В настоящее время у меня возникают проблемы с аутентификацией с помощью RADIUS с наших устройств Cisco ... похоже, частично работает, но я явно что-то упускаю, надеясь, что некоторые эксперты могут указать мне правильное направление. У меня есть ASA 5510 и настроен VPN. У меня есть установка Windows Server 2008 R2 с ролью NPS, выступающей в качестве сервера RADIUS (только без использования NAP и т. Д., Просто установите для RADIUS). Я недавно установил VPN, и, похоже, он работает нормально, но теперь я пытаюсь настроить его так, чтобы я мог использовать свои учетные данные AD для входа в наши коммутаторы, но я не могу заставить его разделить два ... для Например, все пользователи домена могут использовать VPN, но только NetworkGroup должна иметь доступ к другим устройствам Cisco.
В разделе «Клиенты RADIUS» я создал клиента с именем VPN, у него есть IP-адрес нашего внутреннего интерфейса на ASA, производитель устройства - Cisco и включен. У меня есть клиент с именем Switch с IP-адресом коммутатора, на котором я тестирую, Cisco в качестве производителя устройства и включен.
В разделе «Политики»> «Политики запросов на подключение» есть значение по умолчанию «Использовать проверку подлинности Windows для всех пользователей», которое имеет только ограничение дня / времени в качестве условия, но разрешает доступ в любое время, в настройках он имеет «Поставщик проверки подлинности - Локальный компьютер» и «Переопределение проверки подлинности отключено». Я добавил сюда одну под названием VPN (с ограничениями по времени открытия и состоянием адреса IPv4) и одну под названием Switch (с ограничениями по времени открытия и состоянием адреса IPv4), думая, что это было необходимо, но во время тестирования я обнаружил, что могу отключить их, и это работает отлично ... но, прочитав, я прочитал, должна быть хотя бы одна действующая политика. Я могу отключить параметр по умолчанию, но когда я настраиваю один из других с теми же учетными данными, которые он, похоже, не принимает, я не могу войти в систему с переключателя, я получаю сообщение об ошибке «Доступ запрещен - использование интерактивной аутентификации с клавиатуры». Если я включу политику CR по умолчанию, она сразу же снова заработает ... в основном кажется, что ей все равно, есть ли у меня политика для каждого устройства (а может и не стоит?).
В разделе «Политики»> «Сетевые политики» я также добавил две политики: одну под названием Switch, а другую под названием VPN.
Политика Switch устанавливается с условием User Groups-Domain \ NetworkGroup. В настройках у меня есть:
Cisco-AV-Pair со значением оболочки: priv-lvl = 15.
Расширенное состояние с пустым значением.
Разрешение на доступ со значением «Предоставить доступ».
Метод аутентификации со значением незашифрованной аутентификации (PAP, SPAP).
Nap Enforcement со значением Разрешить полный доступ к сети.
Обновите несовместимых клиентов со значением True.
Service-Type со значением Login.
BAP процент емкости со значением «Уменьшить многоканальность», если сервер достигает 50% за 2 минуты.
Некоторые из этих настроек я установил при тестировании, другие были по умолчанию.
Политика VPN устанавливается с условием Группы пользователей-Домен \ ДоменПользователи. В настройках у меня есть:
Игнорировать свойства дозвона пользователя со значением True.
Разрешение на доступ со значением «Предоставить доступ».
Метод аутентификации со значением Незашифрованная аутентификация (PAP, SPAP) или MS-CHAP v1 ИЛИ MS-CHAP v1, ИЛИ MS-CHAPV2.
Nap Enforcement со значением Разрешить полный доступ к сети.
Обновите несовместимых клиентов со значением True.
Framed-протокол со значением PPP.
Service-Type со значением Framed.
Некоторые из этих настроек не совпадают, потому что я пару дней ходил туда-сюда, пробуя разные сценарии, поэтому я, честно говоря, не уверен, нужны ли некоторые из них ... Я знаю, что если я отключу этот политика по умолчанию в CR-Policy, я не могу войти в коммутатор ... если я отключу клиент RADIUS, я не могу войти в коммутатор (имеет смысл), но если я отключу сетевую политику коммутатора, она все равно позволит мне войти ... предполагая, что он просто откатывается и берет учетные данные из сетевой политики VPN, которая позволяет пользователям домена входить в систему, и я тоже в этой группе ...
