Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Community Member

Cisco ASA 5510 и авторизация vpn в домене с паролем, содержащии русские буквы

Добрый день.

Cisco asa 5510 Version 8.3(1)  настроена авторизация при подключении по vpn с доменом.Домен windows 2012R2.  Идет проверка по группе и паролю. Настройки следующие:

ldap attribute-map LDAP_memberOf
  map-name  memberOf Group-Policy
  map-value memberOf "CN=remote_vpn,OU=Service,OU=All users,DC=domain,DC=ru" VPNUsers
  map-name  msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address
dynamic-access-policy-record DfltAccessPolicy
aaa-server VPNUsers protocol ldap
aaa-server VPNUsers (Inside) host 192.168.167.254
 ldap-base-dn OU=SPB,OU=All users,DC=domain,DC=ru
 ldap-naming-attribute sAMAccountName
 ldap-login-password *****
 ldap-login-dn CN=asauser,OU=Service,OU=All users,DC=domain,DC=ru
 server-type microsoft
 ldap-attribute-map LDAP_memberOf

Проблема в следующем: если у пользователя пароль содержит буквы английского алфавита, то авторизация проходит корректно, если пароль содержит русские символы, то авторизация срывается.

При проверке с консоли test aaa-server authentication VPNUsers host 192.168.167.254 с русскими символами при вводе первого же символа дает результат:

INFO: Attempting Authentication test to IP address <192.168.167.254> (timeout: 12 seconds)

[5608] Session Start
[5608] New request Session, context 0xacda98f8, reqType = Authentication
[5608] Fiber started
[5608] Creating LDAP context with uri=ldap://1192.168.167.254:389
[5608] Connect to LDAP server: ldap://192.168.167.254:389, status = Successful
[5608] supportedLDAPVersion: value = 3
[5608] supportedLDAPVersion: value = 2
[5608] Binding as addr mail
[5608] Performing Simple authentication for asauser to 192.168.167.254
[5608] LDAP Search:
        Base DN = [OU=SPB,OU=All users,DC=domain,DC=ru]
        Filter  = [sAMAccountName=abcd]
        Scope   = [ONE LEVEL]
[5608] User DN = [CN=abcd,OU=SPB,OU=All users,DC=psb,DC=ru]
[5608] Talking to Active Directory server 192.168.167.254
[5608] Reading password policy for abcd, dn:CN=abcd,OU=SPB,OU=All users,DC=domain,DC=ru
[5608] Read bad password count 0
[5608] Binding as abcd
[5608] Performing Simple authentication for abcd to 192.168.167.254
[5608] Simple authentication for abcd returned code (49) Invalid credentials
[5608] Message (abcd): 80090308: LdapErr: DSID-0C0903CF, comment: AcceptSecurityContext error, data 52e, v2580
[5608] Invalid password for abcd
[5608] Fiber exit Tx=553 bytes Rx=3174 bytes, status=-1
[5608] Session End
ERROR: Authentication Rejected: Invalid password

Существует ли решение данной проблемы или только как рекомендация пользователям не использовать русские символы в пароле? Спасибо

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения
Cisco Employee

Это не поддерживается из-за

Это не поддерживается из-за ограничений в подсистеме AAA:

CSCsq36460    ASA should support ISO-8859-1 character set in the CLI
CSCsy79449    AAA: Support of multi-byte characters

Имена и пароли должны содержать только символы с кодами 0-127.

3 ОТВЕТ.
Cisco Employee

Это не поддерживается из-за

Это не поддерживается из-за ограничений в подсистеме AAA:

CSCsq36460    ASA should support ISO-8859-1 character set in the CLI
CSCsy79449    AAA: Support of multi-byte characters

Имена и пароли должны содержать только символы с кодами 0-127.

Community Member

Ясно. Спасибо. Попробуем

Ясно. Спасибо. Попробуем объяснить пользователям что нельзя использовать пароль содержащий русские символы.

Community Member

Делаем авторизацию vpn (ssl)

Делаем авторизацию vpn (ssl) пользователей через Radius, а не напрямую к LDAP и нет никаких проблем с паролями у которых есть русские символы. Есть потом проблема при авторизации с web-портала дальше, но там возможно проблема в коде страницы, она самописная. Потому что на почтовый сервер авторизация с портала проходит.

287
Просмотры
0
Полезный материал
3
Ответы
СоздатьДля создания публикации, пожалуйста в систему