我们是学校的一种服务提供商网络,使用 Cisco ACS 及其内部用户数据库来验证用户是否能够访问我们提供的远程访问 VPN。我们支持的每所学校都有单独的 Windows 域。
我们希望能够使用 ACS 连接到不同的学校 AD,以便允许他们使用他们的本地网络凭证进行身份验证。
可以这样做吗?如果可以,是否需要特定的 Cisco ACS 软件版本?我们当前运行的是 3.3 版本,我似乎找不到方法来实现这一点。
谢谢,汤姆
答案1
ACS 3.3 安装指南(见http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/installation/guide/windows/install.html#wp981552) 简要提到了受信任的域,最终用户文档也是如此(http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/user/guide/d.html#wp353805)。我想您可以与每所学校的 Active Directory 基础架构创建单向信任关系,以便通过 AD 实现这一点。
使用 AD 信任关系执行此操作的缺点是,您将需要对学校的域控制器计算机进行名称解析。您可能能够使用“通用 LDAP”用户数据库功能,并使用其 Active Directory 域控制器的 IP 地址,而不是使用 Windows 中的底层管道来处理针对其 AD 数据库的身份验证。
最后,ACS 3.3 安装似乎可以使用另一个 RADIUS 服务器进行基于令牌的身份验证。我会尝试使用标准 RADIUS 服务器(实际上不使用令牌),看看您是否可以让 ACS 向另一个 RADIUS 服务器进行身份验证。如果可以,您可以要求学校运行 RADIUS 服务器(如 Microsoft IAS)并只向您公开该服务器。这将使你们双方尽可能地解耦,同时仍能实现您想要的目标。这是一个长远的目标,但它可能会奏效。
我可能会首先采用通用 LDAP 路由(http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/user/guide/d.html#wp354503)。