web-dev-qa-db-ja.com

RADIUS認証にMS-CHAPv2を使用するようにCiscoASAを設定する

Cisco ASA5505 8.2(2)Windows 2003ADサーバ

Windows ADコントローラー(10.1.1.200)のRADIUS)を介してリモートVPNユーザーを認証するようにASA(10.1.1.1)を構成します。

ASAには次のエントリがあります。

aaa-server SYSCON-RADIUS protocol radius
aaa-server SYSCON-RADIUS (inside) Host 10.1.1.200
 key *****
 radius-common-pw *****

アカウントCOMPANY\usernameを使用してログインをテストすると、セキュリティログにユーザーの資格情報が正しいことがわかりますが、Windowsシステムログに次の情報が表示されます。

User COMPANY\myusername was denied access.
 Fully-Qualified-User-Name = company.com/CorpUsers/AU/My Name
 NAS-IP-Address = 10.1.1.1
 NAS-Identifier = <not present> 
 Called-Station-Identifier = <not present> 
 Calling-Station-Identifier = <not present> 
 Client-Friendly-Name = ASA5510
 Client-IP-Address = 10.1.1.1
 NAS-Port-Type = Virtual
 NAS-Port = 7
 Proxy-Policy-Name = Use Windows authentication for all users
 Authentication-Provider = Windows 
 Authentication-Server = <undetermined> 
 Policy-Name = VPN Authentication
 Authentication-Type = PAP
 EAP-Type = <undetermined> 
 Reason-Code = 66
 Reason = The user attempted to use an authentication method that is not enabled on the matching remote access policy.

私の想定では、ASAはMS-CHAPv2ではなくPAP認証を使用しています。資格情報が確認され、適切なリモートアクセスポリシーが使用されていますが、このポリシーはMS-CHAP2のみを許可するように設定されています。 MS-CHAP v2にするために、ASAで何をする必要がありますか? ADSM GUIで「MicrosoftCHAPv2互換」チェックボックスが有効になっていますが、これが構成で何に対応するのかわかりません。

[update]トンネルグループに以下を追加しようとしました:

tunnel-group MYTUNNEL-AD ppp-attributes
 no authentication pap
 no authentication chap
 no authentication ms-chap-v1
 authentication ms-chap-v2

ただし、「no authentication pap」コマンドは何も実行せず、show tunnel-group ...を実行しても表示されません。また、ASAは引き続きPAPを使用しています。

1
DrStalker

最終的に、テストログイン関数はMSCHAP2を使用するディレクティブを無視し、常にPAPを使用することが判明しました。テストは常に失敗しますが、実際の本番環境でのテストは正しく機能します。

2
DrStalker

トンネルグループのipsec-attributesを構成するときに「password-management」と入力して、トンネルグループのパスワード管理を有効にしてみてください。

2
Larry