Cisco PIX conectado ao Active Directory para VPN

2

Eu tenho um Cisco PIX 515E que atualmente está atuando como o roteador do escritório. Temos um domínio MS e utilizamos o MS VPN para acesso remoto. Eu gostaria de usar a funcionalidade VPN da Cisco incorporada ao PIX e aproveitar o diretório ativo para autenticação; no entanto, não encontrei uma boa fonte de instruções sobre como fazer isso. Eu sou um programador com um hobby de administração de sistemas, então as instruções que estou procurando não devem ser voltadas para um especialista em Cisco ou AD. Existem instruções como essas?

    
por JPrescottSanders 30.04.2009 / 17:01

3 respostas

2

Você precisa do Serviço de Autenticação da Internet (IAS) instalado em um servidor membro do domínio e de um segredo compartilhado inserido no servidor IAS e no PIX.

execute em seu PIX:

aaa-server RADIUS protocol radius
aaa-server RADIUS (inside) host IAS_SERVER SharedSecretHere timeout 10
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication RADIUS
crypto map outside_map interface outside
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5 
vpngroup Remote address-pool pix_inside
vpngroup Remote dns-server DNS_SERVER_1 DNS_SERVER_2
vpngroup Remote wins-server WINS_SERVER
vpngroup Remote default-domain domainToAuthenticate
vpngroup Remote idle-time 1800

Isso deve apontar você na direção certa e começar.

    
por 08.06.2009 / 22:31
1

Faz alguns anos desde que eu trabalhei com o PIX, então isso pode ter mudado se eles adicionaram suporte direto ao LDAP.

O que você deseja configurar é um servidor RADIUS. É um componente do Windows Server. Você pode configurar o PIX para autenticação em relação ao servidor RADIUS específico e saber como se comunicar com o Active Directory.

Uma pesquisa no Google por "configuração do RADIUS no Windows" deve fornecer vários guias sobre como fazer isso.

    
por 30.04.2009 / 17:20
1

Desde 8.x o PIX / ASA Release pode usar o ldap totalmente suportado.

Eu sugiro que você atualize seu PIX para o ASA Image 8.0 (4). Não é uma grande coisa .. Tudo que você precisa é de pelo menos 64 mb Ram (normalmente o pix 515e tem 32mb construir, mas você ainda pode encontrar ram barata no ebay ..) e o software é claro.

    
por 08.06.2009 / 22:20