关于用于 AAA 的 RADIUS 服务器
ASA 支持以下符合 RFC 标准的用于 AAA 的 RADIUS 服务器:
-
思科安全 ACS 3.2、4.0、4.1、4.2 和 5.x
-
思科身份服务引擎 (ISE)
-
RSA 身份验证管理器 5.2、6.1 和 7.x 中的 RSA RADIUS
-
Microsoft
受支持的身份验证方法
ASA 支持为 RADIUS 服务器使用以下身份验证方法:
-
PAP - 适用于所有连接类型。
-
CHAP 和 MS-CHAPv1 - 适用于 L2TP-over-IPsec 连接。
-
MS-CHAPv2 - 适用于 L2TP-over-IPsec 连接和常规 IPsec 远程访问连接(当启用密码管理功能时)。您也可以通过无客户端连接使用 MS-CHAPv2。
-
身份验证代理模式 - 适用于 RADIUS-to-Active-Directory、RADIUS-to-RSA/SDI、RADIUS-to-Token 服务器和 RSA/SDI-to-RADIUS 连接。
注
要启用 MS-CHAPv2 作为 ASA 与 RADIUS 服务器之间进行 VPN 连接所用的协议,则必须在隧道组常规属性中启用密码管理。启用密码管理会生成一个从 ASA 向 RADIUS 服务器的 MS-CHAPv2 身份验证请求。有关详细信息,请参阅 password-management 命令的描述。
如果在隧道组中使用双重身份验证并启用密码管理,则主身份验证请求和辅助身份验证请求包含 MS-CHAPv2 请求属性。如果 RADIUS 服务器不支持 MS-CHAPv2,则可以通过使用 no mschapv2-capable 命令将该服务器配置为发送非 MS-CHAPv2 身份验证请求。
VPN 连接的用户授权
ASA 可以使用 RADIUS 服务器进行 VPN 远程访问和防火墙直接转发代理会话的用户授权(按用户使用动态 ACL 或 ACL 名称)。要实施动态 ACL,必须将 RADIUS 服务器配置为支持动态 ACL。在用户进行身份验证时,RADIUS 服务器向 ASA 发送可下载的 ACL 或 ACL 名称。设备会根据 ACL 允许或拒绝对指定服务的访问。当身份验证会话到期时,ASA 会删除 ACL。
除了 ACL 以外,ASA 还支持 VPN 远程访问和防火墙直接转发代理会话的权限授权与设置的许多其他属性。
支持的 RADIUS 属性集
ASA 支持以下 RADIUS 属性集:
-
RFC 2138 和 2865 中定义的身份验证属性。
-
RFC 2139 和 2866 中定义的记帐属性。
-
RFC 2868 和 6929 中定义的用于隧道协议支持的 RADIUS 属性。
-
RADIUS 供应商 ID 9 确定的思科 IOS 供应商特定属性 (VSA)。
-
RADIUS 供应商 ID 3076 确定的思科 VPN 相关 VSA。
-
RFC 2548 中定义的 Microsoft VSA。
支持的 RADIUS 授权属性
授权是指执行权限或属性的过程。如果已配置权限或属性,则定义为身份验证服务器的 RADIUS 服务器会执行权限或属性。这些属性具有供应商 ID 3076。
下表列出了可用于用户授权的受支持 RADIUS 属性。
注 |
RADIUS 属性名称不包含 cVPN3000 前缀。思科安全 ACS 4.x 支持这一新的命名法,但 ACS 4.0 之前版本中的属性名称仍然包含 cVPN3000 前缀。ASA 基于属性数字 ID(而非属性名称)实施 RADIUS 属性。 下表中列出的所有属性均为从 RADIUS 服务器发送到 ASA 的下游属性,但以下属性除外:146、150、151 和 152。这些属性编号是从 ASA 发送到 RADIUS 服务器的上游属性。RADIUS 属性 146 和 150 是从 ASA 发送到 RADIUS 服务器,以提出身份验证和请求授权。前面列出的所有四个属性都是从 ASA 发送到 RADIUS 服务器,以提出开始记账、临时更新和停止请求。8.4(3) 版本引入了上游 RADIUS 属性 146、150、151 和 152。 |
属性名称 |
ASA |
属性编号 |
语法/类型 |
单值或多值 |
说明或值 |
---|---|---|---|---|---|
Access-Hours |
支持 |
1 |
字符串 |
单值 |
时间范围的名称,例如工作时间 |
Access-List-Inbound |
支持 |
86 |
字符串 |
单值 |
ACL ID |
Access-List-Outbound |
支持 |
87 |
字符串 |
单值 |
ACL ID |
Address-Pools |
支持 |
217 |
字符串 |
单值 |
IP 本地池的名称 |
Allow-Network-Extension-Mode |
支持 |
64 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
Authenticated-User-Idle-Timeout |
支持 |
50 |
