Cisco ASA - LDAP 身份验证问题

网络工程 思科 虚拟专用网
2021-07-16 05:36:47

我已经为 LDAP 身份验证配置了 ASA,并成功地使用“Test aaa-server”命令进行了测试。但是,当我尝试通过无客户端 VPN 进行连接时,我无法登录。本地用户可以通过无客户端 VPN 登录。

我真的不确定我将如何开始解决这个问题。

编辑:编辑了一些非必要信息(原因是测试 aaa-server 测试工具验证 aaa 服务器是否正确验证,AKA 内部的所有内容都按预期工作。如果我错了,请纠正我。)

Model: 5508-x
Software Version: 9.6(4)3

aaa-server Users_VPN protocol ldap
aaa-server Users_VPN (inside) host REDACT
 ldap-base-dn REDACT
 ldap-naming-attribute REDACT
 ldap-login-password REDACT
 ldap-login-dn REDACT
 server-type REDACT
user-identity default-domain LOCAL
aaa authentication http console LOCAL 
aaa authentication enable console LOCAL 
aaa authentication ssh console LOCAL 
aaa authentication telnet console LOCAL 
aaa authorization command LOCAL
2个回答

你的 aaa 命令都没有引用你的 aaa-server,只有本地。

试试这个....你需要为你想要使用它的每个 aaa auth 行引用它。

aaa authentication http console Users_VPN LOCAL

对于 WebVPN,您需要将服务器添加到隧道组属性中。与之前的 aaa 配置一样,如果半径服务器可访问,则将始终使用它,如果半径服务器出现故障,附加 LOCAL 仍将为这些用户访问。

(config)#tunnel-group "yourtunnelgroup" general-att
(config-tunnel-general)#authentication-server-group Users_VPN LOCAL

当您尝试使用无客户端 VPN 连接到 ASA 时,ASA 将根据“DefaultWEBVPNGroup”隧道组中配置的任何内容测试您的凭据。因此,您需要添加类似于以下内容的配置:

tunnel-group DefaultWEBVPNGroup general-attributes
 authentication-server-group Users_VPN

这将导致所有无客户端 VPN 用户都通过 LDAP 进行身份验证。如果您在本地数据库中也有用户,那么您可以 (1) 将这些用户添加到 LDAP 目录,或 (2) 配置组别名,允许用户选择他们要登录的隧道组to,这又决定将使用哪个用户数据库(LDAP 或本地)。

这是有关组别名的一些文档的链接。

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98580-enable-group-dropdown.html

附带说明一下,所有这些aaa authentication命令仅用于管理流量。因此,ASDM、SSH 等。

其它你可能感兴趣的问题
上一篇没有接口IP地址的Ping环回 下一篇Cisco ASA vPC 配置问题