配置 Cisco ASA 以使用 MS-CHAP v2 進行 RADIUS 身份驗證

思科 ASA5505 8.2(2) Windows 2003 AD 伺服器

我們想要配置我們的 ASA (10.1.1.1) 以通過 Windows AD 控制器 (10.1.1.200) 上的 RADIUS 對遠端 VPN 使用者進行身份驗證

我們在 ASA 上有以下條目：

aaa-server SYSCON-RADIUS protocol radius
aaa-server SYSCON-RADIUS (inside) host 10.1.1.200
key *****
radius-common-pw *****

當我使用帳戶 COMPANY\username 測試登錄時，我看到使用者憑據在安全日誌中是正確的，但我在 Windows 系統日誌中得到以下資訊：

User COMPANY\myusername was denied access.
Fully-Qualified-User-Name = company.com/CorpUsers/AU/My Name
NAS-IP-Address = 10.1.1.1
NAS-Identifier = <not present> 
Called-Station-Identifier = <not present> 
Calling-Station-Identifier = <not present> 
Client-Friendly-Name = ASA5510
Client-IP-Address = 10.1.1.1
NAS-Port-Type = Virtual
NAS-Port = 7
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows 
Authentication-Server = <undetermined> 
Policy-Name = VPN Authentication
Authentication-Type = PAP
EAP-Type = <undetermined> 
Reason-Code = 66
Reason = The user attempted to use an authentication method that is not enabled on the matching remote access policy.

我的假設是 ASA 使用的是 PAP 身份驗證，而不是 MS-CHAP v2；憑據已確認，正在使用正確的遠端訪問策略，但此策略設置為僅允許 MS-CHAP2。我們需要在 ASA 上做什麼才能使其成為 MS-CHAP v2？在 ADSM GUI 中啟用了“Microsoft CHAP v2 compatible”複選框，但我不知道這對應於配置中的什麼。

$$ update $$ 我嘗試將以下內容添加到隧道組：

tunnel-group MYTUNNEL-AD ppp-attributes
no authentication pap
no authentication chap
no authentication ms-chap-v1
authentication ms-chap-v2

但是“no authentication pap”命令不執行任何操作，並且在我執行 show tunnel-group 時不顯示…並且 ASA 仍在使用 PAP。

最終證明，測試登錄功能忽略了使用 MSCHAP2 的指令，並且將始終使用 PAP。實際生產中的測試可以正常工作，即使測試總是會失敗。

嘗試通過在配置隧道組 ipsec-attributes 時鍵入“password-management”來啟用隧道組的密碼管理。

引用自：https://serverfault.com/questions/132610