我有一个带有 L2TP/IPSec VPN 的 Cisco ASA 设置,除了一个小问题外,一切都运行良好。理想情况下,我希望能够使用该 RADIUS 服务器用户或 ASA 上的本地用户数据库登录 VPN。现在,一切都使用 RADIUS 用户,并且我已打开使用本地数据库作为后备的选项。
我希望当它说回退时,如果 RADIUS 服务器无法验证用户名,它会检查本地数据库。不幸的是,事实并非如此。我在 ASA 上作为紧急情况使用的用户未被使用,至少在 RADIUS 服务器可访问时未被使用。我可以通过暂时禁用 RADIUS 服务器来运行测试,以查看一旦 RADIUS 服务器无法访问,ASA 是否确实会回退并使用本地数据库,我相信这会发生。我真的希望 VPN 能够始终针对 RADIUS 或本地用户数据库进行身份验证。有没有办法设置 Cisco ASA 的 VPN 以同时使用本地用户数据库和 RADIUS 服务器?
答案1
在 Cisco ASA 远程访问 VPN 中,您无法选择为单个连接配置文件添加多个 AAA 服务器组。
由于每个 AAA 服务器组仅限于一种协议,因此您不能在一个连接配置文件上同时将 RADIUS 和 LOCAL 作为有效的身份验证服务器。
唯一的方法是让 LOCAL 作为后备 AAA 服务器组,但正如您所知,只有当 ASA 无法与主 AAA 服务器组通信时,后备才会变为活动状态。
为了做您想做的事情,我建议创建一个具有 RADIUS AAA 服务器组的连接配置文件和另一个具有 LOCAL AAA 服务器组的连接配置文件。
您可以对两个连接配置文件使用相同的组策略、地址分配和加密映射。区别在于连接配置文件名称,您需要从 AnyConnect 登录屏幕中选择正确的配置文件名称或使用正确的 Cisco VPN Client PCF 文件。
更新:如果您尝试对 VPN 进行 AAA 身份验证,但在 AAA 服务器不可用的情况下不允许对 VPN 使用本地身份验证,则不要启用 VPN 连接配置文件上的回退。http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/access_aaa.html#wp1062034