整数 |
单值 |
1-35791394 分钟 |
Authorization-DN-Field |
支持 |
67 |
字符串 |
单值 |
可能的值:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name |
Authorization-Required |
66 |
整数 |
单值 |
0 = 否 1 = 是 |
|
Authorization-Type |
支持 |
65 |
整数 |
单值 |
0 = 无 1 = RADIUS 2 = LDAP |
Banner1 |
支持 |
15 |
字符串 |
单值 |
要为思科 VPN 远程访问会话显示的横幅字符串:IPsec IKEv1、 Secure Client SSL TLS/DTLS/IKEv2 和 Clientless SSL。 |
Banner2 |
支持 |
36 |
字符串 |
单值 |
要为思科 VPN 远程访问会话显示的横幅字符串:IPsec IKEv1、 Secure Client SSL TLS/DTLS/IKEv2 和 Clientless SSL。如果进行了相应的配置,则 Banner2 字符串会连接到 Banner1 字符串。 |
Cisco-IP-Phone-Bypass |
支持 |
51 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
Cisco-LEAP-Bypass |
支持 |
75 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
Client Type |
支持 |
150 |
整数 |
单值 |
1 = 思科 VPN 客户端 (IKEv1) 2 = Secure Client SSL VPN 3 = 无客户端 SSL VPN 4 = 直接转发代理 5 = L2TP/IPsec SSL VPN 6 = Secure Client IPsec VPN (IKEv2) |
Client-Type-Version-Limiting |
支持 |
77 |
字符串 |
单值 |
IPsec VPN 版本号字符串 |
DHCP-Network-Scope |
支持 |
61 |
字符串 |
单值 |
IP 地址 |
Extended-Authentication-On-Rekey |
支持 |
122 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
Framed-Interface-Id |
支持 |
96 |
字符串 |
单值 |
分配的 IPv6 接口 ID。与 Framed-IPv6-Prefix 结合使用以创建完整的已分配 IPv6 地址。例如:Framed-Interface-ID =1:1:1:1与 Framed-IPv6-Prefix =2001:0db8::/64 组合可提供分配的IP地址2001:0db8::1:1:1:1。 |
Framed-IPv6-Prefix |
支持 |
97 |
字符串 |
单值 |
分配的 IPv6 前缀和长度。与 Framed-Interface-Id 组合以创建完整的已分配 IPv6 地址。例如:前缀 2001:0db8::/64 与 Framed-Interface-Id=1:1:1:1 组合可提供IP地址 2001:0db8::1:1:1:1。通过分配前缀长度为/128 的完整 IPv6 地址(例如,Framed-IPv6-Prefix=2001:0db8::1/128),可以使用此属性分配IP地址而不使用 Framed-Interface-Id。 |
Group-Policy |
支持 |
25 |
字符串 |
单值 |
为远程访问 VPN 会话设置组策略。对于 8.2.x 版本及更高版本,请改用此属性而非 IETF-Radius-Class。您可以使用以下其中一种格式:
|
IE-Proxy-Bypass-Local |
83 |
整数 |
单值 |
0 = 无 1 = 本地 |
|
IE-Proxy-Exception-List |
82 |
字符串 |
单值 |
换行符 (\n) 分隔的 DNS 域列表 |
|
IE-Proxy-PAC-URL |
支持 |
133 |
字符串 |
单值 |
PAC 地址字符串 |
IE-Proxy-Server |
80 |
字符串 |
单值 |
IP 地址 |
|
IE-Proxy-Server-Policy |
81 |
整数 |
单值 |
1 = 无修改 2 = 无代理 3 = 自动检测 4 = 使用集中器设置 |
|
IKE-KeepAlive-Confidence-Interval |
支持 |
68 |
整数 |
单值 |
10 到 300 秒 |
IKE-Keepalive-Retry-Interval |
支持 |
84 |
整数 |
单值 |
2 到 10 秒 |
IKE-Keep-Alives |
支持 |
