Cisco ASA5505 8.2(2)Windows 2003ADサーバ
Windows ADコントローラー(10.1.1.200)のRADIUS)を介してリモートVPNユーザーを認証するようにASA(10.1.1.1)を構成します。
ASAには次のエントリがあります。
aaa-server SYSCON-RADIUS protocol radius
aaa-server SYSCON-RADIUS (inside) Host 10.1.1.200
key *****
radius-common-pw *****
アカウントCOMPANY\usernameを使用してログインをテストすると、セキュリティログにユーザーの資格情報が正しいことがわかりますが、Windowsシステムログに次の情報が表示されます。
User COMPANY\myusername was denied access.
Fully-Qualified-User-Name = company.com/CorpUsers/AU/My Name
NAS-IP-Address = 10.1.1.1
NAS-Identifier = <not present>
Called-Station-Identifier = <not present>
Calling-Station-Identifier = <not present>
Client-Friendly-Name = ASA5510
Client-IP-Address = 10.1.1.1
NAS-Port-Type = Virtual
NAS-Port = 7
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = VPN Authentication
Authentication-Type = PAP
EAP-Type = <undetermined>
Reason-Code = 66
Reason = The user attempted to use an authentication method that is not enabled on the matching remote access policy.
私の想定では、ASAはMS-CHAPv2ではなくPAP認証を使用しています。資格情報が確認され、適切なリモートアクセスポリシーが使用されていますが、このポリシーはMS-CHAP2のみを許可するように設定されています。 MS-CHAP v2にするために、ASAで何をする必要がありますか? ADSM GUIで「MicrosoftCHAPv2互換」チェックボックスが有効になっていますが、これが構成で何に対応するのかわかりません。
[update]トンネルグループに以下を追加しようとしました:
tunnel-group MYTUNNEL-AD ppp-attributes
no authentication pap
no authentication chap
no authentication ms-chap-v1
authentication ms-chap-v2
ただし、「no authentication pap」コマンドは何も実行せず、show tunnel-group ...を実行しても表示されません。また、ASAは引き続きPAPを使用しています。
最終的に、テストログイン関数はMSCHAP2を使用するディレクティブを無視し、常にPAPを使用することが判明しました。テストは常に失敗しますが、実際の本番環境でのテストは正しく機能します。
トンネルグループのipsec-attributesを構成するときに「password-management」と入力して、トンネルグループのパスワード管理を有効にしてみてください。