客户ASA5525 anyconnect VPN 认证方式, AD域账号/密码 + Kerberos(动态令牌) 认证登入
ASA5525 anyconnect VPN 部署在DMZ区域只充当ssl vpn 服务端使用。前端为A10负载均衡设备,hillstone防火墙作为互联网出口。
kerberos动态令牌有两种: 硬件终端,单独的硬件产品 软件终端:手机上的续集终端
Kerberos动态令牌服务器架设在IDC机房,专线连接到IDC机房(访问需做NAT转换后才能访问)
AD域放在本地机房
类似的案例
http://www.cisco.com/c/en/us/support/docs/security-vpn/webvpn-ssl-vpn/116722-configure-kerberos-00.html