Chris's questions

我有一个带有 Security Plus 许可证的 Cisco ASA 5505 以及一个 AnyConnect Plus 许可证。我目前在 ASA 上没有任何 VPN 配置，因为我仍处于规划阶段。在购买第三方软件之前，我想知道是否支持我计划的配置。

我正在考虑对连接到 VPN 的用户使用双重身份验证，可能会使用额外的证书组件。我发现 Duo Security使用 LDAP 进行 AnyConnect 集成。此外，AnyConnect 允许您使用 LDAP 对 Active Directory 进行身份验证。我做了很多研究，发现了很多配置双重身份验证的资源。但是，每个资源似乎都使用两种不同的身份验证协议。例如，思科官方文档向您展示如何将 LOCAL 设置为主要，将 LDAP 设置为次要。他们的措辞使您看起来可以将 LDAP 用于主要或次要，但没有明确说明您可以同时使用这两种方式。我还找到了描述如何为故障转移或负载平衡配置冗余 LDAP 服务器的资源，这不是我想要的。我的问题是是否可以使用两个完全独立的 LDAP 服务器并让客户端对两者进行身份验证。理想情况下，配置应如下所示：

tunnel-group RA general-attributes
  authentication-server-group LDAP_AD
  secondary-authentication-server-group LDAP_DUO
  default-group-policy Group1
  authorization-required
tunnel-group RA webvpn-attributes
  authentication aaa certificate

显然，LDAP_AD 和 LDAP_DUO 都将使用“aaa-server LDAP_xx 协议 ldap”以及所需的服务器信息配置为它们自己的条目。我在想这个配置应该要求用户输入他们的 AD 凭证，使用带有 OTP 或 Push 身份验证的 Duo 安全性，并检查机器是否有有效的证书。以前有没有人尝试过，或者发现文档说支持这种类型的配置？

我的域中的一个用户帐户有问题。域控制器是 Server 2008 R2，带有 Win7 客户端。用户的密码已过期，因此她完成了更改密码的过程。我们设置了组策略，要求使用至少 8 个字符的复杂密码。她说她在更改密码时填写了所有方框。在她下次登录时，她尝试了她的新密码，但它不起作用（说它不正确）。几次尝试后，她不小心按了Enter，没有输入密码，它让她登录了。然而，当她到达桌面时，只显示所有用户的图标。另外，她的开始菜单只显示notepad.exe，进入所有程序只显示“附件”和“维护”文件夹，没有别的。如果她登录到另一台计算机（也使用空白密码），也会发生同样的事情。不过，她能够访问共享文件夹，因此她必须在域上进行身份验证。

以下是我尝试过的一些事情：

• 我让用户在 PDC 上的“用户和计算机”中重置了她的密码。然后她可以使用这个新密码登录，但什么也没有出现的问题仍然存在。
• 我用我的凭据登录了她的电脑，一切正常。
• 我检查了她的帐户设置和群组成员，看起来还不错（最近没有任何变化）。
• 我让她用她的新密码以域\用户名登录，但这根本没有帮助。
• 我检查以确保计算机和她的用户在 AD 中的正确 OU 中。
• 对她的计算机和用户运行 gpresult 并没有显示任何异常。

我从来没有见过这样的事情，所以我现在没有想法。

编辑：更多信息：我只是让用户尝试使用空白密码登录机器（就像她之前所​​做的那样），但这次没有接受。我很抱歉在我创建这个问题之前没有尝试这个。

我也刚刚检查了凭据管理器，计算机上没有缓存凭据。

注意：我编辑了标题以更清楚地说明问题所在。