Setting up Cisco ASA VPN to use both radius and local users
I've got a Cisco ASA setup with L2TP/IPSec VPN, all is working well except for one minor issue. Ideally, I'd like to be able to log on to the VPN using either that RADIUS server users or the local user database on the ASA. Right now, everything uses RADIUS users and I've turned on the option to use the local database as a fallback.
It was my hope that when it said fallback that if the RADIUS server failed to authenticate a username, it would check the local database. Unfortunately, this isn't the case. The user that I have on the ASA as an emergency isn't being used, at least not while the RADIUS server is accessible. I can run a test by disabling the RADIUS server temporarily to see if the ASA will indeed fallback and use the local database once the radius server is inaccessible, which is what I believe will happen. I'd really prefer that the VPN just be able to authenticate against either RADIUS or the local user database all of the time. Is there any way to setup a Cisco ASA's VPN to simultaneously use both the local user database and a RADIUS server?
В VPN удаленного доступа Cisco ASA у вас нет возможности добавить несколько групп серверов AAA для одного профиля подключения.
Поскольку каждая группа серверов AAA ограничена одним протоколом, вы не можете иметь и RADIUS, и LOCAL в качестве допустимых серверов аутентификации в одном профиле соединения.
Единственный способ сделать это - сделать LOCAL резервной группой серверов AAA, но, как вы знаете, резервный сервер становится активным только в том случае, если ASA не может взаимодействовать с основной группой серверов AAA.
Для того, чтобы делать то, что вы хотите, я предлагаю создать один профиль подключения, который имеет группу серверов RADIUS AAA, и второй профиль подключения, который имеет группу серверов LOCAL AAA.
Вы можете используйте одну и ту же групповую политику, назначение адресов и криптокарту для обоих профилей подключения. Разница заключается в имени профиля подключения, и вам нужно будет выбрать правильное имя профиля на экране входа AnyConnect или использовать соответствующий файл PCF клиента Cisco VPN.
ОБНОВЛЕНИЕ: если вы пытаетесь использовать аутентификацию AAA для VPN, но не разрешите использование ЛОКАЛЬНОЙ аутентификации для VPN, если сервер AAA недоступен, просто не включайте откат в профиле подключения VPN. http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/access_aaa.html#wp1062034