У меня есть настройка Cisco ASA с L2TP / IPSec VPN, все работает хорошо, за исключением одной незначительной проблемы. В идеале я хотел бы иметь возможность войти в VPN, используя пользователей этого сервера RADIUS или локальную базу данных пользователей на ASA. Прямо сейчас все используют пользователей RADIUS, и я включил возможность использовать локальную базу данных в качестве запасного варианта.
Я надеялся, что когда он сказал, что если сервер RADIUS не сможет аутентифицировать имя пользователя, он проверит локальную базу данных. К сожалению, это не так. Пользователь, который у меня есть на ASA в качестве экстренного, не используется, по крайней мере, пока доступен сервер RADIUS. Я могу запустить тест, временно отключив сервер RADIUS, чтобы проверить, действительно ли ASA откатится и будет использовать локальную базу данных, когда сервер RADIUS станет недоступен, что, как я полагаю, произойдет. Я бы действительно предпочел, чтобы VPN всегда могла аутентифицироваться либо по RADIUS, либо по локальной базе данных пользователей. Есть ли способ настроить VPN Cisco ASA для одновременного использования локальной базы данных пользователей и сервера RADIUS?
В VPN удаленного доступа Cisco ASA отсутствует возможность добавления нескольких групп серверов AAA для одного профиля подключения.
Поскольку каждая группа серверов AAA ограничена одним протоколом, вы не можете иметь одновременно RADIUS и LOCAL в качестве действительных серверов аутентификации в одном профиле подключения.
Единственный способ сделать это - сделать LOCAL резервной группой серверов AAA, но, как вы знаете, резервный сервер становится активным только в том случае, если ASA не может связаться с основной группой серверов AAA.
Чтобы сделать то, что вы хотите, я предлагаю создать один профиль подключения с группой серверов RADIUS AAA и второй профиль подключения с группой серверов LOCAL AAA.
Вы можете использовать одну и ту же групповую политику, назначение адресов и криптокарту для обоих профилей подключения. Разница заключается в имени профиля подключения, и вам нужно будет выбрать правильное имя профиля на экране входа AnyConnect или использовать соответствующий файл PCF клиента Cisco VPN Client.
ОБНОВЛЕНИЕ: если вы пытаетесь использовать аутентификацию AAA для VPN, но не разрешаете использовать ЛОКАЛЬНУЮ аутентификацию для VPN, если сервер AAA недоступен, просто не включайте откат в профиле подключения VPN. http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/access_aaa.html#wp1062034