配置 Cisco ASA 使用 MS-CHAP v2 进行 RADIUS 身份验证

配置 Cisco ASA 使用 MS-CHAP v2 进行 RADIUS 身份验证

Cisco ASA5505 8.2(2) Windows 2003 AD 服务器

我们希望配置我们的 ASA (10.1.1.1) 以通过 Windows AD 控制器 (10.1.1.200) 上的 RADIUS 对远程 VPN 用户进行身份验证

我们在 ASA 上有以下条目:

aaa-server SYSCON-RADIUS protocol radius
aaa-server SYSCON-RADIUS (inside) host 10.1.1.200
 key *****
 radius-common-pw *****

当我使用帐户 COMPANY\username 测试登录时,我看到安全日志中的用户凭据是正确的,但是在 Windows 系统日志中收到以下内容:

User COMPANY\myusername was denied access.
 Fully-Qualified-User-Name = company.com/CorpUsers/AU/My Name
 NAS-IP-Address = 10.1.1.1
 NAS-Identifier = <not present> 
 Called-Station-Identifier = <not present> 
 Calling-Station-Identifier = <not present> 
 Client-Friendly-Name = ASA5510
 Client-IP-Address = 10.1.1.1
 NAS-Port-Type = Virtual
 NAS-Port = 7
 Proxy-Policy-Name = Use Windows authentication for all users
 Authentication-Provider = Windows 
 Authentication-Server = <undetermined> 
 Policy-Name = VPN Authentication
 Authentication-Type = PAP
 EAP-Type = <undetermined> 
 Reason-Code = 66
 Reason = The user attempted to use an authentication method that is not enabled on the matching remote access policy.

我的假设是 ASA 使用 PAP 身份验证,而不是 MS-CHAP v2;凭证已确认,正在使用正确的远程访问策略,但此策略设置为仅允许 MS-CHAP2。我们需要在 ASA 上做什么才能使其成为 MS-CHAP v2?在 ADSM GUI 中,“Microsoft CHAP v2 兼容”复选框已启用,但我不知道这在配置中对应什么。

[更新] 我尝试将以下内容添加到隧道组:

tunnel-group MYTUNNEL-AD ppp-attributes
 no authentication pap
 no authentication chap
 no authentication ms-chap-v1
 authentication ms-chap-v2

但是“no authentication pap”命令不执行任何操作,并且在我运行 show tunnel-group 时也没有显示...并且 ASA 仍在使用 PAP。

答案1

最终发现,测试登录功能忽略了使用 MSCHAP2 的指令,并且始终使用 PAP。实际生产中的测试可以正常工作,尽管测试总是会失败。

答案2

尝试在配置隧道组 ipsec 属性时输入“password-management”来在隧道组上启用密码管理。

相关内容