我正在尝试设置 Cisco ASA(版本 9.1(7)6)以针对 Microsoft 网络策略服务器 2012 R2 进行身份验证。
ASA 能够与 NPS 服务器通信,但test aaa-server命令返回 AAA 失败。检查 NPS 服务器上的安全事件日志显示身份验证失败,原因是The user attempted to use an authentication method that is not enabled in the matching network policy.和Authentication Type: PAP。
我不明白的是,Unencrypted authentication (PAP, SPAP)网络策略启用了什么。服务器是全新安装的 Windows,除了默认设置外,只有一个网络策略。事件日志条目确实显示它与我的单个(非默认)网络策略相匹配。似乎没有任何其他相关的事件日志条目。
似乎只有 PAP 身份验证存在问题,因为我能够通过使用 MSCHAPv2 对 NPS 进行身份验证通过 VPN 连接登录。请注意,该test aaa-server命令仅支持 PAP 身份验证。
答案1
在 NPS 中,除了网络策略外,还要确保在连接请求策略上启用 PAP。我在使用 PAP 验证 Cisco Prime 基础设施时遇到了类似的问题,所以我的解决方案也许也适用于你。