Cisco Ironport - External Authentication with Cisco ACS

1. Настройки на Cisco ACS 5.8

- Добавить WSA как AAA клиента, протокол RADIUS

- Создать Authorization Profile, в нем добавить RADIUS Attribute - Class 25 с именем пользователя.

Можно создать два профиля - один для администраторов, второй с правами Read-Only.

Каждого пользователя необходимо добавить в этом профиле.

-Создать правило в Access Policy

На этом настройки на ACS закончены. В данном случае Identity в ACS мапятся на конкретные группы в AD. 

2. Настройки в Cisco WSA, Для ESA тоже самое.

Настройки показаны на скриншоте:

Sustem Administration - Users - External Authentication.

На этом настройки закончены.

CheckPoint SmartDashboard R77.10 и TACACS+

1. Настройки для ACS 5.8 показаны здесь. Ничего больше делать не надо

Дружим CheckPoint Gaia R77.10 и Cisco ACS 5.8 по TACACS+

2. Настройки в SmartDashboard (версия R77.10 Gost)

- Добавить сервер TACACS

Servers and OPSEC - Servers - New

- Добавить своего доменную учетную запись в администраторы

Users and Administrators - Administrators - New Administrator

Дружим CheckPoint Gaia R77.10 и Cisco ACS 5.8 по TACACS+

1. Настройки на Cisco ACS 5.8

- Добавить CheckPoint в Network Devices and AAA Clients, используем протокол TACACS+

- Подключить ACS к домену. В моем  примере на CheckPoint могут зайти только пользователи из определенной группы.

- Создать Shell Profile для CheckPoint, т.к. мы используем протокол TACACS+

- Далее необходимо настроить Access Policy. Для TACACS добавляем Group Mapping

- Настроить Identity. В данном случае условие такое, что при подключении к устройствам типа Firewall, то смотреть учетные данные в AD.

- Настроить Group Mapping. Мы мапим админскую группу из AD к Identity Group в ACS

- Настроить правило авторизации

На этом настройки ACS закончены.

2. Настройки CheckPoint R77.10 Gaia.
Для информации: На CheckPoint'ах установлен гостовый патч версии 5.0. (требуется для построения VPN, не для TACACS+)

- Необходимо добавить TACACS сервер

- Настроить роли. Создаем две роли TACP-0 и TACP-15. По умолчанию все пользователи проваливаются в роль TACP-0. Затем мы повышаем свой уровень до TACP-15.

Проверяем:
- Вошли под своей доменной учетной записью и нажимаем TACACS+ enable

- Вводим тот же самый пароль и попадаем на уровень 15.

Примечание:
- В данном сценарии каждый пользователь из группы может попасть на уровень 15 с полным доступом. Для того, чтобы дать права read-only для какой-то группы или юзера необходимо на ACS для этой группы или юзера создать свой Shell Porfile с уровнем 1 и создаем свои правила в Access Policy.
Для того, чтобы дать пользователю лимитированные права, то создаем свой Shell Profile на ACS с уровнем например 7 и так же создаем свои правила в Access Policy. На CheckPoint создаем роль TACP-7 и там указываем какие права у него будут.

Из проблем заметил, что пароль со * не работает при повышении уровня через TACACS enable в GUI. В CLI проблем нет.