Итак, результат, к которому я стремлюсь (извините за такой длинный вопрос, но стараюсь быть максимально информативным!), Заключается в том, что я хотел бы, чтобы любой из наших конечных пользователей в группе AD DomainUsers имел возможность использовать VPN и дозвон успешно, но не позволяет им подключаться к нашим коммутаторам и входить в систему таким же образом. Я хочу, чтобы только учетная запись NetworkGroup AD могла входить в них. Как я могу предоставить безопасный доступ к обоим? Звучит достаточно просто, и это выглядит просто сверху, но, хоть убей, это не работает ... если я уберу политику переключения, она все равно позволит конечному пользователю (тестирование с тестовой учетной записью конечного пользователя) войти в мой коммутатор с обычным AD вход в систему (я предполагаю, что это разрешено политикой VPN). Пожалуйста, не стесняйтесь задавать любые вопросы или разъяснения и заранее благодарим за любую помощь, которую вы можете оказать!
Вам нужно будет придерживаться создания / упорядочивания сетевых политик, чтобы делать то, что вы пытаетесь сделать. Просто используйте одну широко открытую политику запросов на подключение по умолчанию, а затем защитите их через NP.
Вы можете «разделить два», как вы говорите, ограничив каждую созданную вами сетевую политику достаточными условиями, так что в сочетании несколько условий вместе достигают ваших целей. Похоже, вы указали только одно условие для каждой политики - членство в сетевой группе. Как вы обнаружили, это не сработает. Когда ваше устройство с поддержкой RADIUS запрашивает у вашего RADIUS-сервера аутентификацию вашего пользователя, RADIUS-сервер пересылает учетные данные пользователей в AD, который успешно совпадает с учетными данными (потому что они пока расплывчаты), и возвращает положительный результат серверу RADIUS. , что, в свою очередь, сообщает устройству разрешить аутентификацию. Я забываю весь правильный жаргон RADIUS, но в основном это то, что происходит.
Итак, добавьте в свою политику еще одно условие (или несколько), чтобы получить то, что вы хотите. Похоже, вы хотите, чтобы политика коммутатора работала с пользователями в Domain \ NetworkGroup и только на ваших коммутаторах (эти запросы никогда не должны поступать с IP-адреса вашего ASA, с какого-либо принтера или рабочей станции пользователя или чего-то еще). При определенных условиях загляните в раздел клиента RADIUS - например, ClientFriendlyName или ClientIPv4Address. Если условия включают то, что запрос поступает только от одного из ваших предопределенных IP-адресов или имен коммутатора, он не будет «аутентифицировать» запросы, поступающие с вашего IP-адреса ASA.
Сделайте то же самое для своей политики vpn. Тебе должно быть хорошо от этого. Однако вы можете начать с чистых сетевых политик. Я не думаю, что вы сможете использовать настройки для обновления несовместимых клиентов без дополнительной работы (и всего другого типа политики тоже).
Кроме того, вы можете посмотреть свои журналы RADIUS, если вам нужна дополнительная информация о том, что он на самом деле делает. Я считаю, что они находятся в system32 \ logfiles. Возможно, вам придется включить его на сервере NPS, если это еще не сделано. Вы можете найти в Google инструменты, которые помогут вам читать файлы журнала, поскольку они не очень удобны для пользователя. В крайнем случае, у MS есть статья, в которой перечислены все поля по порядку. Однако поищите инструменты (IASlogviewer? Или что-то в этом роде?).
Не уверен, что это поможет, поскольку я никогда не настраивал VPN, но именно так мы настраиваем наши коммутаторы для использования аутентификации RADIUS с нашими учетными записями AD для управления коммутаторами и маршрутизаторами. Мне нужно обновить сообщение, чтобы включить дополнительные настройки для консольного порта.
http://murison.wordpress.com/2010/11/11/cisco-radius-configuration-with-server-2008-r2/
Мы используем единую политику для всех устройств, используя регулярное выражение для имени устройства, но вы можете создать отдельную политику для каждого устройства для начала и для тестирования.