我目前在使用我们的思科设备的RADIUS进行身份validation方面存在问题…似乎部分工作,但我错过了某些东西,希望有些专家可以指出我正确的方向。 我有一个ASA 5510和VPN上configuration的。 我将Windows Server 2008 R2设置为充当RADIUS服务器的NPSangular色(仅使用NAP等,只是为RADIUS设置)。 我最近设置VPN,它似乎工作正常,但现在我想configuration它,以便我可以使用我的AD凭据login到我们的交换机以及,但我不能得到它分为两个… for实例中,所有域用户都可以使用VPN,但是只有NetworkGroup应该能够访问其他Cisco设备。
在RADIUS客户端下,我创build了一个名为VPN的客户端,它具有ASA上的内部接口的IP地址,思科的设备制造商和启用的IP地址。 我有一个名为Switch的客户端,我正在testing的交换机的IP地址,思科作为设备制造商和启用。
在“策略”>“连接请求策略”下,默认情况下,“仅对所有用户使用Windows身份validation”仅将date/时间限制作为条件,但允许随时访问设置下的身份validation提供程序 – 本地计算机和覆盖身份validation禁用。 我在这里添加了一个名为VPN(开放时间限制和IPv4地址条件)和一个名为Switch(具有开放时间限制和IPv4地址条件),认为这是所需要的,但在testing期间,我发现我可以禁用他们工作得很好……但从阅读我看,至less有一个政策是有效的。 我可以禁用默认的一个,但是当我使用相同的凭据设置其他人之一,似乎并不需要,我不能从交换机login,我得到错误“访问被拒绝 – 使用键盘交互式身份validation。如果我启用默认的CR策略,它马上又会起作用……基本上,它似乎并不关心我是否有在每个设备的政策(也许我不应该?)。
在“策略”>“networking策略”下,我添加了两个策略,一个名为Switch,另一个名为VPN。
Switch策略设置为User Groups-Domain \ NetworkGroup。 在设置下我有:
Cisco-AV-Pair值为shell:priv-lvl = 15。
扩展状态值为空白。
使用授予访问权限的访问权限。
具有未encryptionauthentication(PAP,SPAP)值的authentication方法。
午休强制执行,允许完全networking访问。
更新值为True的不合规客户端。
具有login值的服务types。
如果服务器在2分钟内达到50%,BAP的容量百分比值为“减less多重链接”。
我在testing中设置的一些设置,其他的默认设置。
VPN策略设置为User Groups-Domain \ DomainUsers。 在设置下我有:
忽略值为True的用户拨入属性。
使用授予访问权限的访问权限。
带有未encryptionauthentication(PAP,SPAP)或MS-CHAP v1或MS-CHAP v1或MS-CHAPV2值的身份validation方法。
午休强制执行,允许完全networking访问。
更新值为True的不合规客户端。
框架协议与PPP的价值。
带有框架值的服务types。
其中一些设置是不一样的,因为我已经来回尝试了几天不同的场景,所以我真的不知道是否有一些是必要的…我知道,如果我禁用那个在CR-Policy下的默认策略,我无法login到交换机…如果我禁用RADIUS客户端,我无法login到交换机(有道理),但如果我禁用交换机networking策略,它仍然让我login…假设它只是滚下来,从VPNnetworking策略,允许DomainUserslogin凭据,我也在该组… …
所以我努力争取的结果(抱歉这么长的问题,但尽可能地提供信息!)是,我希望DomainUsers AD组中的任何最终用户能够使用VPN并拨号但是不允许他们远程login我们的交换机并以相同的方式login。 我只想要NetworkGroup AD帐户能够login到那些。 我怎样才能安全地访问这两个? 听起来很简单,它看起来很简单,但在我的生活中,它不工作…如果我拿走切换政策,它仍然让最终用户(用最终用户testing帐户testing)login到我的交换机与正常的广告login(获得由我承担的VPN策略允许)。 请随时提出任何问题或澄清,并提前感谢您可以给予任何帮助!
你会想要坚持创build/订购networking策略来做你想做的事情。 只需使用一个广泛开放的默认连接请求策略,然后通过NP进行安全。
您可以按照自己的说法“划分这两个”,通过限制您创build的每个networking策略以足够的条件进行限制,例如将多个条件组合在一起实现您的目标。 看起来您只在每个策略中指定了一个条件 – networking组成员资格。 正如你所发现的,这是行不通的。 当启用RADIUS的设备要求您的RADIUS服务器对您的用户进行身份validation时,RADIUS服务器将用户的凭据转发到AD,该AD成功匹配凭证(因为此时它们是模糊的),并向RADIUS服务器返回肯定,这反过来告诉设备允许authentication。 我在这里忘了所有适当的RADIUS术语 – 但基本上这就是发生了什么事情。
所以,将另一个条件(或更多)叠加到您的策略上,以获得您想要的。 听起来就像您希望交换机策略与Domain \ NetworkGroup中的用户一样,并且只能在您的交换机上(这些请求不应该来自ASA的IP,或者某个打印机或用户工作站或其他任何东西)。 在条件下,查看RADIUS客户端部分 – ClientFriendlyName或ClientIPv4Address,例如。 如果条件包括请求仅来自您的预定义交换机IP或名称之一,则不会“authentication”来自您的ASA IP的请求。
你的VPN策略也一样。 你应该从那里好起来。 尽pipe你可能想从干净的networking策略开始。 我不认为你将能够使用这些设置来更新不兼容的客户端,而不需要做更多的工作(以及其他的策略types)。
另外,如果你想了解更多信息,你可以看看你的RADIUS日志。 我相信他们在system32 \ logfiles下。 如果您的NPS服务器尚未启动,您可能需要启用它。 你可以谷歌工具来帮助你阅读日志文件,因为它们不是真的用户友好。 在一个捏,MS有一个文章,列出所有的领域,按顺序。 寻找工具虽然(IASlogviewer?或类似的东西?)。
不知道这是否会有所帮助,因为我从来没有设置VPN,但这是我们如何设置我们的交换机使用RADIUS身份validation与我们的ADloginpipe理交换机和路由器。 我需要更新post以包含控制台端口的更多设置。
http://murison.wordpress.com/2010/11/11/cisco-radius-configuration-with-server-2008-r2/
对于使用正则expression式设备名称的所有设备,我们使用单一策略,但是您可以为每个设备创build一个单独的策略,以开始testing。