Configurando o Cisco ASA VPN para usar o raio e os usuários locais

2

Eu tenho uma configuração Cisco ASA com VPN L2TP / IPSec, tudo está funcionando bem, exceto por um problema menor. Idealmente, gostaria de poder fazer logon na VPN usando os usuários do servidor RADIUS ou o banco de dados do usuário local no ASA. No momento, tudo usa usuários RADIUS e eu optei pela opção de usar o banco de dados local como um substituto.

Era minha esperança que quando ele dissesse que se o servidor RADIUS não autenticasse um nome de usuário, ele verificaria o banco de dados local. Infelizmente, esse não é o caso. O usuário que tenho no ASA como uma emergência não está sendo usado, pelo menos não enquanto o servidor RADIUS estiver acessível. Eu posso executar um teste desabilitando o servidor RADIUS temporariamente para ver se o ASA realmente fará fallback e usará o banco de dados local quando o servidor radius estiver inacessível, que é o que acredito que acontecerá. Eu realmente prefiro que a VPN seja capaz de autenticar contra o RADIUS ou o banco de dados do usuário local o tempo todo. Existe alguma maneira de configurar uma VPN da Cisco ASA para usar simultaneamente o banco de dados do usuário local e um servidor RADIUS?

    
por Darinth 21.01.2016 / 16:46

1 resposta

2

Em uma VPN de acesso remoto Cisco ASA, você não tem a opção de adicionar vários grupos de servidores AAA para um único perfil de conexão.

Como cada grupo de servidores AAA está limitado a um protocolo, você não pode ter os servidores de autenticação RADIUS e LOCAL válidos em um perfil de conexão.

A única maneira de fazer isso é para LOCAL ser o grupo de servidores AAA de fallback, mas como você sabe, o fallback somente se torna ativo se o ASA não puder se comunicar com o grupo de servidores AAA primário.

Para fazer o que você quer, sugiro criar um perfil de conexão que tenha o grupo de servidores RADIUS AAA e um segundo perfil de conexão que tenha o grupo de servidores LOCAL AAA.

Você pode usar a mesma política de grupo, atribuição de endereço e mapa de criptografia para ambos os perfis de conexão. A diferença é o nome do perfil de conexão e você precisará escolher o nome do perfil correto na tela de login do AnyConnect ou usar o arquivo PCF do Cisco VPN Client apropriado.

ATUALIZAÇÃO: Se você estiver tentando ter autenticação AAA para a VPN, mas não permitir que a autenticação LOCAL seja usada para a VPN, se o servidor AAA não estiver disponível, não ative o fallback no perfil de conexão VPN. link

    
por 31.03.2016 / 17:54