目前,我们已经在ASA 5510上安装了VPN。我已经设置了使用NPS进行RADIUS身份validation,但从来没有真正configuration过多的会计。 我想要设置这个能够告诉更多人在远程办公时正在做什么/访问。 我现在把它设置得很基本: aaa-server VPN protocol radius aaa-server VPN host 10.10.4.25 timeout 3 key “password” authentication-port 1812 accounting-port 1813 radius-common-pw “password” 在NPS上,根据NPS(本地)>会计,我看到“configuration会计”,这是简单的吗? 还有什么事情需要做会计发送到主机10.10.4.25? 它看起来太直白了。 感谢您的input。
当尝试连接到我们公司的无线而不在域上时,我收到一条消息,说我们的RADIUS服务器提供了由我们的根CA颁发的有效证书,但是根CA没有configuration为有效的信任锚(在一个窗口7机)。 为了删除此消息,必须根据无线networking连接的安全性手动检查根CA. 手动告诉系统信任根CA有什么意义? 是不是有一个可信的根CA的点? 有没有办法解决? 当用户认为我们的连接不安全或证书过期时,就成为一个问题。 我无法手动configuration每台可能使用无线的机器。 这与在这里看到的问题是一样的 。
大概有点混乱,让我来解释一下情况。 我们公司希望通过PEAPauthentication实施企业无线LAN 。 不幸的是,10年前,有人在我们的Active Directorydevise中犯了一个大错误。 我们使用的域名company.ch不属于我们公司,而是由其他人拥有。 这使得无法为RADIUS服务器颁发公共SSL证书,而且我们的Active Directory域太大而无法重命名。 我们已经考虑过使用我们的私人PKI并通过GPO推出CA生成的证书,但这只会覆盖我们的企业pipe理的客户端,而不是我们的BYOD策略(智能手机,平板电脑,笔记本电脑)环境中的任何设备。 ) 有没有办法添加像company2.ch这样的二级域名,针对它颁发一个公共证书,并将RADIUSjoin到该二级域名,那么我们可以通过DHCP为所有客户端池configuration二级域名? 或者有另外一种方法,例如,在自己的域( company2.ch )上有一个新的RADIUS服务器,它连接到company.ch域的某种信任? 我不是一个客户服务器的人,但希望你得到我的漂移。
我试图通过直接在users文件中包含适当的信息来限制每个用户在RADIUS中的一小组Mac-ID。 即使每个用户只限于一个mac也是可以接受的。 服务器从Ubuntu 13.10版本库运行FreeRADIUS版本2.1.12。 使用的身份validation是PEAP和MSCHAPv2。 当物理客户端(Nexus 5)尝试通过接入点(Netgear WG-102)连接时,FreeRADIUS似乎在访问请求中标识Mac-id,但不在检查中使用它。 在我当前的testing设置中,networking上的唯一设备是radius服务器,接入点和testing客户端。 users文件中的条目设置如下: testuser NT-Password := "<hash>", Calling-Station-Id == "a1b2c3d4e5f6" policy.conf文件有一个rewrite.calling_station_id函数,用于将Mac ID标准化为上述格式,并在preprocess后在available-sites/default调用。 正确格式化的mac-id显示在运行freeradius -X的日志中。 但是,这些请求被拒绝。 即使支票被Calling-Station-Id =* "a1b2c3d4e5f6"取代,只要该属性存在就应该通过,这些请求被拒绝。 但是,如果它被Calling-Station-Id !* "a1b2c3d4e5f6"取代,只有在请求中不存在该属性的情况下才会通过该请求,这些请求将被接受。 相反,如果我使用radclient ,则会观察到预期的行为。 configuration文件和相关日志链接如下。 整个/etc/freeradius文件夹已链接,并且还包含以下四种情况的日志。 请注意,数字2是唯一出乎意料的行为: nexus-without-mac-success : users文件没有mac检查,authentication成功 nexus-with-mac-fail : users文件具有正确的MAC地址,authentication失败 radclient-with-mac-expected-behaviour-fail-with-wrong :radclient以错误的mac地址运行并被拒绝: echo "User-Name=testuser,User-Password=test,Calling-Station-Id=8c:3a:e3:19:70:0e" | radclient localhost auth testing123 echo "User-Name=testuser,User-Password=test,Calling-Station-Id=8c:3a:e3:19:70:0e" | radclient localhost auth testing123 […]
我有一个使用L2TP / IPSec VPN的Cisco ASA设置,除了一个小问题之外,所有的都运行良好。 理想情况下,我希望能够使用ASA上的RADIUS服务器用户或本地用户数据库login到VPN。 现在,一切都使用RADIUS用户,我打开了select使用本地数据库作为回退。 这是我的希望,当它表示回退,如果RADIUS服务器无法validation用户名,它会检查本地数据库。 不幸的是,事实并非如此。 我在ASA上作为紧急用户的用户没有被使用,至less在RADIUS服务器不可访问的情况下。 我可以通过暂时禁用RADIUS服务器来运行testing,以确定ASA是否确实会后退,并在radius服务器无法访问时使用本地数据库,这是我相信会发生的事情。 我真的更喜欢VPN只是能够对RADIUS或本地用户数据库进行身份validation。 有没有办法设置思科ASA的VPN同时使用本地用户数据库和RADIUS服务器?