41 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
Intercept-DHCP-Configure-Msg |
支持 |
62 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
IPsec-Allow-Passwd-Store |
支持 |
16 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
IPsec-Authentication |
13 |
整数 |
单值 |
0 = 无 1 = RADIUS 2 = LDAP(仅适用于授权) 3 = NT 域 4 = SDI 5 = 内部 6 = RADIUS 到期 7 = Kerberos/Active Directory |
|
IPsec-Auth-On-Rekey |
支持 |
42 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
IPsec-Backup-Server-List |
支持 |
60 |
字符串 |
单值 |
服务器地址(以空格分隔) |
IPsec-Backup-Servers |
支持 |
59 |
字符串 |
单值 |
1 = 使用客户端配置的列表 2 = 禁用并清除客户端列表 3 = 使用备份服务器列表 |
IPsec-Client-Firewall-Filter-Name |
57 |
字符串 |
单值 |
指定要作为防火墙策略推送到客户端的过滤器的名称 |
|
IPsec-Client-Firewall-Filter-Optional |
支持 |
58 |
整数 |
单值 |
0 = 必需 1 = 可选 |
IPsec-Default-Domain |
支持 |
28 |
字符串 |
单值 |
指定要发送到客户端的单个默认域名(1 到 255 个字符)。 |
IPsec-IKE-Peer-ID-Check |
支持 |
40 |
整数 |
单值 |
1 = 必需 2 = 如果对等证书支持 3 = 不检查 |
IPsec-IP-Compression |
支持 |
39 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
IPsec-Mode-Config |
支持 |
31 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
IPsec-Over-UDP |
支持 |
34 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
IPsec-Over-UDP-Port |
支持 |
35 |
整数 |
单值 |
4001 到 49151。默认值为 10000。 |
IPsec-Required-Client-Firewall-Capability |
支持 |
56 |
整数 |
单值 |
0 = 无 1 = 远程 FW Are-You-There (AYT) 定义的策略 2 = 策略推送的 CPP 4 = 来自服务器的策略 |
IPsec-Sec-Association |
12 |
字符串 |
单值 |
安全关联的名称 |
|
IPsec-Split-DNS-Names |
支持 |
29 |
字符串 |
单值 |
指定要发送到客户端的辅助域名列表(1 到 255 个字符)。 |
IPsec-Split-Tunneling-Policy |
支持 |
55 |
整数 |
单值 |
0 = 无拆分隧道 1 = 拆分隧道 2 = 允许本地 LAN |
IPsec-Split-Tunnel-List |
支持 |
27 |
字符串 |
单值 |
指定用于描述分割隧道包含列表的网络或 ACL 的名称。 |
IPsec-Tunnel-Type |
支持 |
30 |
整数 |
单值 |
1 = LAN 到 LAN 2 = 远程访问 |
IPsec-User-Group-Lock |
33 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
|
IPv6-Address-Pools |
支持 |
218 |
字符串 |
单值 |
IP 本地池 IPv6 的名称 |
IPv6-VPN-Filter |
支持 |
219 |
字符串 |
单值 |
ACL 值 |
L2TP-Encryption |
21 |
整数 |
单值 |
位图: 1 = 需要加密 2 = 40 位 4 = 128 位 8 = 需要无状态 15= 40/128 位加密/需要无状态 |
|
L2TP-MPPC-Compression |
38 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
|
Member-Of |
支持 |
145 |
字符串 |
单值 |
逗号分隔的字符串,例如:
可在动态访问策略里使用的管理属性。不设置组策略。 |
MS-Client-Subnet-Mask |
支持 |
63 |
