отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Авторизация через RADIUS. ASA 5520 Remote VPN

Здравствуйте.

Делаю первые шаги в изучении АСА. Первые шаги сопровоздаются частыми падениями и наступаниями на грабли.

ip local pool PGpool 192.168.68.100-192.168.68.200


aaa-server nibs protocol radius

aaa-server nibs (ouside) host 192.168.1.14

key *****

authentication-port 1812

accounting-port 1813


crypto ipsec transform-set CVPNC esp-aes-256 esp-sha-hmac

crypto dynamic-map DMpg 1 set transform-set CVPNC

crypto dynamic-map DMpg 1 set reverse-route


crypto map CMpg 1 ipsec-isakmp dynamic DMpg

crypto map CMpg interface ouside

crypto isakmp enable ouside

crypto isakmp policy 1

authentication pre-share

encryption 3des

hash md5

group 2

lifetime 86400

crypto isakmp policy 20

authentication pre-share

encryption aes-256

hash sha

group 2

lifetime 86400


tunnel-group DefaultRAGroup general-attributes

authentication-server-group (ouside) nibs LOCAL


tunnel-group PGgroup type remote-access

tunnel-group PGgroup general-attributes

address-pool PGpool

authorization-server-group nibs

password-management

tunnel-group PGgroup ipsec-attributes

pre-shared-key *****

!


И вот проблема

%ASA-6-113015: AAA user authentication Rejected : reason = Invalid password : local database : user = airo

ASA ни в какую не хочет проверять поьзователя через радиус. А в локал датабасе естественно такого юзера нет.

При всем при этом

test aaa authentication nibs host 192.168.1.14

INFO: Authentication Successful

Тоесть сам радиус настроен и работает отлично. Не подскажите в чем затык? В инете часто упоминается еще какие-то group-policy но там вроди бы про радиус ничего нет.

Спасибо.

  • Безопасность (Security)
1 ОТВЕТ
New Member

Авторизация через RADIUS. ASA 5520 Remote VPN

1. В tunnel-group PGgroup general-attributes надо добавить

     authentication-server-group nibs

     default-group-policy NAME_GR_POL

2. Прописать саму group-policy:

    group-policy NAME_GR_POL internal

    group-policy NAME_GR_POL attributes

    vpn-tunnel-protocol IPSec

    group-lock value PGgroup

    split-tunnel-policy tunnelspecified

    split-tunnel-network-list value NAME_LIST

3. Создать сам лист:

    access-list NAME_LIST standart permit NETWORK MASK

531
Просмотры
0
Полезный материал
1
Ответы