在远程建立ssl***通过Cisco的5512 防火墙,同时用 windows 2012 作为NPS服务器,另外一台2012为AD服务器

要求实现:

外部用户可以通过 SSL ×××登陆内网,不过验证是用 Windows 域账户,并通过Radius服务让的 NPS服务器 验证。


具体的实现参看下面的文档,这里我对我的环境截图:

首先是ASA的配置:

aaa-server NPS protocol radius
aaa-server NPS (inside) host 172.16.20.29
 key *****
 
 web***
 enable outside
 anyconnect p_w_picpath disk0:/anyconnect-win-2.5.2014-k9.pkg 1
 anyconnect profiles Anyconnect_×××_client_profile disk0:/Cisco_AnyConnect_Profiles.xml
 anyconnect enable
 tunnel-group-list enable
group-policy GroupPolicy_Anyconnect_××× internal
group-policy GroupPolicy_Anyconnect_××× attributes
 wins-server value 192.168.20.24 192.168.20.23
 dns-server value 192.168.20.24 192.168.20.23
 ***-simultaneous-logins 10
 ***-idle-timeout 240
 ***-tunnel-protocol ssl-client ssl-clientless
 password-storage enable
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split
 default-domain value ABC-VIE-VIE.CN
 web***
  anyconnect profiles value Anyconnect_×××_client_profile type user

tunnel-group Anyconnect-××× type remote-access
tunnel-group Anyconnect-××× general-attributes
 address-pool Anyconnnect_Pool
 authentication-server-group NPS
 default-group-policy GroupPolicy_Anyconnect_×××
tunnel-group Anyconnect-××× web***-attributes
 group-alias Anyconnect-××× enable


注意:这里的NPS我一直写成了 authentication-server-group (Inside) NPS 出现问题了,ASA是系统识别不到了任何的认证方式,直接会用本地的账户认证。

------------------------------------------------

NPS上的截图为:

见下面的附件文档中