我正在testing以下设置: RADIUS服务器使用EAP-TLS协议。 客户端和服务器有以下证书: 客户 公钥: clientcert_intermediatecert_chain.pem CA证书: rootcert.pem 服务器 公钥: servercert_intermediatecert_chain.pem CA证书: rootcert.pem 客户端证书( clientcert.pem )和服务器证书( clientcert.pem )都由相同的中间证书( intermediatecert.pem )签名,中间证书由根证书( rootcert.pem )签名。 这两个被设置为公钥的链都像这样放在一起(通过Shell命令): cat servercert.pem intermediatecert.pem > servercert_intermediatecert_chain.pem cat clientcert.pem intermediatecert.pem > clientcert_intermediatecert_chain.pem 现在,客户端尝试连接到服务器。 双方发送他们的公钥,并尝试使用rootcert.pemvalidation接收到的公钥 我知道“正常”的方式是,公钥只是服务器或客户端证书。 而CA证书将成为imcert-rootcert-chain,但我必须知道这是否也能起作用。 现在我的问题: 公钥是由服务器/客户端证书和中间证书组成的链是否合法? 如果是这样,这是否适用于双方(服务器和客户端)? 如果服务器(如FreeRADIUS)或客户端能够使用根证书validation这些链接,如果他们从柜台部分接收到这些链接? 根据我的经验,FreeRADIUS不validation这样的证书链权利。 如果我没有弄错FreeRADIUS使用OpenSSL库,并在上面的情况下执行以下命令: openssl verify -CAfile rootcert.pem clientcert_intermediatecert_chain.pem 我很确定这是行不通的。 OpenSSL无法使用根证书来validation这样的链。 尝试将信任链放在一起时失败了。 它是否正确? 顺便说一下,FreeRADIUS返回的错误与verify命令相同: error 20 […]
有谁知道是否有可能configuration帕姆需要radius和ssh-key成功validation?
我使用一些Meraki接入点运行RADIUS服务器,Authentications的过程是好的…但似乎Meraki云控制器只是发送validation数据包而不是记帐请求。 我用radclient工具(本地)testing了RADIUS发送记帐请求,它工作。 我认为也许我的RADIUS服务器忽略了来自MCC的记帐请求,因为有一些供应商特定属性是我的RADIUS不知道的。 我应该添加一个Meraki的字典到我的RADIUSconfiguration? 我有点绝望,有什么想法?
我已经接pipe了一个服务器设置(作为我的工作的一部分),设置如下: 威胁pipe理网关(用作防火墙)的服务器设置 – 192.168.1.1 具有域控制器angular色的服务器 – 192.168.1.10 具有Radius和NAPangular色的服务器 – 192.168.1.22 我已经看过一些教程,使用802.1xauthentication来设置无线networking。 在完成设置Radius客户端的过程中,我需要提供一个IP地址。 大多数(因为我没有看到每一个教程或帮助文件)的教程链接到思科接口,但我不知道,我有点卡住了放在那里。 我需要吗? 放入Radius服务器的IP地址 放入域控制器的IP地址 – 因为那是Active Directory所在的地方? 据我所知,这似乎是皮卡在我的设置authentication用户的地方。 我在Mac OS上收到这条消息。
我的问题更多的是从概念的angular度来看,而不是实现(即使我在询问专有协议和产品)。 假设我有我的Active Directory中设置的用户和凭据。 用户可以使用这些凭据login到他们的桌面。 据我所知,我可以使用Microsoft NPS作为RADIUS服务器,并configurationPEAP模式,以便用户(来自无线设备)被提示input他们的凭证,这些凭证是通过无线方式encryption传输的(使用服务器数字证书)设备到RADIUS服务器。 1)如何从RADIUS服务器传输到AD的凭据(假设不同的服务器在不同的VLAN中)? 或者,RADIUS只是一个传递,它是可以解密证书的AD? 2)如果我想使用EAP-TLS来代替(假设为每个无线设备颁发了客户端证书),那么客户端证书是否映射到AD中的用户? 如果是的话,映射在哪里进行,RADIUS和AD之间的通信如何?