请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 873|回复: 7

ASA5520 远程VPN身份认定问题

[复制链接]
发表于 2017-12-28 11:46:07 | 显示全部楼层 |阅读模式
0可用金钱
现在有ASA5520,做的EZVPN,员工使用vpnclient软件方式拨入公司。
现在采用的用户和密码及共享密钥做验证。
现在有个问题就是如何防止员工在非公司的PC使用vpn,或者说就是指定哪台设备能用vpn,即使知道密码也没用!
ipsec拨号,好像不能使用mac地址作验证,不知道还有什么其它方法能实现?

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2017-12-28 12:16:58 | 显示全部楼层
有办法,基于证书来实现,每账号都必须有独立的证书,通过CA证书双向验证,结合AD域环境。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (2 评价)
 楼主| 发表于 2017-12-28 14:16:12 | 显示全部楼层
YilinChen 发表于 2017-12-28 12:16
有办法,基于证书来实现,每账号都必须有独立的证书,通过CA证书双向验证,结合AD域环境。

那就是要架设一台域服务器,一个域证书服务器,然后外带笔记本加入域并申请ipsec拨号的证书
ASA ezvpn 认证方式选择域证书服务器。
以前架设过独立的CA和网站的SSL认证,是有证书就能正常使用,不管接入设备,就像U-KEY一样。
如果域企业CA服务器的话,是不是不加入域就无效??也就是说即使CA证书,换到别的电脑,因为没有加入域,也无法使用??
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2017-12-28 14:32:45 | 显示全部楼层
unine 发表于 2017-12-28 14:16
那就是要架设一台域服务器,一个域证书服务器,然后外带笔记本加入域并申请ipsec拨号的证书
ASA ezvpn  ...

是没有U-KEY状态,靠域+证书来绑定物理机
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
 楼主| 发表于 2017-12-29 14:29:35 | 显示全部楼层
本帖最后由 unine 于 2017-12-29 15:11 编辑
YilinChen 发表于 2017-12-28 14:32
是没有U-KEY状态,靠域+证书来绑定物理机

我拿网站测试了域CA在工作组和域环境的区别
申请域证书PC,不管是域或工作组中都能正常访问网站。把证书复制到其它域PC,证书能导入私钥的不管用户都能正常访问,不能导入证书的则无法访问网站。
把证书复制到工作组PC,都不能访问网站
如果还有一些非公司员工也要使用,不知道用ISE怎么认证。我看资料,好像ISE验证客户端大多都是杀毒软件、硬盘加密,注册表之类的,不知道有什么好的方法吗?



  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
 楼主| 发表于 2018-1-2 15:25:49 | 显示全部楼层
YilinChen 发表于 2017-12-28 14:32
是没有U-KEY状态,靠域+证书来绑定物理机

不好意思,再请教一下层主。
我看官网一篇文章,《用数字证书和Microsoft CA的ASA/PIX 8.x和VPN客户端IPSec认证使配置示例》,这篇文章的windows  ca服务器部署在公网环境
假如我的CA服务器部署在私网,是CA服务器-->ASA5520-->公网-->VPN client客户端。
这时我的客户端的证书的CRL指向应该是http://CA服务器地址,是不是需要ASA上做NAT,我公网80端口映射到CA服务器的地址,还是vpnclient客户端去ASA查找crl,不需要做80端口的映射?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-2 22:14:58 | 显示全部楼层
CA基于用户信息发证书,强制要求vpnclient拨号时,要基于证书,做双向认证;用户在哪个终端上安装证书,本身并不能100%控制,但如果又强制要求加域,可能就更可控一点
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-8 10:42:01 | 显示全部楼层
感谢您的提问,若您的问题已解决,还请标记最佳答案,来鼓励一下为您解决问题的用户吧!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-7-17 23:09 , Processed in 0.092998 second(s), 48 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表