我有一台 Cisco PIX 515E,目前用作办公室路由器。我们有一个 MS 域,并使用 MS VPN 进行远程访问。我想使用 PIX 内置的 Cisco VPN 功能并利用 Active Directory 进行身份验证;但是,我还没有找到有关如何执行此操作的良好说明来源。我是一名具有系统管理爱好的程序员,所以我正在寻找的说明不应该面向 Cisco 或 AD 专家。是否存在这样的说明?
答案1
您需要在域成员服务器上安装 Internet 身份验证服务 (IAS),并在 IAS 服务器和 PIX 上输入共享机密。
然后在你的 PIX 上执行:
aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host IAS_SERVER SharedSecretHere timeout 10
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication RADIUS
crypto map outside_map interface outside
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
vpngroup Remote address-pool pix_inside
vpngroup Remote dns-server DNS_SERVER_1 DNS_SERVER_2
vpngroup Remote wins-server WINS_SERVER
vpngroup Remote default-domain domainToAuthenticate
vpngroup Remote idle-time 1800
这应该会为您指明正确的方向并帮助您入门。
答案2
我使用 PIX 已经有几年了,如果他们添加了直接 LDAP 支持,这种情况可能会改变。
您要设置的是 RADIUS 服务器。它是 Windows Server 的一个组件。您可以设置 PIX 以针对特定 RADIUS 服务器进行身份验证,并且它知道如何与 Active Directory 进行通信。
在 Google 上搜索“在 Windows 中设置 RADIUS”,你应该会找到大量有关如何操作的指南。
答案3
自 8.x 起,PIX/ASA 版本可以使用完全支持的 ldap。
我建议你将 PIX 升级到 ASA Image 8.0(4)。这不是什么大问题。你只需要至少 64mb 内存(通常 pix 515e 内置 32mb 内存,但你仍然可以在 ebay 上找到便宜的内存。。)当然还有软件。