×

Предупреждение

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

Cisco ASA 5510 и авторизация vpn в домене с паролем, содержащии русские буквы

Answered Question
ноя 18th, 2015
User Badges:

Добрый день.

Cisco asa 5510 Version 8.3(1)  настроена авторизация при подключении по vpn с доменом.Домен windows 2012R2.  Идет проверка по группе и паролю. Настройки следующие:

ldap attribute-map LDAP_memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=remote_vpn,OU=Service,OU=All users,DC=domain,DC=ru" VPNUsers
  map-name  msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
dynamic-access-policy-record DfltAccessPolicy
aaa-server VPNUsers protocol ldap
aaa-server VPNUsers (Inside) host 192.168.167.254
 ldap-base-dn OU=SPB,OU=All users,DC=domain,DC=ru
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn CN=asauser,OU=Service,OU=All users,DC=domain,DC=ru
 server-type microsoft
 ldap-attribute-map LDAP_memberOf

Проблема в следующем: если у пользователя пароль содержит буквы английского алфавита, то авторизация проходит корректно, если пароль содержит русские символы, то авторизация срывается.

При проверке с консоли test aaa-server authentication VPNUsers host 192.168.167.254 с русскими символами при вводе первого же символа дает результат:

INFO: Attempting Authentication test to IP address <192.168.167.254> (timeout: 12 seconds)

[5608] Session Start
[5608] New request Session, context 0xacda98f8, reqType = Authentication
[5608] Fiber started
[5608] Creating LDAP context with uri=ldap://1192.168.167.254:389
[5608] Connect to LDAP server: ldap://192.168.167.254:389, status = Successful
[5608] supportedLDAPVersion: value = 3
[5608] supportedLDAPVersion: value = 2
[5608] Binding as addr mail
[5608] Performing Simple authentication for asauser to 192.168.167.254
[5608] LDAP Search:
        Base DN = [OU=SPB,OU=All users,DC=domain,DC=ru]
        Filter  = [sAMAccountName=abcd]
        Scope   = [ONE LEVEL]
[5608] User DN = [CN=abcd,OU=SPB,OU=All users,DC=psb,DC=ru]
[5608] Talking to Active Directory server 192.168.167.254
[5608] Reading password policy for abcd, dn:CN=abcd,OU=SPB,OU=All users,DC=domain,DC=ru
[5608] Read bad password count 0
[5608] Binding as abcd
[5608] Performing Simple authentication for abcd to 192.168.167.254
[5608] Simple authentication for abcd returned code (49) Invalid credentials
[5608] Message (abcd): 80090308: LdapErr: DSID-0C0903CF, comment: AcceptSecurityContext error, data 52e, v2580
[5608] Invalid password for abcd
[5608] Fiber exit Tx=553 bytes Rx=3174 bytes, status=-1
[5608] Session End
ERROR: Authentication Rejected: Invalid password

Существует ли решение данной проблемы или только как рекомендация пользователям не использовать русские символы в пароле? Спасибо

I have this problem too.
0 голоса
Correct Answer by Oleg Tipisov about 1 год 9 месяцев назад

Это не поддерживается из-за ограничений в подсистеме AAA:

CSCsq36460    ASA should support ISO-8859-1 character set in the CLI
CSCsy79449    AAA: Support of multi-byte characters

Имена и пароли должны содержать только символы с кодами 0-127.


Loading.
Correct Answer
Oleg Tipisov чт, 11/19/2015 - 11:57
User Badges:
  • Cisco Employee,
  • Events Top Contributors,

    Cisco, 2014

Это не поддерживается из-за ограничений в подсистеме AAA:

CSCsq36460    ASA should support ISO-8859-1 character set in the CLI
CSCsy79449    AAA: Support of multi-byte characters

Имена и пароли должны содержать только символы с кодами 0-127.


Andrey Snytko чт, 11/19/2015 - 23:25
User Badges:

Ясно. Спасибо. Попробуем объяснить пользователям что нельзя использовать пароль содержащий русские символы.

Igor Yakimchuk пн, 10/03/2016 - 19:56
User Badges:

Делаем авторизацию vpn (ssl) пользователей через Radius, а не напрямую к LDAP и нет никаких проблем с паролями у которых есть русские символы. Есть потом проблема при авторизации с web-портала дальше, но там возможно проблема в коде страницы, она самописная. Потому что на почтовый сервер авторизация с портала проходит.

Действия

Информация о дискуссии