomain.local:389) returned 1 results
Query (&(objectClass=group)(member=CN\3dЮзер Юзерович Юзеров,OU\3dКоманда сисадминов,OU\3dКоманда сильных сисадминов,OU\3dUsers,OU\3dMyDomain,DC\3dmydomain,DC\3dlocal)) to server MyDomain (mydomain.local:389)
Query (&(objectClass=group)(member=CN\3dЮзер Юзерович Юзеров,OU\3dКоманда сисадминов,OU\3dКоманда сильных сисадминов,OU\3dUsers,OU\3dMyDomain,DC\3dmydomain,DC\3dlocal)) lookup success, (mydomain.local:389) returned 7 results
Member Of: Organization Management, Discovery Management, Server Management, Domain Admins, Schema Admins, Enterprise Admins, esa-admins
Success: Action: match positive

Сохраняем результаты. Переходим в System Administration > Users. Нас интересует раздел External Authentication:

esa

Edit global settings, настраиваем:

esa

Указываем  набор групп с соответствующими правами доступа. Submit. Нас попугают предупреждениями, всё сохраняем, коммитим и пробуем войти под доменной учёткой. С другого браузера.

У меня всё заработало.

Ссылки

https://www.cisco.com/c/en/us/td/docs/security/esa/esa11-0/user_guide_fs/b_ESA_Admin_Guide_11_0/b_ESA_Admin_Guide_chapter_0100000.html#con_1176658

 

Похожие материалы