在远程建立ssl***通过Cisco的5512 防火墙,同时用 windows 2012 作为NPS服务器,另外一台2012为AD服务器
要求实现:
外部用户可以通过 SSL ×××登陆内网,不过验证是用 Windows 域账户,并通过Radius服务让的 NPS服务器 验证。
具体的实现参看下面的文档,这里我对我的环境截图:
首先是ASA的配置:
aaa-server NPS protocol radius
aaa-server NPS (inside) host 172.16.20.29
key *****
web***
enable outside
anyconnect p_w_picpath disk0:/anyconnect-win-2.5.2014-k9.pkg 1
anyconnect profiles Anyconnect_×××_client_profile disk0:/Cisco_AnyConnect_Profiles.xml
anyconnect enable
tunnel-group-list enable
group-policy GroupPolicy_Anyconnect_××× internal
group-policy GroupPolicy_Anyconnect_××× attributes
wins-server value 192.168.20.24 192.168.20.23
dns-server value 192.168.20.24 192.168.20.23
***-simultaneous-logins 10
***-idle-timeout 240
***-tunnel-protocol ssl-client ssl-clientless
password-storage enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
default-domain value ABC-VIE-VIE.CN
web***
anyconnect profiles value Anyconnect_×××_client_profile type user
tunnel-group Anyconnect-××× type remote-access
tunnel-group Anyconnect-××× general-attributes
address-pool Anyconnnect_Pool
authentication-server-group NPS
default-group-policy GroupPolicy_Anyconnect_×××
tunnel-group Anyconnect-××× web***-attributes
group-alias Anyconnect-××× enable
注意:这里的NPS我一直写成了 authentication-server-group (Inside) NPS 出现问题了,ASA是系统识别不到了任何的认证方式,直接会用本地的账户认证。
------------------------------------------------
NPS上的截图为:
见下面的附件文档中
转载于:https://blog.51cto.com/zhangfang526/1888881