我有一个Cisco PIX 515E,目前是作为办公室的路由器。 我们有一个MS域,并利用MS VPN进行远程访问。 我想使用PIX内置的Cisco VPNfunction,并利用活动目录进行身份validation; 然而,我还没有find一个很好的来源指导如何做到这一点。 我是一名具有系统pipe理员爱好的程序员,所以我正在寻找的说明不应该面向思科或AD专家。 有没有这样的指示存在?
您需要安装在域成员服务器上的Internet身份validation服务(IAS)以及您在IAS服务器和PIX上input的共享密钥。
然后在您的PIX上执行:
aaa-server RADIUS protocol radius aaa-server RADIUS (inside) host IAS_SERVER SharedSecretHere timeout 10 crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map client authentication RADIUS crypto map outside_map interface outside crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20 crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5 vpngroup Remote address-pool pix_inside vpngroup Remote dns-server DNS_SERVER_1 DNS_SERVER_2 vpngroup Remote wins-server WINS_SERVER vpngroup Remote default-domain domainToAuthenticate vpngroup Remote idle-time 1800 这应该指出你在正确的方向,让你开始。
我已经使用PIX了几年,所以如果他们添加了直接的LDAP支持,这可能会改变。
你想要设置的是一个RADIUS服务器。 它是Windows Server的一个组件。 您可以将PIX设置为针对您的特定RADIUS服务器进行身份validation,并知道如何与Active Directory进行通信。
在Google上search'在Windows中设置RADIUS'应该可以帮助您了解如何做到这一点。
自8.x以来,PIX / ASA版本可以使用完全支持的ldap。
我build议您将PIX升级到ASA Image 8.0(4)。 这不是什么大不了的事。你所需要的只是至less64mb Ram(普通的515e有32mb内置,但是你仍然可以在ebay上find便宜的ram ..)和软件。