一段时间以来,我一直使用 2008 R2 作为 Radius 服务器,并且我有一个配置为 Radius 客户端且运行正常的 Cisco ASA FW。我引入了另一个 Windows 2012 DC,并直接从书中为 NPS 配置了相同的策略。
但是,当我在 ASA 的 ASDM 中的 AAA 服务器组中进行测试时,出现 AAA 身份验证错误。
我已经在 ASA 上完成了调试半径并得到以下结果:
解析数据包数据.....
半径:代码 = 3 (0x03)
半径:标识符 = 176 (0xB0)
半径:长度 = 20 (0x0014)
半径:矢量:49E1FD50243A3E1FC620F4C4F030AC6B
rad_procpkt:拒绝
RADIUS_DELETE
2012 上是否需要重新配置某些内容才能使 Radius Client ASA 正常工作。
Radius 策略与 2008 R2 相同。
亲切的问候。
答案1
实际上,我们只是进行了同样的练习,并得到了相同或相似的结果。
首先尝试禁用 ASA 上 RADIUS 服务器的 MS-CHAPv2 支持。
如果这确实有帮助,那么问题可能出在您的 2012 服务器上,它不允许 MS-CHAPv2 所需的 NTLMv1。默认情况下只允许 NTLMv2。
如果这没有帮助那么您可能遇到了其他问题。