xlid 发表于 2018-7-15 15:22:36

Cisco ASA SSL*** NPS Radius Domain

  在远程建立ssl***通过Cisco的5512 防火墙,同时用 windows 2012 作为NPS服务器,另外一台2012为AD服务器
  要求实现:
  外部用户可以通过 SSL ***登陆内网,不过验证是用 Windows 域账户,并通过Radius服务让的 NPS服务器 验证。
  具体的实现参看下面的文档,这里我对我的环境截图:
  首先是ASA的配置:
  aaa-server NPS protocol radius
  aaa-server NPS (inside) host 172.16.20.29
  key *****
  web***
  enable outside
  anyconnect image disk0:/anyconnect-win-2.5.2014-k9.pkg 1
  anyconnect profiles Anyconnect_***_client_profile disk0:/Cisco_AnyConnect_Profiles.xml
  anyconnect enable
  tunnel-group-list enable
  group-policy GroupPolicy_Anyconnect_*** internal
  group-policy GroupPolicy_Anyconnect_*** attributes
  wins-server value 192.168.20.24 192.168.20.23
  dns-server value 192.168.20.24 192.168.20.23
  ***-simultaneous-logins 10
  ***-idle-timeout 240
  ***-tunnel-protocol ssl-client ssl-clientless
  password-storage enable
  split-tunnel-policy tunnelspecified
  split-tunnel-network-list value split
  default-domain value ABC-VIE-VIE.CN
  web***
  anyconnect profiles value Anyconnect_***_client_profile type user
  tunnel-group Anyconnect-*** type remote-access
  tunnel-group Anyconnect-*** general-attributes
  address-pool Anyconnnect_Pool
  authentication-server-group NPS
  default-group-policy GroupPolicy_Anyconnect_***
  tunnel-group Anyconnect-*** web***-attributes
  group-alias Anyconnect-*** enable
  注意:这里的NPS我一直写成了 authentication-server-group (Inside) NPS 出现问题了,ASA是系统识别不到了任何的认证方式,直接会用本地的账户认证。
  ------------------------------------------------
  NPS上的截图为:
  见下面的附件文档中
页: [1]
查看完整版本: Cisco ASA SSL*** NPS Radius Domain