Hallo zusammen
Ich habe ein Problem mit der VPN Einwahl.
Bisher ist es bei uns möglich, allein mit dem "Group Name" und einem Passwort eine VPN Verbinung herzustellen.
Da dies nicht gerade sehr sicher ist, wollen wir unser AD zum Abfragen nutzen. Wenn das funktioniert, sollen als 2. Stufe Tokens von SecureComputing zum Einsatz kommen. Dafür muss aber erst einmal die Authentifizierung über das Active Directory funktionieren.
Die Daten:
Cisco PIX 515E
Windows 2000 AD
Auf dem AD läuft der IAS:
Clients --> Ist die Firewall mit "RADIUS Standard" und einem Schlüssel eingetragen
Richtlinie --> Windows-Groups stimmen überein mit domain\VPN Users
NAS-IP-Address stimmen überein mit 192.168.0.7
Profil --> Authentifizierung PAP,SPAP angehakt (sonst kein Haken)
Einem Benutzer, der diese Bedigungen erfüllt --> RAS-Berechtigung erteilen
Der Internetauthentifizierungsdienst ist im AD registriert
Authentifizierung: 1812,1645
Kontoführung 1813,1646
Wenn ich nun in der PIX IKE, XAuth/Mode Config, outside auf die entsprechende Server Group einstelle, fragt der Cisco Client (Version 4.6.00) nach Benutzername und Passwort.
Der Benutzer hat im AD Einwahlrechte "Zugriff gestattet" und gehört zu der oben genannten Gruppe "VPN Users".
Der IAS gibt folgenden Fehler aus:
---------------------------------------------------------------------------------------
Benutzer "weimar" wurde der Zugriff verweigert.
Vollqualifizierter Benutzername = ULM1\weimar
NAS-IP-Adresse = 192.168.0.7
NAS-Kennung = <nicht vorhanden>
Kennung der Anrufstation = <nicht vorhanden>
Kennung der Empfängerstation = <nicht vorhanden>
Client-Name = Firewall
Client-IP-Adresse = 192.168.0.7
NAS-Porttyp = <nicht vorhanden>
NAS-Port = 112
Richtlinien-Name = <unbestimmt>
Authentifizierungstyp = <unbestimmt>
EAP-Typ = <unbestimmt>
Code = 16
Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten.
---------------------------------------------------------------------------------------
Was ist noch falsch eingestellt und vor allem wo?
Ich kann den Fehler nicht weiter eingrenzen.
Grüße Eisbaeeer