我有一个带有 Security Plus 许可证的 Cisco ASA 5505 以及一个 AnyConnect Plus 许可证。我目前在 ASA 上没有任何 VPN 配置,因为我仍处于规划阶段。在购买第三方软件之前,我想知道是否支持我计划的配置。
我正在考虑对连接到 VPN 的用户使用双重身份验证,可能会使用额外的证书组件。我发现 Duo Security使用 LDAP 进行 AnyConnect 集成。此外,AnyConnect 允许您使用 LDAP 对 Active Directory 进行身份验证。我做了很多研究,发现了很多配置双重身份验证的资源。但是,每个资源似乎都使用两种不同的身份验证协议。例如,思科官方文档向您展示如何将 LOCAL 设置为主要,将 LDAP 设置为次要。他们的措辞使您看起来可以将 LDAP 用于主要或次要,但没有明确说明您可以同时使用这两种方式。我还找到了描述如何为故障转移或负载平衡配置冗余 LDAP 服务器的资源,这不是我想要的。我的问题是是否可以使用两个完全独立的 LDAP 服务器并让客户端对两者进行身份验证。理想情况下,配置应如下所示:
tunnel-group RA general-attributes
authentication-server-group LDAP_AD
secondary-authentication-server-group LDAP_DUO
default-group-policy Group1
authorization-required
tunnel-group RA webvpn-attributes
authentication aaa certificate
显然,LDAP_AD 和 LDAP_DUO 都将使用“aaa-server LDAP_xx 协议 ldap”以及所需的服务器信息配置为它们自己的条目。我在想这个配置应该要求用户输入他们的 AD 凭证,使用带有 OTP 或 Push 身份验证的 Duo 安全性,并检查机器是否有有效的证书。以前有没有人尝试过,或者发现文档说支持这种类型的配置?
Cisco ASA 路由器支持每个配置文件一个身份验证组。因此,如果您的 VPN 连接配置文件设置为使用名为 VPN 的身份验证组,那么当用户连接到 VPN 时,他们将对 VPN 身份验证组中的第一个可用服务器进行身份验证。
您可以为后备身份验证源设置 LOCAL,但仅当主身份验证源不可用时才可用。
除了身份验证之外,您还可以要求客户端证书。
如果您希望使用 OTP 或其他一些 2FA 方案,请在 Cisco 论坛上进行精彩讨论。
https://supportforums.cisco.com/discussion/11691351/two-factor-authentication-recommendations-asa-5510-vpn
我最终回答了我自己的问题 - 这是可能的。我发现 Duo 提供免费试用,所以我继续设置一个帐户,尝试让它与我的设置一起使用。最后,我能够同时设置 Active Directory LDAP 和 Duo Security LDAP。代码的相关部分在这里:
用户必须输入他们的 AD 用户名和密码以及 Duo 的二级密码才能连接。机器上还必须有有效的证书。