思科 ASA5505 8.2(2) Windows 2003 AD 服务器
我们想要配置我们的 ASA (10.1.1.1) 以通过 Windows AD 控制器 (10.1.1.200) 上的 RADIUS 对远程 VPN 用户进行身份验证
我们在 ASA 上有以下条目:
aaa-server SYSCON-RADIUS protocol radius
aaa-server SYSCON-RADIUS (inside) host 10.1.1.200
key *****
radius-common-pw *****
当我使用帐户 COMPANY\username 测试登录时,我看到用户凭据在安全日志中是正确的,但我在 Windows 系统日志中得到以下信息:
User COMPANY\myusername was denied access.
Fully-Qualified-User-Name = company.com/CorpUsers/AU/My Name
NAS-IP-Address = 10.1.1.1
NAS-Identifier = <not present>
Called-Station-Identifier = <not present>
Calling-Station-Identifier = <not present>
Client-Friendly-Name = ASA5510
Client-IP-Address = 10.1.1.1
NAS-Port-Type = Virtual
NAS-Port = 7
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = VPN Authentication
Authentication-Type = PAP
EAP-Type = <undetermined>
Reason-Code = 66
Reason = The user attempted to use an authentication method that is not enabled on the matching remote access policy.
我的假设是 ASA 使用的是 PAP 身份验证,而不是 MS-CHAP v2;凭据已确认,正在使用正确的远程访问策略,但此策略设置为仅允许 MS-CHAP2。我们需要在 ASA 上做什么才能使其成为 MS-CHAP v2?在 ADSM GUI 中启用了“Microsoft CHAP v2 compatible”复选框,但我不知道这对应于配置中的什么。
[更新] 我尝试将以下内容添加到隧道组:
tunnel-group MYTUNNEL-AD ppp-attributes
no authentication pap
no authentication chap
no authentication ms-chap-v1
authentication ms-chap-v2
但是“no authentication pap”命令不执行任何操作,并且在我运行 show tunnel-group 时不显示...并且 ASA 仍在使用 PAP。
最终证明,测试登录功能忽略了使用 MSCHAP2 的指令,并且将始终使用 PAP。实际生产中的测试可以正常工作,即使测试总是会失败。
尝试通过在配置隧道组 ipsec-attributes 时键入“password-management”来启用隧道组的密码管理。