web-dev-qa-db-ja.com

半径ユーザーとローカルユーザーの両方を使用するようにCiscoASAVPNを設定する

L2TP/IPsecVPNを使用したCiscoASAセットアップがありますが、1つの小さな問題を除いて、すべて正常に機能しています。理想的には、RADIUSサーバーユーザーまたはASA上のローカルユーザーデータベースのいずれかを使用してVPNにログオンできるようにしたいと思います。現在、すべてがRADIUSユーザーと私は、フォールバックとしてローカルデータベースを使用するオプションをオンにしました。

RADIUSサーバーがユーザー名の認証に失敗した場合、ローカルデータベースをチェックするというフォールバックが表示されたとき、残念ながらそうではありませんでした。私が持っているユーザーは少なくともRADIUSサーバーにアクセスできる間は、緊急事態としてのASAでは使用されていません。RADIUSサーバーを無効にすることでテストを実行できます。 RADIUSサーバーにアクセスできなくなったら、ASAが実際にフォールバックしてローカルデータベースを使用するかどうかを一時的に確認します。これは、発生すると私が信じていることです。VPNがいずれかのRADIUSまたは常にローカルユーザデータベース。ローカルユーザデータベースとRADIUSサーバ)の両方を同時に使用するようにCisco ASAのVPNを設定する方法はありますか?

2
Darinth

Cisco ASAリモートアクセスVPNでは、単一の接続プロファイルに複数のAAAサーバグループを追加するオプションはありません。

各AAAサーバグループは1つのプロトコルに制限されているため、1つの接続プロファイルで有効な認証サーバとしてRADIUSとLOCALの両方を持つことはできません。

これを行う唯一の方法は、LOCALをフォールバックAAAサーバグループにすることですが、ご存知のように、フォールバックは、ASAがプライマリAAAサーバグループと通信できない場合にのみアクティブになります。

必要な処理を実行するには、RADIUS AAAサーバーグループを持つ1つの接続プロファイルと、ローカルAAAサーバーグループを持つ2番目の接続プロファイルを作成することをお勧めします。

両方の接続プロファイルに同じグループポリシー、アドレス割り当て、および暗号マップを使用できます。違いは接続プロファイル名であり、AnyConnectログイン画面から適切なプロファイル名を選択するか、適切なCiscoVPNクライアントPCFファイルを使用する必要があります。

更新:VPNにAAA認証を設定しようとしているが、AAAサーバーが利用できない場合にローカル認証をVPNに使用できない場合は、VPN接続プロファイルでフォールバックを有効にしないでください。 http://www.Cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/access_aaa.html#wp1062034

2
user5870571