感觉最好的方法就是配合AAA服务器设置,使用本地账户配置这个比较麻烦
首先vpn的authentication server 要写成LOCAL,其次还需要对用户设置attribute,ASA(config)#
sh run username username test password P4ttSyrm33SV8TYp encrypted
username test attributes //设置用户test的attributes为remote-access,但仅仅设置这个还不行,test用户还是可以ssh/telnet上设备的, //要想使attribute生效,需要配合aaa authorization exec 命令 service-type remote-accessusername cisco password 3USUcOPFUiMCO4Jk encrypted
ASA(config)#
sh run tunnel-group //vpn tunnel-group 配置tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool vpn_pool
authentication-server-group LOCAL default-group-policy SSLVPN
tunnel-group SSLVPN webvpn-attributes
group-alias sslvpn enable
ASA(config)#
ASA(config)#
sh run aaa aaa authentication telnet console LOCAL //这里telnet http都设置的本地登录,ssh设置的是使用ISE认证
aaa authentication http console LOCAL
aaa authentication ssh console ccise
测试开始:
在test用户配置remote-access的前提下,全局添加命令
aaa authorization exec LOCAL ,然后登录测试
test用户无法登录,效果如下图:
cisco账户可以正常登录;
ssh认证,无法再使用ISE进行认证;
这个基本可以满足你的需求了。
--
总结一下:
使用本地账户实现你的需求,需要配置(LOCAL也可换成所配置的Radius,这里没提AAA,拿LOCAL来举例)
aaa authentication telnet console LOCAL //ssh 同理
aaa authentication http console LOCALaaa authorization exec LOCAL最后在废话一句:
如果有AAA服务器,可以将vpn认证使用AAA账户进行认证,这样asa也不用设置太多的东西。即便是仅有个AD也能配置,ASA可以配置LDAP读取AD的账户。。