Cisco ASA5505 8.2(2) Windows 2003 AD 服务器
我们希望配置我们的 ASA (10.1.1.1) 以通过 Windows AD 控制器 (10.1.1.200) 上的 RADIUS 对远程 VPN 用户进行身份验证
我们在 ASA 上有以下条目:
aaa-server SYSCON-RADIUS protocol radius
aaa-server SYSCON-RADIUS (inside) host 10.1.1.200
key *****
radius-common-pw *****
当我使用帐户 COMPANY\username 测试登录时,我看到安全日志中的用户凭据是正确的,但是在 Windows 系统日志中收到以下内容:
User COMPANY\myusername was denied access.
Fully-Qualified-User-Name = company.com/CorpUsers/AU/My Name
NAS-IP-Address = 10.1.1.1
NAS-Identifier = <not present>
Called-Station-Identifier = <not present>
Calling-Station-Identifier = <not present>
Client-Friendly-Name = ASA5510
Client-IP-Address = 10.1.1.1
NAS-Port-Type = Virtual
NAS-Port = 7
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = VPN Authentication
Authentication-Type = PAP
EAP-Type = <undetermined>
Reason-Code = 66
Reason = The user attempted to use an authentication method that is not enabled on the matching remote access policy.
我的假设是 ASA 使用 PAP 身份验证,而不是 MS-CHAP v2;凭证已确认,正在使用正确的远程访问策略,但此策略设置为仅允许 MS-CHAP2。我们需要在 ASA 上做什么才能使其成为 MS-CHAP v2?在 ADSM GUI 中,“Microsoft CHAP v2 兼容”复选框已启用,但我不知道这在配置中对应什么。
[更新] 我尝试将以下内容添加到隧道组:
tunnel-group MYTUNNEL-AD ppp-attributes
no authentication pap
no authentication chap
no authentication ms-chap-v1
authentication ms-chap-v2
但是“no authentication pap”命令不执行任何操作,并且在我运行 show tunnel-group 时也没有显示...并且 ASA 仍在使用 PAP。
答案1
最终发现,测试登录功能忽略了使用 MSCHAP2 的指令,并且始终使用 PAP。实际生产中的测试可以正常工作,尽管测试总是会失败。
答案2
尝试在配置隧道组 ipsec 属性时输入“password-management”来在隧道组上启用密码管理。