布尔值 |
单值 |
IP 地址 |
NAC-Default-ACL |
92 |
字符串 |
ACL |
||
NAC-Enable |
89 |
整数 |
单值 |
0 = 否 1 = 是 |
|
NAC-Revalidation-Timer |
91 |
整数 |
单值 |
300 到 86400 秒 |
|
NAC-Settings |
支持 |
141 |
字符串 |
单值 |
NAC 策略名称 |
NAC-Status-Query-Timer |
90 |
整数 |
单值 |
30 到 1800 秒 |
|
Perfect-Forward-Secrecy-Enable |
支持 |
88 |
布尔值 |
单值 |
0 = 否 1 = 是 |
PPTP-Encryption |
20 |
整数 |
单值 |
位图: 1 = 需要加密 2 = 40 位 4 = 128 位 8 = 需要无状态 15= 40/128 位加密/需要无状态 |
|
PPTP-MPPC-Compression |
37 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
|
Primary-DNS |
支持 |
5 |
字符串 |
单值 |
IP 地址 |
Primary-WINS |
支持 |
7 |
字符串 |
单值 |
IP 地址 |
Privilege-Level |
支持 |
220 |
整数 |
单值 |
介于 0 和 15 之间的整数。 |
Required-Client- Firewall-Vendor-Code |
支持 |
45 |
整数 |
单值 |
1 = 思科系统(使用思科集成客户端) 2 = Zone Labs 3 = NetworkICE 4 = Sygate 5 = 思科系统(使用思科入侵防御安全代理) |
Required-Client-Firewall-Description |
支持 |
47 |
字符串 |
单值 |
字符串 |
Required-Client-Firewall-Product-Code |
支持 |
46 |
整数 |
单值 |
思科系统公司产品: 1 = 思科入侵防御安全代理或思科集成客户端 (CIC) Zone Labs 产品: 1 = Zone Alarm 2 = Zone AlarmPro 3 = Zone Labs Integrity NetworkICE 产品: 1 = BlackIce Defender/代理 Sygate 产品: 1 = Personal Firewall 2 = Personal Firewall Pro 3 = 安全代理 |
Required-Individual-User-Auth |
支持 |
49 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
Require-HW-Client-Auth |
支持 |
48 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
Secondary-DNS |
支持 |
6 |
字符串 |
单值 |
IP 地址 |
Secondary-WINS |
支持 |
8 |
字符串 |
单值 |
IP 地址 |
SEP-Card-Assignment |
9 |
整数 |
单值 |
未使用 |
|
Session Subtype |
支持 |
152 |
整数 |
单值 |
0 = 无 1 = 无客户端 2 = 客户端 3 = 仅客户端 Session Subtype 的适用条件是 Session Type (151) 属性仅具有以下值:1、2、3 和 4。 |
Session Type |
支持 |
151 |
整数 |
单值 |
0 = 无1 = Secure Client SSL VPN 2 = Secure Client IPSec VPN (IKEv2) 3 = 无客户端 SSL VPN 4 = 无客户端邮件代理5 = 思科 VPN 客户端 (IKEv1) 6 = IKEv1 LAN-LAN 7 = IKEv2 LAN-LAN 8 = VPN 负载均衡 |
Simultaneous-Logins |
支持 |
2 |
整数 |
单值 |
0 到 2147483647 |
Smart-Tunnel |
支持 |
136 |
字符串 |
单值 |
智能隧道的名称 |
Smart-Tunnel-Auto |
支持 |
138 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 2 = 自动启动 |
Smart-Tunnel-Auto-Signon-Enable |
支持 |
139 |
字符串 |
单值 |
智能隧道自动登录名称列表(附带域名) |
Strip-Realm |
支持 |
135 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
SVC-Ask |
支持 |
131 |
字符串 |
单值 |
