Cisco ASA SSLVPN NPS Radius Domain

在远程建立sslvpn通过Cisco的5512 防火墙,同时用 windows 2012 作为NPS服务器,另外一台2012为AD服务器

要求实现:

外部用户可以通过 SSL VPN登陆内网,不过验证是用 Windows 域账户,并通过Radius服务让的 NPS服务器 验证。

具体的实现参看下面的文档,这里我对我的环境截图:

首先是ASA的配置:

aaa-server NPS protocol radius
aaa-server NPS (inside) host 172.16.20.29
 key *****
 
 webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-2.5.2014-k9.pkg 1
 anyconnect profiles Anyconnect_VPN_client_profile disk0:/Cisco_AnyConnect_Profiles.xml
 anyconnect enable
 tunnel-group-list enable
group-policy GroupPolicy_Anyconnect_VPN internal
group-policy GroupPolicy_Anyconnect_VPN attributes
 wins-server value 192.168.20.24 192.168.20.23
 dns-server value 192.168.20.24 192.168.20.23
 vpn-simultaneous-logins 10
 vpn-idle-timeout 240
 vpn-tunnel-protocol ssl-client ssl-clientless
 password-storage enable
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value ABC-VIE-VIE.CN
 webvpn
  anyconnect profiles value Anyconnect_VPN_client_profile type user

tunnel-group Anyconnect-VPN type remote-access
tunnel-group Anyconnect-VPN general-attributes
 address-pool Anyconnnect_Pool
 authentication-server-group NPS
 default-group-policy GroupPolicy_Anyconnect_VPN
tunnel-group Anyconnect-VPN webvpn-attributes
 group-alias Anyconnect-VPN enable

注意:这里的NPS我一直写成了 authentication-server-group (Inside) NPS 出现问题了,ASA是系统识别不到了任何的认证方式,直接会用本地的账户认证。

------------------------------------------------

NPS上的截图为:

见下面的附件文档中

时间: 2024-10-01 03:11:28

Cisco ASA SSLVPN NPS Radius Domain的相关文章

Cisco ASA - Permit/Deny Traffic Domain name FQDN

refer to:https://www.fir3net.com/Firewalls/Cisco/cisco-asa-domain-fqdn-based-acls.html dns domain-lookup outside DNS server-group China_Telecom_SH_DNS name-server 202.96.209.133 202.96.209.5 domain-name Oneitc.local object network obj-i1.mallcoo.cn f

cisco ASA ios升级或恢复

cisco ASA ios升级或恢复 一.升级前准备工作 1.准备好所要升级的IOS文件及对应的ASDM文件 2.在一台电脑上架设好tftp,设置好目录,与防火墙进行连接(假设电脑IP为192.168.1.2) 二.升级步骤 1.telnet上ASA ASA>en                  //进入特权模式 ASA#conft                 //进入配置模式 2.查看ASA上的文件.版本信息及启动文件 ASA(config)#dir           //查看asa上

Cisco asa 5510升级IOS和ASDM

asa asa(config)# dir //显示文件目录 copy disk0:/asa707-k8.bin tftp://192.168.1.149/ asa707-k8.bin //将原有IOS文件备份到TFTP服务器上 copy disk0:/asdm507.bin tftp://192.168.1.149/asdm507.bin //将原有asdm文件备份到TFTP服务器上 copy tftp://192.168.1.149/asa803-k8.bin disk0:/asa803-k8

Cisco ASA使用证书加密

使用ASDM配置HTTPS证书加密anyconnect连接 一.在没有使用证书的情况下每次连接VPN都会出现如下提示 命令 在 ASA 上,可以在命令行中使用若干 show 命令以验证证书的状态. show crypto ca certificates命令用于查看关于您的证书.CA证书和所有注册机关(RA)证书的信息. 命令 show crypto ca trustpoints 用于验证信任点配置. 命令 show crypto key mypubkey rsa 用于显示 ASA 的 RSA 公

Cisco ASA 高级配置

Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:IP分片原理及分析. 二.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1) 创建class-map (类映射),识别传输流量. (2) 创建policy-map (策略映射),关联class-map.

在Cisco ASA上实验 使用RRI的全互连Site to Site IPSec VPN

拓扑图如上. 说明:ASA1.2.3模拟分支边界网关,并启用PAT.R1.2.3模拟各内网设备. 要求:在ASA1.2.3上配置Site to Site VPN,实现全互联并配置反向路由注入(RRI),R1.2.3可以使用私有IP加密通信,不要求使用loopback IP通信:R1.2.3上有去往各私网的路由(通过RRI). 配置如下: ASA1: ciscoasa>en   ciscoasa# conf t //基本配置部分 ciscoasa(config)# hostname ASA1 AS

Cisco ASA 部署日志服务器

如不明白或有疑问请点击此处:Cisco ASA 部署日志服务器:理论知识+实验教程

CISCO ASA 如何选择出接口

CISCO路由器什么时候路由优先,什么时候NAT优先可能大家都知道,INSIDE进先路由,OUTSIDE进先NAT. 好了,那么对于CISCO ASA却不是这样的情况,大部分上还是先查找路由如果数据从inside进,在两种情况下NAT会优先路由去确认出接口. 做了目的NAT转换 static NAT session存在 知道这个功能后,我们再来看下如下两个CASE CISCO ASA虽然没有PBR功能,但是依然能做到双线分流 ASA 8.3以上版本做了L2L VPN后无法通过隧道管理防火墙,即管

CISCO ASA NAT 回流解决方案

实际案例中也不少碰到此类问题,客户内网有台服务器映射在互联网上,外网用户访问Global-IP没问题,但是内网用户想要访问Global-IP就会不通,典型的就是用户将内网服务器做了公网DNS A记录,无论内外网均通过域名访问. JUNIPER系列设备包括Netscreen/ISG/SSG没有这类问题,直接通过普通的DIP即可实现,后续产品SRX防火墙也需通过双向NAT来解决,下面通过CISCO ASA来解决这个CASE,JUNIPER SRX解决原理类似. 假想拓扑如下: ASA内网网段192.