配置 Cisco 交换机和 ASA/VPN 设备以使用 W2008R2 NPS RADIUS 进行身份验证

配置 Cisco 交换机和 ASA/VPN 设备以使用 W2008R2 NPS RADIUS 进行身份验证

我目前无法从我们的 Cisco 设备使用 RADIUS 进行身份验证……它似乎部分工作正常,但我显然遗漏了一些东西,希望一些专家可以给我指明正确的方向。我有一台 ASA 5510 并在其上配置了 VPN。我已将 Windows Server 2008 R2 设置成 NPS 角色充当 RADIUS 服务器(仅用于 RADIUS,不使用 NAP 等)。我最近设置了 VPN,它似乎运行良好,但现在我试图对其进行配置,以便我也可以使用我的 AD 凭据登录到我们的交换机,但我无法让它将两者分开……例如,所有域用户都可以使用 VPN,但只有网络组应该能够访问其他 Cisco 设备。

在 RADIUS 客户端下,我创建了一个名为 VPN 的客户端,它具有 ASA 上内部接口的 IP 地址,设备制造商为 Cisco,并且已启用。我有一个名为 Switch 的客户端,它具有我正在测试的交换机的 IP 地址,设备制造商为 Cisco,并且已启用。

在“策略”>“连接请求策略”下,有默认的“对所有用户使用 Windows 身份验证”,它仅将日期/时间限制作为条件,但允许随时访问,在设置下,它具有身份验证提供程序 - 本地计算机和禁用覆盖身份验证。我在这里添加了一个名为VPN(具有开放时间限制和IPv4地址条件)的策略和一个名为Switch(具有开放时间限制和IPv4地址条件)的策略,认为这就是所需要的,但在测试过程中我发现我可以禁用它们并且它运行良好...但从阅读中我读到必须至少有一个策略生效。我可以禁用默认的策略,但是当我使用相同的凭据设置其他策略之一时,它似乎不起作用,我无法从交换机登录,我收到错误“访问被拒绝 - 使用键盘交互式身份验证。”如果我启用默认的 CR 策略,它会立即再次工作......基本上它似乎并不关心我是否有针对每个设备的策略(也许我不应该?)。

在“策略”>“网络策略”下,我还添加了两个策略,一个叫做“Switch”,另一个叫做“VPN”。

Switch 策略的设置条件为用户组-域\网络组。在设置下,我有:

Cisco-AV-Pair 的值为 shell:priv-lvl=15。
扩展状态的值为空白。
访问权限的值为授予访问权限。
身份验证方法的值为未加密身份验证 (PAP、SPAP)。Nap
强制的值为允许完全网络访问。
更新不合规客户端的值为 True。
服务类型的值为登录。
如果服务器在 2 分钟内达到 50%,则 BAP 容量百分比的值为减少多链路。

其中一些设置是我在测试时设置的,其他设置都是默认的。

VPN 策略的设置条件为用户组-域\域用户。在设置下,我有:

忽略用户拨入属性,值为 True。
访问权限,值为授予访问权限。
身份验证方法,值为未加密身份验证 (PAP、SPAP) 或 MS-CHAP v1 或 MS-CHAP v1 或 MS-CHAPV2。Nap
强制,值为允许完全网络访问。
更新不兼容客户端,值为 True。Framed
-Protocol,值为 PPP。
服务类型,值为 Framed。

这些设置中的一些并不相同,因为我已经来回尝试了几天不同的方案,所以我真的不确定其中一些是否是必要的......我确实知道如果我禁用 CR-Policy 下的那个默认策略,我将无法登录到交换机......如果我禁用 RADIUS 客户端,我将无法登录到交换机(有道理),但如果我禁用交换机网络策略,它仍然允许我登录......假设它只是向下滚动并从允许域用户登录的 VPN 网络策略中获取凭据,而我也在该组中......

因此,我努力追求的结果(抱歉,问题这么长,但我会尽可能提供信息!)是,我希望 DomainUsers AD 组中的任何最终用户都能够使用 VPN 并成功拨号,但不允许他们远程访问我们的交换机并以相同的方式登录。我只希望 NetworkGroup AD 帐户能够登录到这些帐户。我怎样才能安全地授予两者访问权限?听起来很简单,表面上看起来也很简单,但对我来说,它不起作用……如果我删除交换机策略,它仍然允许最终用户(使用最终用户测试帐户进行测试)使用正常的 AD 登录(我假设 VPN 策略允许)登录到我的交换机。请随时提出任何问题或澄清,并提前感谢您提供的任何帮助!

答案1

您将需要坚持创建/订购网络策略来执行您要执行的操作。只需使用一个完全开放的默认连接请求策略,然后通过 NP 进行保护。

您可以像您所说的那样“将两者分开”,通过限制您创建的每个网络策略的充分条件,这样多个条件结合起来就可以实现您的目标。看起来您在每个策略上只指定了一个条件 - 网络组成员身份。正如您所发现的,这是行不通的。当启用 RADIUS 的设备要求您的 RADIUS 服务器对您的用户进行身份验证时,RADIUS 服务器会将用户的凭据转发到 AD,后者成功匹配凭据(因为此时它们很模糊),并向 RADIUS 服务器返回肯定结果,后者又告诉设备允许身份验证。我忘记了这里所有正确的 RADIUS 术语 - 但基本上这就是正在发生的事情。

因此,将另一个条件(或更多条件)堆叠到您的策略上以获得您想要的结果。听起来您希望交换机策略与域\网络组中的用户一起工作,并且只在您的交换机上工作(这些请求永远不应来自您的 ASA 的 IP,或某些打印机或用户工作站或其他任何东西)。在条件下,查看 RADIUS 客户端部分 - 例如 ClientFriendlyName 或 ClientIPv4Address。如果条件包括请求仅来自您的预定义交换机 IP 或名称之一,则它不会“验证”来自您的 ASA IP 的请求。

对您的 vpn 策略也执行相同的操作。您应该从那里开始。不过,您可能希望从干净的网络策略开始。我认为您将无法使用这些设置来更新不合规的客户端,除非您做更多的工作(以及其他类型的策略)。

此外,如果您想要更多有关其实际执行情况的信息,您可以查看 RADIUS 日志。我相信它们位于 system32\logfiles 下。如果尚未启用,您可能需要在 NPS 服务器上启用它。您可以通过 Google 搜索工具来帮助您阅读日志文件,因为它们并不是非常用户友好。在紧急情况下,MS 有一篇文章按顺序列出了所有字段。不过,请查找工具(IASlogviewer?或类似的东西?)。

答案2

不确定这是否有用,因为我从未设置过 VPN,但这就是我们设置交换机的方式,使用 RADIUS 身份验证和 AD 登录来管理交换机和路由器。我需要更新帖子以包含控制台端口的进一步设置。

http://murison.wordpress.com/2010/11/11/cisco-radius-configuration-with-server-2008-r2/

我们对所有设备使用单一策略,使用正则表达式作为设备名称,但您可以为每个设备创建单独的策略,以便开始使用和测试。

相关内容