Vpn
配置 Cisco ASA 以使用 MS-CHAP v2 進行 RADIUS 身份驗證
思科 ASA5505 8.2(2) Windows 2003 AD 伺服器
我們想要配置我們的 ASA (10.1.1.1) 以通過 Windows AD 控制器 (10.1.1.200) 上的 RADIUS 對遠端 VPN 使用者進行身份驗證
我們在 ASA 上有以下條目:
aaa-server SYSCON-RADIUS protocol radius aaa-server SYSCON-RADIUS (inside) host 10.1.1.200 key ***** radius-common-pw *****
當我使用帳戶 COMPANY\username 測試登錄時,我看到使用者憑據在安全日誌中是正確的,但我在 Windows 系統日誌中得到以下資訊:
User COMPANY\myusername was denied access. Fully-Qualified-User-Name = company.com/CorpUsers/AU/My Name NAS-IP-Address = 10.1.1.1 NAS-Identifier = <not present> Called-Station-Identifier = <not present> Calling-Station-Identifier = <not present> Client-Friendly-Name = ASA5510 Client-IP-Address = 10.1.1.1 NAS-Port-Type = Virtual NAS-Port = 7 Proxy-Policy-Name = Use Windows authentication for all users Authentication-Provider = Windows Authentication-Server = <undetermined> Policy-Name = VPN Authentication Authentication-Type = PAP EAP-Type = <undetermined> Reason-Code = 66 Reason = The user attempted to use an authentication method that is not enabled on the matching remote access policy.
我的假設是 ASA 使用的是 PAP 身份驗證,而不是 MS-CHAP v2;憑據已確認,正在使用正確的遠端訪問策略,但此策略設置為僅允許 MS-CHAP2。我們需要在 ASA 上做什麼才能使其成為 MS-CHAP v2?在 ADSM GUI 中啟用了“Microsoft CHAP v2 compatible”複選框,但我不知道這對應於配置中的什麼。
$$ update $$ 我嘗試將以下內容添加到隧道組:
tunnel-group MYTUNNEL-AD ppp-attributes no authentication pap no authentication chap no authentication ms-chap-v1 authentication ms-chap-v2
但是“no authentication pap”命令不執行任何操作,並且在我執行 show tunnel-group 時不顯示…並且 ASA 仍在使用 PAP。
最終證明,測試登錄功能忽略了使用 MSCHAP2 的指令,並且將始終使用 PAP。實際生產中的測試可以正常工作,即使測試總是會失敗。
嘗試通過在配置隧道組 ipsec-attributes 時鍵入“password-management”來啟用隧道組的密碼管理。