В итоге сделал на IAS :) Работает ) Правда в отличие от freeRADIUS-а, access-лист завязать получается только на AD-ой группе, а не на пользователя. >Ещё вот такой вопросик по пункту 1: получается для проверки ЭЦП, peer-ы
>дожны что-то некий набор бит друг другу послать, чтоб затем каждая
>из сторон это значение зашифровав закрытым ключём, вернула обратно, а отправляющая
>смогла это расшифровать и сравнить с оригиналом. Это ведь так? А
>вот что они посылают друг другу? Или используется другая схема? Я
>просто не могу понять, как обладатель сертификата подтверждает владение закрытым ключем.
>
Судя по данной инфе http://www.ciscopress.com/articles/article.asp?p=24833&seqNum=5
насколько я понял происходит всё следующим образом:
1. Клиент соединяется с ASA, peer-ы производят обмен сертификатами, которые будут использоваться для аутентификации каждой из сторон в Phase 1 IKE.
2. ASA и клиент загружают CRL, после чего каждая из сторон проверяет подлинность сертификата противоположного peer-a.
3. Если сертификат каждой стороны действительный (не истек срок действия и его нет в CRL), начинается IKE Phase 1. Стороны согласуют параметры безопасности (SA): алгоритм шифрования, алгоритм хеширования и группу Диффи-Хельмана. Также происходит обмен peer ID, которые с помощью закрытого ключа каждой из сторон подписываются. (В качестве ID выступают либо FQDN или IP-адрес каждой из сторон - или что-то ещё...). Если подпись верна – этот параметр учувствует в выработке общего сессионного ключа DH.
Так ли это? :)
Такой вопрос по-поводу xauth:
после того, как тунель будет установлен, от пользователя потребуется ввести логин и пароль. (Для тунельной группы назначен authentication-server-group).
А возможно ли избавится от этой части, взяв в качестве логина значение из сертификата?
Насколько я понял, сделать это нужно как-то так:
asa#(config)tunnel-group VPN general-attributes
asa(config-tunnel-general)# authorization-dn-attributes CN (к примеру)
Правильно ли это? Или же назначение на тунельной группе authentication-server-group однозначно предполагает аутентификацию?
Насколько я понял, фичи "pre-fill username" и "username-from-certificate", доступные в IOS 8.2(1) всего лишь заполняют имя пользователя заранее... Но как таковую, аутнетификацию пользователя не отменяют.