解决USG2200防火墙配置SSL VPN基于radius认证失败问题

发布时间:  2015-03-28 浏览次数:  706 下载次数:  0
问题描述

某局点在USG2200防火墙配置了SSL VPN,基于RADIUS存储用户信息。配置完成后RADIUS用户登录失败,但本地用户可以登录。 相同的RADIUS配置,L2TP用户可以正常登录。

处理过程

<!--[if !         

步骤1  检查配置,发现虚拟网关域szofficesslvpn.dom下没有配置授权方案(authorization-scheme),在Web界面可看的更明显。

aaa

authentication-scheme default

authentication-scheme iboxpay.com.scm

authentication-mode  radius

authorization-scheme default

accounting-scheme default

domain default

domain dot1x

domain iboxpay.com

authentication-scheme  iboxpay.com.scm

dns primary-ip  172.30.3.10

dns second-ip  172.30.3.11

radius-server iboxpay.com.tpl

ip pool 1 172.18.1.10  172.18.1.100

domain szofficesslvpn.dom

authentication-scheme  iboxpay.com.scm

radius-server iboxpay.com.tpl

domain szofficesslvpn

 

步骤2  配置授权方案后,发现用户还是无法登录。

RADIUS服务器抓包显示access-accept ,说明RADIUS认证是通过的。




在服务器上认证通过,但在防火墙的Web页面上提示用户名或密码错误,可能和授权有关。经确认客户的确没有做授权方面的设置,因此除了当前的配置外,还需要设置外部组的Class属性字段,才能正常认证通过。


根因

RADIUS组授权依赖于Class字段,如果在RADIUS服务器上没有配置Class字段,将不能通过RADIUS组授权。

解决方案

RADIUS服务器上配置用户的Class字段为新建Radius外部组的组名,配置完成后该用户认证、授权成功,登录SSL VPN成功。

建议与总结

USG产品的SSL VPN功能,如果采用外部服务器认证,必须配置外部授权组。用户匹配上授权组才能登录成功。

SVN产品,每种外部授权方式(Radius/AD/LDAP/SecurID)都有默认的授权组,即使没配置其它授权组,也是可以登录的。

END