0 = 已禁用 1 = 已启用 3 = 启用默认服务 5 = 启用默认无客户端 (未使用 2 和 4) |
SVC-Ask-Timeout |
支持 |
132 |
整数 |
单值 |
5 到 120 秒 |
SVC-DPD-Interval-Client |
支持 |
108 |
整数 |
单值 |
0 = 关 5-3600 秒 |
SVC-DPD-Interval-Gateway |
支持 |
109 |
整数 |
单值 |
0 = 关) 5-3600 秒 |
SVC-DTLS |
支持 |
123 |
整数 |
单值 |
0 = 错误 1 = 正确 |
SVC-Keepalive |
支持 |
107 |
整数 |
单值 |
0 = 关 15-600 秒 |
SVC-Modules |
支持 |
127 |
字符串 |
单值 |
字符串(模块的名称) |
SVC-MTU |
支持 |
125 |
整数 |
单值 |
MTU 值 256-1406 字节 |
SVC-Profiles |
支持 |
128 |
字符串 |
单值 |
字符串(配置文件的名称) |
SVC-Rekey-Time |
支持 |
110 |
整数 |
单值 |
0 = 已禁用 1-10080 分钟 |
Tunnel Group Name |
支持 |
146 |
字符串 |
单值 |
1 到 253 个字符 |
Tunnel-Group-Lock |
支持 |
85 |
字符串 |
单值 |
隧道组的名称或“none” |
Tunneling-Protocols |
支持 |
11 |
整数 |
单值 |
1 = PPTP 2 = L2TP 4 = IPSec (IKEv1) 8 = L2TP/IPSec 16 = WebVPN 32 = SVC 64 = IPsec (IKEv2) 8 与 4 互斥。 0 - 11、16 - 27、32 - 43、48 - 59 是合法值。 |
Use-Client-Address |
17 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
|
VLAN |
支持 |
140 |
整数 |
单值 |
0 到 4094 |
WebVPN-Access-List |
支持 |
73 |
字符串 |
单值 |
访问列表名称 |
WebVPN ACL |
支持 |
73 |
字符串 |
单值 |
设备上的 WebVPN ACL 的名称 |
WebVPN-ActiveX-Relay |
支持 |
137 |
整数 |
单值 |
0 = 已禁用 Otherwise = 已启用 |
WebVPN-Apply-ACL |
支持 |
102 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-Auto-HTTP-Signon |
支持 |
124 |
字符串 |
单值 |
保留 |
WebVPN-Citrix-Metaframe-Enable |
支持 |
101 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-Content-Filter-Parameters |
支持 |
69 |
整数 |
单值 |
1 = Java ActiveX 2 = Java 脚本 4 = 映像 8 = 映像中的 Cookie |
WebVPN-Customization |
支持 |
113 |
字符串 |
单值 |
自定义的名称 |
WebVPN-Default-Homepage |
支持 |
76 |
字符串 |
单值 |
URL,例如 http://example-example.com |
WebVPN-Deny-Message |
支持 |
116 |
字符串 |
单值 |
有效字符串(最多 500 个字符) |
WebVPN-Download_Max-Size |
支持 |
157 |
整数 |
单值 |
0x7fffffff |
WebVPN-File-Access-Enable |
支持 |
94 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-File-Server-Browsing-Enable |
支持 |
96 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-File-Server-Entry-Enable |
支持 |
95 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-Group-based-HTTP/HTTPS-Proxy-Exception-List |
支持 |
78 |
字符串 |
单值 |
带可选通配符 (*) 的逗号分隔的 DNS/IP(例如 *.cisco.com、192.168.1.*、wwwin.cisco.com) |
WebVPN-Hidden-Shares |
支持 |
126 |
整数 |
单值 |
0 = 无 1 = 可见 |
