PIX/ASA：VPN客户端用户的Kerberos认证和LDAP授权服务器组通过ASDM/CLI配置示例

选择Configuration>属性>AAA设置>AAA服务器组，并且单击添加。
定义一名称对于新证书服务器组，并且选择协议。

Accounting Mode 选项仅用于 RADIUS 和 TACACS+。完成后单击 OK。
重复步骤1和2为了创建一个新的授权服务器组。
单击应用为了发送对设备的更改。

如果对其进行了相应配置，则设备当前将预览添加到运行配置的命令。
点击发送为了发送命令到设备。

现在必须用身份验证和授权服务器填充新创建的服务器组。
选择Configuration>属性>AAA设置>AAA服务器，并且单击添加。
配置身份验证服务器。完成后单击 OK。
- Server Group — 选择步骤 2 中配置的身份验证服务器组。
- Interface Name — 选择服务器所在的接口。
- Server IP Address — 指定身份验证服务器的 IP 地址。
- Timeout — 指定等待服务器响应的最长时间（以秒计）。
- Kerberos Parameters：
  - Server Port — 88 是 Kerberos 的标准端口。
  - Retry Interval — 选择所需的重试间隔。
  - Kerberos Realm — 输入 Kerberos 域的名称。通常这是全部为大写字母的 Windows 域名。
配置授权服务器。完成后单击 OK。
- Server Group — 选择步骤 3 中配置的授权服务器组。
- Interface Name — 选择服务器所在的接口。
- Server IP Address — 指定授权服务器的 IP 地址。
- Timeout — 指定等待服务器响应的最长时间（以秒计）。
- LDAP Parameters：
  - Server Port — 389 是 LDAP 的默认端口。
  - Base DN — 输入当服务器收到授权请求后在 LDAP 层次结构中应开始搜索的位置。
  - Scope — 选择当服务器收到授权请求后对 LDAP 层次结构应搜索到的范围。
  - 名字属性—输入在LDAP服务器的条目独特定义的相对辨别名称属性。普通的名字属性是共同名称(CN)和用户ID (uid)。
  - Login DN — 某些 LDAP 服务器（包括 Microsoft Active Directory 服务器）在其接受任何其他 LDAP 操作的请求之前，要求设备通过已经过身份验证的绑定建立握手。Login DN 字段定义设备的身份验证特征，这些特征应对应于具有管理权限的用户的那些特征。例如，cn=administrator。对于匿名访问，请将此字段留空。
  - Login Password — 输入 Login DN 的密码。
  - Confirm Login Password — 确认 Login DN 的密码。
在所有认证和授权服务器被添加后，请单击应用为了发送对设备的更改。

如果对其进行了相应配置，则 PIX 当前将预览添加到运行配置的命令。
点击发送为了发送命令到设备。

配置身份验证和授权的 VPN 隧道组

完成这些步骤为了添加您配置对VPN隧道组的服务器组。

选择Configuration> VPN >隧道组，并且单击添加为了创建新通道组或者编辑为了修改现有组。
在随后出现的窗口的 General 选项卡上，选择较早配置的服务器组。
可选：如果添加了新的隧道组，则配置其他选项卡上的剩余参数。
完成后单击 OK。
在隧道组配置完成后，请单击应用为了发送对设备的更改。

如果对其进行了相应配置，则 PIX 当前将预览添加到运行配置的命令。
点击发送为了发送命令到设备。

使用 CLI 配置 VPN 用户的身份验证和授权

这是 VPN 用户的身份验证和授权服务器组的等效 CLI 配置。

安全设备 CLI 配置
pixfirewall#show run : Saved : PIX Version 7.2(2) ! hostname pixfirewall domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 shutdown no nameif no security-level no ip address ! interface Ethernet1 nameif inside security-level 100 ip address 172.22.1.105 255.255.255.0 ! !--- Output is suppressed. ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid pager lines 24 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-522.bin !--- Output is suppressed. aaa-server my_authent_grp protocol kerberos aaa-server my_authent_grp host 172.22.1.100 kerberos-realm REALM.CISCO.COM aaa-server my_author_grp protocol ldap aaa-server my_author_grp host 172.22.1.101 ldap-base-dn ou=cisco ldap-scope onelevel ldap-naming-attribute uid http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart tunnel-group DefaultRAGroup general-attributes authentication-server-group my_authent_grp authorization-server-group my_author_grp ! !--- Output is suppressed.

安全设备 CLI 配置

pixfirewall#show run
: Saved
:
PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.22.1.105 255.255.255.0
!

!--- Output is suppressed.

!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-522.bin


!--- Output is suppressed.


aaa-server my_authent_grp protocol kerberos
aaa-server my_authent_grp host 172.22.1.100
 kerberos-realm REALM.CISCO.COM
aaa-server my_author_grp protocol ldap
aaa-server my_author_grp host 172.22.1.101
 ldap-base-dn ou=cisco
 ldap-scope onelevel
 ldap-naming-attribute uid

http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

tunnel-group DefaultRAGroup general-attributes
 authentication-server-group my_authent_grp
 authorization-server-group my_author_grp

!

!--- Output is suppressed.

验证

完成以下这些步骤，验证 PIX/ASA 与 AAA 服务器之间的用户身份验证：

选择Configuration>属性>AAA设置>AAA服务器，并且选择服务器组(my_authent_grp)。然后请单击测验为了验证用户凭证。
提供 Username 和 Password（例如，username：test，而 password：测验)，和点击OK键为了验证。
您会看到身份验证成功。

故障排除

身份验证失败的一个常见原因是时钟迟滞。请确保 PIX 或 ASA 上的时钟与身份验证服务器同步。

当验证发生故障由于时滞时，您能收到此错误消息：::- ERROR:Authentication Rejected:Clock skew greater than 300 seconds..并且，此日志消息出现：
%PIX|ASA-3-113020 ：Kerberos error :Clock skew with server ip_address greater than 300 seconds
ip_address — Kerberos 服务器的 IP 地址。

当由于安全设备和服务器上的时钟相差五分钟（300 秒），因此通过 Kerberos 服务器对 IPSec 或 WebVPN 用户进行身份验证失败时，将显示此消息。发生这种情况时，将拒绝连接尝试。

为了解决此问题，请同步在安全工具和Kerberos服务器的时钟。
必须禁用在激活目录(AD)的预验证，或者可能导致用户认证失败。
VPN客户端用户无法验证Microsoft Certificate服务器。显示以下错误消息：
“处理有效负载的错误” (Error 14)
为了解决此问题，请不选定不要求kerberose在认证服务器的预先身份验证复选框。

PIX/ASA：VPN客户端用户的Kerberos认证和LDAP授权服务器组通过ASDM/CLI配置示例

下载选项

关于此翻译

目录

简介

先决条件

要求

使用的组件

相关产品

规则

背景信息

使用 ASDM 配置 VPN 用户的身份验证和授权

配置身份验证和授权服务器

配置身份验证和授权的 VPN 隧道组

使用 CLI 配置 VPN 用户的身份验证和授权

验证

故障排除

相关信息

由思科工程师提供

此文档是否有帮助?

联系我们

相关的支持社区讨论

本文档适用于以下产品

PIX/ASA：VPN客户端用户的Kerberos认证和LDAP授权服务器组通过ASDM/CLI配置示例

下载选项

关于此翻译

目录

由思科工程师提供

此文档是否有帮助?

联系我们

相关的支持社区讨论

本文档适用于以下产品

分享