对 Windows 2008 域进行 Cisco ASA 身份验证

对 Windows 2008 域进行 Cisco ASA 身份验证

我的办公室已用 Windows 2008 替换了其 Windows 2003 域和域控制器。

我有一台 Cisco ASA 5510,它可以为我们的远程用户处理 VPN 连接,并且仍然与运行 RADIUS 的旧 Windows 2003 DC 之一集成。

我需要将 ASA 从 2003 域迁移到 2008 域。如何在 Windows 2008 下配置 NPS?

ASA 配置:

aaa-server NEWDC protocol radius
aaa-server NEWDC host x.x.x.x
key ********

ASA配置测试命令:

test aaa-server authentication NEWDC host x.x.x.x

对于任何用户名,这总是会立即返回错误用户/密码错误。用户存在于 AD 中,已启用,并且密码正确。Windows 和 ASA 中的密钥相同。

Windows 2008 NPS Radius 客户端配置:

Enabled
Vendor name: RADIUS Standard or Cisco (neither works)
Manual shared secret: ********
(unchecked) Access-Request messages must contain the Message-Authenticator attribute
(unchecked) RADIUS client is NAP-capable

Windows 2008 NPS 连接请求策略:

Enabled
Processing Order 2 (following Use Windows auth for all users)
Source unspecified
Auth Provider: Local Computer
Auth Method: MS-CHAP v1 or MS-CHAP v2 or Allow unauthenticated
Override Auth: Enabled
Class: OU=Admin;
Framed-Protocol: PPP
Service-Type: Framed

Windows 2008 网络策略:

Enabled
Processing Order 3 (highest)
Condition Windows Group = DOMAIN\VPN
Ignore User Dial-In Properties: False
Access Permission: Grant Access
Auth method: MS-CHAP v1 or MS-CHAP v2
NAP Enforcement: Allow full network access
Update Noncompliant clients: True
Framed Protocol: PPP
Service-Type: Framed

答案1

请参阅此文章了解更多信息。我认为您需要修改网络策略以允许使用 PAP 和 SPAP。我还没有找到更改 ASA 使用的身份验证协议的方法。希望对您有所帮助。

答案2

我认为你需要允许 SPAP。这是一步一步的指导对我有用。

相关内容