我们是学校的一种服务提供商networking,使用Cisco ACS及其内部用户数据库对用户进行身份validation,使其能够访问我们提供的远程访问VPN。 我们支持的每所学校都有独立的Windows域。
我们希望能够使用ACS连接到不同的学校AD,以便能够使用他们的本地networking凭证进行身份validation。
可以这样做,如果有的话,是否需要Cisco ACS的特定软件版本? 我们目前正在运行3.3,我似乎无法find一个这样的工作方式。
谢谢,汤姆
ACS 3.3的安装指南(请参阅http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/installation/guide/windows/install.html#wp981552 )简要提及了受信任的域,最终用户文档( http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/user/guide/d.html#wp353805 )。 我想你可以创build与每个学校活动目录基础设施的单向信任关系,以方便通过AD做到这一点。
关于AD信任关系的负面影响在于,您需要为学校的域控制器计算机提供名称parsing。 您可以使用“通用LDAP”用户数据库function,并使用其Active Directory域控制器的IP地址来代替在Windows中使用基础pipe道来处理针对其AD数据库的身份validation。
最后,看起来像ACS 3.3安装可以使用另一个RADIUS服务器进行基于令牌的身份validation。 我想用一个标准的RADIUS服务器(不用实际使用令牌)来查看是否可以让ACSauthentication另一个RADIUS服务器。 如果可以的话,你可以要求学校运行一个RADIUS服务器(比如微软的IAS)并且只向你公开。 这会使你们两个尽可能脱离联系,同时仍然完成你想要的。 这是一个远射,但它可能工作。
我可能会首先寻求通用的LDAP路由( http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/user/guide/d.html#wp354503 )。