WebVPN-Home-Page-Use-Smart-Tunnel |
支持 |
228 |
布尔值 |
单值 |
已启用(如果无客户端主页将通过智能隧道呈现)。 |
WebVPN-HTML-Filter |
支持 |
69 |
位图 |
单值 |
1 = Java ActiveX 2 = 脚本 4 = 映像 8 = Cookie |
WebVPN-HTTP-Compression |
支持 |
120 |
整数 |
单值 |
0 = 关 1 = Deflate 压缩 |
WebVPN-HTTP-Proxy-IP-Address |
支持 |
74 |
字符串 |
单值 |
逗号分隔的 DNS/IP:端口,带 http= 或 https= 前缀(例如 http=10.10.10.10:80、https=11.11.11.11:443) |
WebVPN-Idle-Timeout-Alert-Interval |
支持 |
148 |
整数 |
单值 |
0 到 30 0 = 已禁用。 |
WebVPN-Keepalive-Ignore |
支持 |
121 |
整数 |
单值 |
0 到 900 |
WebVPN-Macro-Substitution |
有 |
223 |
字符串 |
单值 |
无限制。 |
WebVPN-Macro-Substitution |
有 |
224 |
字符串 |
单值 |
无限制。 |
WebVPN-Port-Forwarding-Enable |
支持 |
97 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-Port-Forwarding-Exchange-Proxy-Enable |
支持 |
98 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-Port-Forwarding-HTTP-Proxy |
支持 |
99 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-Port-Forwarding-List |
支持 |
72 |
字符串 |
单值 |
端口转发列表名称 |
WebVPN-Port-Forwarding-Name |
支持 |
79 |
字符串 |
单值 |
字符串名称(例如,“Corporate-Apps”)。 此文本将替换无客户端门户主页上的默认字符串“Application Access”。 |
WebVPN-Post-Max-Size |
支持 |
159 |
整数 |
单值 |
0x7fffffff |
WebVPN-Session-Timeout-Alert-Interval |
支持 |
149 |
整数 |
单值 |
0 到 30 0 = 已禁用。 |
WebVPN Smart-Card-Removal-Disconnect |
支持 |
225 |
布尔值 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-Smart-Tunnel |
支持 |
136 |
字符串 |
单值 |
智能隧道的名称 |
WebVPN-Smart-Tunnel-Auto-Sign-On |
支持 |
139 |
字符串 |
单值 |
智能隧道自动登录名称列表(附带域名) |
WebVPN-Smart-Tunnel-Auto-Start |
支持 |
138 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 2 = 自动启动 |
WebVPN-Smart-Tunnel-Tunnel-Policy |
支持 |
227 |
字符串 |
单值 |
“e networkname”、“i networkname”或“a”中之一,其中 networkname 是指智能隧道网络列表的名称,e 表示不包含的隧道,i 表示指定的隧道,a 表示所有隧道。 |
WebVPN-SSL-VPN-Client-Enable |
支持 |
103 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-SSL-VPN-Client-Keep- Installation |
支持 |
105 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-SSL-VPN-Client-Required |
支持 |
104 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-SSO-Server-Name |
支持 |
114 |
字符串 |
单值 |
有效字符串 |
WebVPN-Storage-Key |
支持 |
162 |
字符串 |
单值 |
|
WebVPN-Storage-Objects |
支持 |
161 |
字符串 |
单值 |
|
WebVPN-SVC-Keepalive-Frequency |
支持 |
107 |
整数 |
单值 |
