У меня есть Cisco PIX 515E, который в настоящее время работает как офисный маршрутизатор. У нас есть домен MS, и мы используем MS VPN для удаленного доступа. Я хотел бы использовать функциональность Cisco VPN, встроенную в PIX, и активный каталог для аутентификации; однако я не нашел хорошего источника инструкций о том, как это сделать. Я программист с хобби системного администратора, поэтому инструкции, которые я ищу, не должны быть ориентированы на экспертов Cisco или AD. Существуют ли подобные инструкции?
Вам понадобится служба проверки подлинности в Интернете (IAS), установленная на сервере-члене домена, и общий секрет, который вы вводите на сервере IAS и PIX.
затем выполните на своем PIX:
aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host IAS_SERVER SharedSecretHere timeout 10
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication RADIUS
crypto map outside_map interface outside
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
vpngroup Remote address-pool pix_inside
vpngroup Remote dns-server DNS_SERVER_1 DNS_SERVER_2
vpngroup Remote wins-server WINS_SERVER
vpngroup Remote default-domain domainToAuthenticate
vpngroup Remote idle-time 1800
Это должно указать вам правильное направление и начать работу.
Начиная с версии 8.x, выпуск PIX / ASA может использовать полностью поддерживаемый ldap.
Я бы посоветовал вам обновить ваш PIX до ASA Image 8.0 (4). Это не имеет большого значения .. Все, что вам нужно, это по крайней мере 64 Мб оперативной памяти (обычно pix 515e имеет 32 Мб встроенной памяти, но вы все еще можете найти дешевую оперативную память на ebay ..) и, конечно же, программное обеспечение.
Прошло несколько лет с тех пор, как я работал с PIX, поэтому все могло измениться, если бы они добавили прямую поддержку LDAP.
Что вы хотите настроить, так это сервер RADIUS. Это компонент Windows Server. Вы можете настроить PIX для аутентификации на вашем конкретном сервере RADIUS, и он знает, как взаимодействовать с Active Directory.
Поиск в Google по запросу «настройка RADIUS в Windows» даст вам множество руководств о том, как это сделать.