Cisco PIX 连接到 Active Directory 以进行 VPN

Cisco PIX 连接到 Active Directory 以进行 VPN

我有一台 Cisco PIX 515E,目前用作办公室路由器。我们有一个 MS 域,并使用 MS VPN 进行远程访问。我想使用 PIX 内置的 Cisco VPN 功能并利用 Active Directory 进行身份验证;但是,我还没有找到有关如何执行此操作的良好说明来源。我是一名具有系统管理爱好的程序员,所以我正在寻找的说明不应该面向 Cisco 或 AD 专家。是否存在这样的说明?

答案1

您需要在域成员服务器上安装 Internet 身份验证服务 (IAS),并在 IAS 服务器和 PIX 上输入共享机密。

然后在你的 PIX 上执行:

aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host IAS_SERVER SharedSecretHere timeout 10
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication RADIUS
crypto map outside_map interface outside
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5 
vpngroup Remote address-pool pix_inside
vpngroup Remote dns-server DNS_SERVER_1 DNS_SERVER_2
vpngroup Remote wins-server WINS_SERVER
vpngroup Remote default-domain domainToAuthenticate
vpngroup Remote idle-time 1800

这应该会为您指明正确的方向并帮助您入门。

答案2

我使用 PIX 已经有几年了,如果他们添加了直接 LDAP 支持,这种情况可能会改变。

您要设置的是 RADIUS 服务器。它是 Windows Server 的一个组件。您可以设置 PIX 以针对特定 RADIUS 服务器进行身份验证,并且它知道如何与 Active Directory 进行通信。

在 Google 上搜索“在 Windows 中设置 RADIUS”,你应该会找到大量有关如何操作的指南。

答案3

自 8.x 起,PIX/ASA 版本可以使用完全支持的 ldap。

我建议你将 PIX 升级到 ASA Image 8.0(4)。这不是什么大问题。你只需要至少 64mb 内存(通常 pix 515e 内置 32mb 内存,但你仍然可以在 ebay 上找到便宜的内存。。)当然还有软件。

相关内容