15 到 600 秒,0 = 关闭 |
WebVPN-SVC-Client-DPD-Frequency |
支持 |
108 |
整数 |
单值 |
5 到 3600 秒,0 = 关闭 |
WebVPN-SVC-DTLS-Enable |
支持 |
123 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-SVC-DTLS-MTU |
支持 |
125 |
整数 |
单值 |
MTU 值为 256 到 1406 个字节。 |
WebVPN-SVC-Gateway-DPD-Frequency |
支持 |
109 |
整数 |
单值 |
5 到 3600 秒,0 = 关闭 |
WebVPN-SVC-Rekey-Time |
支持 |
110 |
整数 |
单值 |
4 到 10080 分钟,0 = 关闭 |
WebVPN-SVC-Rekey-Method |
支持 |
111 |
整数 |
单值 |
0(关闭)、1 (SSL)、2(新隧道) |
WebVPN-SVC-Compression |
支持 |
112 |
整数 |
单值 |
0(关闭)、1(Deflate 压缩) |
WebVPN-UNIX-Group-ID (GID) |
支持 |
222 |
整数 |
单值 |
有效 UNIX 组 ID |
WebVPN-UNIX-User-ID (UID) |
支持 |
221 |
整数 |
单值 |
有效 UNIX 用户 ID |
WebVPN-Upload-Max-Size |
支持 |
158 |
整数 |
单值 |
0x7fffffff |
WebVPN-URL-Entry-Enable |
支持 |
93 |
整数 |
单值 |
0 = 已禁用 1 = 已启用 |
WebVPN-URL-List |
支持 |
71 |
字符串 |
单值 |
URL 列表名称 |
WebVPN-User-Storage |
支持 |
160 |
字符串 |
单值 |
|
WebVPN-VDI |
支持 |
163 |
字符串 |
单值 |
设置列表 |
支持的 IETF RADIUS 授权属性
下表列出了支持的 IETF RADIUS 属性。
属性名称 |
ASA |
属性编号 |
语法/类型 |
单值或多值 |
说明或值 |
---|---|---|---|---|---|
IETF-Radius-Class |
支持 |
25 |
单值 |
对于 8.2.x 版本及更高版本,我们建议使用 Group-Policy 属性 (VSA 3076,#25):
|
|
IETF-Radius-Filter-Id |
支持 |
11 |
字符串 |
单值 |
在 ASA 中定义的 ACL 名称,仅适用于全隧道 IPsec 和 SSL VPN 客户端。 |
IETF-Radius-Framed-IP-Address |
支持 |
n/a |
字符串 |
单值 |
IP 地址 |
IETF-Radius-Framed-IP-Netmask |
支持 |
n/a |
字符串 |
单值 |
IP 地址掩码 |
IETF-Radius-Idle-Timeout |
支持 |
28 |
整数 |
单值 |
秒 |
IETF-Radius-Service-Type |
支持 |
6 |
整数 |
单值 |
秒。可能的 Service Type 值:
|
IETF-Radius-Session-Timeout |
支持 |
27 |
整数 |
单值 |
秒 |
RADIUS 记帐连接断开原因代码
如果 ASA 在发送数据包时遇到连接断开问题,则会返回以下代码:
连接断开原因代码 |
---|
ACCT_DISC_USER_REQ = 1 |
ACCT_DISC_LOST_CARRIER = 2 |
ACCT_DISC_LOST_SERVICE = 3 |
ACCT_DISC_IDLE_TIMEOUT = 4 |
ACCT_DISC_SESS_TIMEOUT = 5 |
ACCT_DISC_ADMIN_RESET = 6 |
ACCT_DISC_ADMIN_REBOOT = 7 |
ACCT_DISC_PORT_ERROR = 8 |
ACCT_DISC_NAS_ERROR = 9 |
ACCT_DISC_NAS_REQUEST = 10 |
ACCT_DISC_NAS_REBOOT = 11 |
ACCT_DISC_PORT_UNNEEDED = 12 |
ACCT_DISC_PORT_PREEMPTED = 13 |
ACCT_DISC_PORT_SUSPENDED = 14 |
ACCT_DISC_SERV_UNAVAIL = 15 |
ACCT_DISC_CALLBACK = 16 |
ACCT_DISC_USER_ERROR = 17 |
ACCT_DISC_HOST_REQUEST = 18 |
ACCT_DISC_ADMIN_SHUTDOWN = 19 |
ACCT_DISC_SA_EXPIRED = 21 |
ACCT_DISC_MAX_REASONS = 22 |