Rya*_*yan 5 vpn cisco authentication rsa cisco-asa
我的组织有一台 Cisco ASA 5510,我已将其用作我们其中一个办公室的防火墙/网关。远程用户会寻找的大多数资源都存在于内部。我已经实现了通常的交易 - 带有出站 NAT 的基本内部网络,一个主要的外部接口,在 PAT 池中有一些辅助公共 IP 用于面向公众的服务,一对站点到站点的 IPSec 链接到其他分支,等等。 -我现在正在研究 VPN。
我有 WebVPN(无客户端 SSL VPN)工作,甚至遍历站点到站点的链接。目前,我正在为胖客户端 VPN 保留一个传统的 OpenVPN AS。我想做的是对所有 VPN 的身份验证方法进行标准化,然后切换到 Cisco 的 IPSec 厚 VPN 服务器。
我试图弄清楚这些 VPN 用户(厚客户端和无客户端)的身份验证真正可能是什么。我的组织使用 Google Apps,我们已经使用dotnetopenauth对几个内部服务的用户进行身份验证。我希望能够为瘦 VPN 和厚 VPN 做同样的事情。
或者,使用 RSA 公钥对(ssh-keygen 类型)的基于签名的解决方案将有助于识别 user@hardware。
我试图摆脱旧的用户名/密码身份验证,特别是如果它是 Cisco 内部的(只是另一个密码设置来管理和供用户忘记)。我知道我可以映射到现有的 LDAP 服务器,但我们只为大约 10% 的用户群(主要是 Linux shell 访问的开发人员)创建了 LDAP 帐户。
我想我正在寻找的是一个中间件,它在 Cisco 看来是一个 LDAP 服务器,但将与用户现有的 OpenID 身份进行交互。我在 Cisco 中看到的任何内容都没有表明它可以在本机上执行此操作。但是 RSA 公钥将是亚军,并且比独立甚至 LDAP 身份验证要好得多。什么是真正实用的?
我不认为您能够使用 OpenID,但在大多数情况下 ASA 将与 Radius 或 Tacacs+ 服务器(例如 Cisco ACS)交互,并且该服务器将与您的身份验证器(Active Directory、RSA 服务器等)交互。 )。
Radius/Tacacs+ 服务器就像一个身份验证代理。
| 归档时间: |
|
| 查看次数: |
3503 次 |
| 最近记录: |