Cisco AnyConnect VPN et certificats X.509 avec deux facteurs d’authentification
Voici quelques liens web très pratiques pour illustrer l’usage de certificats X.509 pour authentifier vos utilisateurs avec la solution Cisco ASA/AnyConnect VPN. Optionnellement vous pouvez opter pour l’ajout d’un deuxième mécanisme pour réaliser une authentification à deux facteurs (ce que je possède “certificat” + ce que je connais, par exemple “mot de passe”) et ainsi renforcer la sécurité de vos accès distants.
Le premier document montre comment déployer simplement une solution de type « 2-factor Auth » à base de certificats et de mots de passe uniquement à partir de l’ASA : usage de la base locale d’utilisateurs et utilisation de l’ASA comme serveur PKI.
Cet autre lien (video) illustre le même concept mais uniquement avec une authentification à base de certificat (PKI Microsoft).
Enfin, un dernier exemple « 2-factor Auth » avec l’usage d’une solution partenaire de type OTP comme deuxième facteur d’authentification (illustré depuis un iPhone).