configura um Cisco ASA para usar o MS-CHAP v2 para autenticação RADIUS

Navegue suas respostas
1

Cisco ASA5505 8.2 (2) Servidor AD do Windows 2003

Queremos configurar o nosso ASA (10.1.1.1) para autenticar usuários VPN remotos através do RADIUS no controlador do Windows AD (10.1.1.200)

Temos a seguinte entrada no ASA: 

aaa-server SYSCON-RADIUS protocol radius
aaa-server SYSCON-RADIUS (inside) host 10.1.1.200
 key *****
 radius-common-pw *****

Quando eu testo um login usando a conta COMPANY \ username, vejo que as credenciais dos usuários estão corretas no log de segurança, mas obtenho o seguinte nos logs do sistema Windows: 

User COMPANY\myusername was denied access.
 Fully-Qualified-User-Name = company.com/CorpUsers/AU/My Name
 NAS-IP-Address = 10.1.1.1
 NAS-Identifier = <not present> 
 Called-Station-Identifier = <not present> 
 Calling-Station-Identifier = <not present> 
 Client-Friendly-Name = ASA5510
 Client-IP-Address = 10.1.1.1
 NAS-Port-Type = Virtual
 NAS-Port = 7
 Proxy-Policy-Name = Use Windows authentication for all users
 Authentication-Provider = Windows 
 Authentication-Server = <undetermined> 
 Policy-Name = VPN Authentication
 Authentication-Type = PAP
 EAP-Type = <undetermined> 
 Reason-Code = 66
 Reason = The user attempted to use an authentication method that is not enabled on the matching remote access policy.

Minha suposição é que o ASA está usando a autenticação PAP, em vez do MS-CHAP v2; as credenciais são confirmadas, a diretiva de acesso remoto adequada está sendo usada, mas essa diretiva está definida para permitir somente o MS-CHAP2. O que precisamos fazer no ASA para torná-lo nos MS-CHAP v2? Na GUI do ADSM A caixa de seleção "Compatível com o Microsoft CHAP v2" está ativada, mas não sei o que isso corresponde à configuração.

[atualização] Eu tentei adicionar o seguinte ao grupo de túneis: 

tunnel-group MYTUNNEL-AD ppp-attributes
 no authentication pap
 no authentication chap
 no authentication ms-chap-v1
 authentication ms-chap-v2

mas o comando "no authentication pap" não faz nada e não mostra quando eu executo show tunnel-group ... e o ASA ainda está usando o PAP.

    
por DrStalker 15.04.2010 / 10:49

2 respostas

2

No final, descobriu-se que a função de login de teste ignora a diretiva para usar o MSCHAP2 e sempre usará o PAP. O teste na produção real funciona corretamente, mesmo que os testes sempre falhem.

    
por 21.06.2010 / 11:08
2

Tente ativar o gerenciamento de senha no grupo de túneis digitando "gerenciamento de senha" ao configurar os ipsec-atributos do grupo de túneis.

    
por 08.09.2010 / 01:37

Tags

Evitar que a sessão VNC bloqueie a tela Unidades de mapeamento no MacOSX (Leopard / Snow Leopard) permanentemente dentro da LAN