主页 / server / 问题 / 22730
Accepted
Tom Bell
Asked: 2009-06-10 08:22:04 +0800 CST

使用 Cisco ACS 对多个域上的用户进行身份验证

  • 772

我们是一种学校服务提供商网络,并使用 Cisco ACS 及其内部用户数据库在我们提供的远程访问 VPN 上对用户进行身份验证。我们支持的每所学校都有一个单独的 Windows 域。

我们希望能够使用 ACS 连接到不同的学校 AD,以便能够允许他们使用本地网络凭据进行身份验证。

可以这样做吗?如果可以,是否需要特定的 Cisco ACS 软件版本?我们目前正在运行 3.3,我似乎无法找到一种方法来完成这项工作。

谢谢,汤姆

active-directory cisco

1 个回答

  1. Best Answer

    ACS 3.3 的安装指南(参见http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/installation/guide/windows/install.html#wp981552)简要提到了受信任的域,最终用户文档 ( http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/user/guide/d.html#wp353805 )。我想您可以与每所学校的 Active Directory 基础设施创建单向信任关系,以促进通过 AD 执行此操作。

    使用 AD 信任关系执行此操作的不利之处在于,您需要为学校的域控制器计算机进行名称解析。您可能能够使用“通用 LDAP”用户数据库功能,并通过使用其 Active Directory 域控制器的 IP 地址来代替使用 Windows 中的底层管道来处理针对其 AD 数据库的身份验证。

    最后,看起来 ACS 3.3 安装可以使用另一个 RADIUS 服务器进行基于令牌的身份验证。我会尝试使用标准 RADIUS 服务器(实际上不使用令牌),看看您是否可以让 ACS 对另一个 RADIUS 服务器进行身份验证。如果可以,您可以要求学校运行 RADIUS 服务器(如 Microsoft IAS)并仅向您公开。这将使你们俩尽可能地解耦,同时仍能完成你想要的。这是一个很长的镜头,但它可能会奏效。

    我可能会首先追求通用 LDAP 路由(http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/user/guide/d.html#wp354503)。

    • 2

相关问题