配置 Cisco 交換機和 ASA/VPN 設備以使用 W2008R2 NPS RADIUS 進行身份驗證
我目前無法通過我們的 Cisco 設備使用 RADIUS 進行身份驗證……它似乎部分有效,但我顯然遺漏了一些東西,希望一些專家能指出我正確的方向。我在上面配置了 ASA 5510 和 VPN。我有 Windows Server 2008 R2 設置,其中 NPS 角色充當 RADIUS 伺服器(僅,不使用 NAP 等,僅設置 RADIUS)。我最近設置了 VPN,它似乎工作正常,但現在我正在嘗試配置它,以便我也可以使用我的 AD 憑據登錄到我們的交換機,但我無法將兩者分開……例如,所有域使用者都可以使用 VPN,但只有 NetworkGroup 應該能夠訪問其他 Cisco 設備。
在 RADIUS 客戶端下,我創建了一個名為 VPN 的客戶端,它具有我們在 ASA 上的內部介面的 IP 地址,設備製造商為 Cisco 並已啟用。我有一個名為 Switch 的客戶端,其中包含我正在測試的交換機的 IP 地址,Cisco 作為設備製造商並已啟用。
在策略 > 連接請求策略下,有預設的“對所有使用者使用 Windows 身份驗證”,它只有一個日期/時間限製作為條件,但允許隨時訪問,在設置下它具有身份驗證提供程序 - 本地電腦並禁用覆蓋身份驗證。我在這裡也添加了一個稱為 VPN(具有開放時間限制和 IPv4 地址條件)和一個稱為 Switch(具有開放時間限制和 IPv4 地址條件),認為這是需要的,但在測試期間我發現我可以禁用他們和它工作得很好……但從閱讀中我讀到必須至少有一項政策生效。我可以禁用預設設置,但是當我使用似乎不需要的相同憑據設置其他一個時,我無法從交換機登錄,我收到錯誤“拒絕訪問 - 使用鍵盤互動式身份驗證”。如果我啟用預設的 CR 策略,它會立即再次執行……基本上,它似乎並不關心我是否有每個設備的策略(也許我不應該?)。
在 Policies > Network Policies 下,我還添加了兩項策略,一項稱為 Switch,一項稱為 VPN。
Switch 策略的設置條件為 User Groups-Domain\NetworkGroup。在設置下我有:
值為 shell:priv-lvl=15 的 Cisco-AV-Pair。
值為空白的擴展狀態。
值為授予訪問權限的訪問權限。
值為 Unencrypted authentication (PAP, SPAP) 的身份驗證方法。
Nap Enforcement,值為 Allow full network access。
使用 True 值更新不合規客戶端。
值為 Login 的服務類型。
如果伺服器在 2 分鐘內達到 50%,則 BAP 容量百分比,其值為 Reduce Multilink。
其中一些設置是我在測試中設置的,其他設置是預設設置的。
VPN 策略的設置條件為使用者組-域\域使用者。在設置下我有:
忽略值為 True 的使用者撥入屬性。
值為授予訪問權限的訪問權限。
Authentication Method 值為 Unencrypted authentication (PAP, SPAP) or MS-CHAP v1 OR MS-CHAP v1, OR MS-CHAPV2。
Nap Enforcement,值為 Allow full network access。
使用 True 值更新不合規客戶端。
Framed-Protocol,值為 PPP。
值為 Framed 的服務類型。
其中一些設置並不相同,因為我已經來回嘗試了幾天嘗試不同的場景,所以老實說,我不確定其中一些是否必要……我知道如果我禁用那個CR-Policy 下的預設策略,我無法登錄交換機…假設它只是向下滾動並從允許域使用者登錄的 VPN 網路策略中獲取憑據,並且我也在該組中……
所以我正在努力的結果(對不起,這麼長的問題,但盡量提供資訊!)是我希望 DomainUsers AD 組中的任何最終使用者都能夠使用 VPN 並撥號成功,但不允許他們能夠遠端進入我們的交換機並以相同的方式登錄。我只希望 NetworkGroup AD 帳戶能夠登錄這些帳戶。如何安全地訪問兩者?聽起來很簡單,上面看起來很簡單,但對我來說,它不起作用……如果我取消 Switch Policy,它仍然允許最終使用者(使用最終使用者測試帳戶進行測試)使用普通 AD 登錄到我的交換機登錄(我假設的 VPN 策略允許)。請隨時提出任何問題或澄清,並提前感謝您提供的任何幫助!
你會想要堅持創建/訂購網路策略來做你想做的事情。只需使用一個完全開放的預設連接請求策略,然後通過 NP 保護。
正如您所說,您可以通過將您創建的每個網路策略限制在充分條件下“將兩者分開”,這樣多個條件組合在一起可以實現您的目標。看起來您只為每個策略指定了一個條件 - 網路組成員身份。正如您所發現的,這是行不通的。當您啟用 RADIUS 的設備要求您的 RADIUS 伺服器對您的使用者進行身份驗證時,RADIUS 伺服器將使用者的憑據轉發到 AD,AD 成功匹配憑據(因為此時它們是模糊的),並向 RADIUS 伺服器返回一個肯定,這反過來告訴設備允許身份驗證。我在這裡忘記了所有正確的 RADIUS 術語 - 但基本上就是這樣。
因此,將另一個條件(或更多條件)疊加到您的保單上以獲得您想要的。聽起來您希望交換機策略與域\網路組中的使用者一起使用,並且只能在您的交換機上使用(這些請求絕不應該來自您的 ASA 的 IP,或者某些列印機或使用者工作站或其他任何東西)。在某些情況下,請查看 RADIUS 客戶端部分 - 例如,ClientFriendlyName 或 ClientIPv4Address。如果條件包括請求僅來自您的預定義交換機 IP 或名稱之一,則不會“驗證”來自您的 ASA IP 的請求。
對您的 vpn 策略也執行相同的操作。你應該從那裡很好。不過,您可能希望從乾淨的網路策略開始。我認為如果沒有更多工作(以及整個其他策略類型),您將無法使用這些設置來更新不合規的客戶端。
此外,如果您想了解更多關於其實際操作的資訊,您可以查看您的 RADIUS 日誌。我相信它們在 system32\logfiles 下。如果尚未啟用,您可能必須在 NPS 伺服器上啟用它。您可以搜尋工具來幫助您閱讀日誌文件,因為它們對使用者並不友好。在緊要關頭,MS 有一篇文章按順序列出了所有欄位。雖然尋找工具(IASlogviewer?或類似的東西?)。