Назад | Перейти на главную страницу

настроить Cisco ASA для использования MS-CHAP v2 для аутентификации RADIUS

Сервер Cisco ASA5505 8.2 (2) Windows 2003 AD

Мы хотим настроить наш ASA (10.1.1.1) для аутентификации удаленных пользователей VPN через RADIUS на контроллере Windows AD (10.1.1.200)

У нас есть следующая запись на ASA:

aaa-server SYSCON-RADIUS protocol radius
aaa-server SYSCON-RADIUS (inside) host 10.1.1.200
 key *****
 radius-common-pw *****

Когда я тестирую вход с использованием учетной записи COMPANY \ username, я вижу, что учетные данные пользователей верны в журнале безопасности, но я получаю следующее в системных журналах Windows:

User COMPANY\myusername was denied access.
 Fully-Qualified-User-Name = company.com/CorpUsers/AU/My Name
 NAS-IP-Address = 10.1.1.1
 NAS-Identifier = <not present> 
 Called-Station-Identifier = <not present> 
 Calling-Station-Identifier = <not present> 
 Client-Friendly-Name = ASA5510
 Client-IP-Address = 10.1.1.1
 NAS-Port-Type = Virtual
 NAS-Port = 7
 Proxy-Policy-Name = Use Windows authentication for all users
 Authentication-Provider = Windows 
 Authentication-Server = <undetermined> 
 Policy-Name = VPN Authentication
 Authentication-Type = PAP
 EAP-Type = <undetermined> 
 Reason-Code = 66
 Reason = The user attempted to use an authentication method that is not enabled on the matching remote access policy.

Я предполагаю, что ASA использует аутентификацию PAP вместо MS-CHAP v2; учетные данные подтверждены, используется правильная политика удаленного доступа, но эта политика настроена так, чтобы разрешать только MS-CHAP2. Что нам нужно сделать на ASA, чтобы использовать MS-CHAP v2? В графическом интерфейсе ADSM установлен флажок «Совместимость с Microsoft CHAP v2», но я не знаю, чему это соответствует в конфигурации.

[Обновить] Я пробовал добавить в туннельную группу:

tunnel-group MYTUNNEL-AD ppp-attributes
 no authentication pap
 no authentication chap
 no authentication ms-chap-v1
 authentication ms-chap-v2

но команда «no authentication pap» ничего не делает и не отображается, когда я запускаю show tunnel-group ... и ASA все еще использует PAP.

Попробуйте включить управление паролями для туннельной группы, набрав "password-management" при настройке ipsec-атрибутов туннельной группы.

В конечном итоге оказалось, что функция тестового входа в систему игнорирует директиву на использование MSCHAP2 и всегда будет использовать PAP. Тестирование в реальном производстве работает правильно, даже если тесты всегда терпят неудачу.