Authentification du domaine Cisco ASA vers Windows 2008

Mon bureau a remplacé ses controllers de domaine et de domaine Windows 2003 par Windows 2008.

J'ai un Cisco ASA 5510 qui gère la connectivité VPN pour nos users distants, toujours embedded à l'une des anciennes DC de Windows 2003 exécutant RADIUS.

J'ai besoin de migrer l'ASA du domaine 2003 vers le domaine 2008. Comment configurer NPS sous Windows 2008?

ASA config:

aaa-server NEWDC protocol radius aaa-server NEWDC host xxxx key ******** 

Commande de test de configuration ASA:

 test aaa-server authentication NEWDC host xxxx 

Cela revient toujours immédiatement avec une mauvaise erreur user / passe, pour n'importe quel nom d'user. Les users existent dans AD, sont activés et les passwords sont corrects. La key est identique à la fois dans Windows et l'ASA.

Windows 2008 NPS Radius Configuration du client:

 Enabled Vendor name: RADIUS Standard or Cisco (neither works) Manual shared secret: ******** (unchecked) Access-Request messages must contain the Message-Authenticator atsortingbute (unchecked) RADIUS client is NAP-capable 

Politique de request de connection NPS 2008 de Windows:

 Enabled Processing Order 2 (following Use Windows auth for all users) Source unspecified Auth Provider: Local Computer Auth Method: MS-CHAP v1 or MS-CHAP v2 or Allow unauthenticated Override Auth: Enabled Class: OU=Admin; Framed-Protocol: PPP Service-Type: Framed 

Politique de réseau Windows 2008:

 Enabled Processing Order 3 (highest) Condition Windows Group = DOMAIN\VPN Ignore User Dial-In Properties: False Access Permission: Grant Access Auth method: MS-CHAP v1 or MS-CHAP v2 NAP Enforcement: Allow full network access Update Noncompliant clients: True Framed Protocol: PPP Service-Type: Framed 

Consultez cet article pour plus d'informations. Je pense que vous devrez modifier votre politique de réseau pour autoriser l'utilisation de PAP et de SPAP. Je n'ai pas trouvé de moyen de modifier le protocole d'authentification utilisé par l'ASA. J'espère que cela pourra aider.

Je pense que vous devez autoriser SPAP. Voici le guide étape par étape qui m'a fonctionné.