[ATP/USG FLEX]防火牆透過 AD 伺服器實現 IKEv2 VPN 用戶認證
Zyxel Employee
前言
本篇文章將說明如何讓防火牆讀取 AD 伺服器,並透過 AD 伺服器的資料庫進行 IKEv2 VPN 用戶認證。如果您對 IKEv2 的設定尚不熟悉,可以先參考此文章,完成 USG FLEX/ATP 系列防火牆的 IKEv2 VPN 遠端存取設定教學。
設定步驟
在 IKEv2 用戶認證中,將使用 MSCHAPv2 來與 AD 伺服器進行驗證。因此,您需要在您的防火牆上配置 MSCHAPv2。(在本測試場景中,usg.com 是 AD 網域名稱)
步驟1 - 修改防火牆主機名稱並新增網域名稱
請前往【設定 > 系統 > 主機名稱】,編輯系統名稱、網域名稱
步驟2 - 編輯或新增 AD Server 啟用 MSCHAP 功能
前往【設定 > 物件 > AAA 伺服器 > 現用目錄】,新增或編輯 AD Server 參數,並啟用 MSChap 認證。
若參數設定正確,可於最底下的測試,輸入帳號會顯示通過。
步驟3 - 新增網域查詢轉遞
前往【設定 > 系統 > DNS】,新增網域查詢轉遞。以下為設定範例,請輸入您環境實際的參數。
步驟4 - 編輯認證方式
前往【設定 > 物件 > 認證方式】,將精靈模式產生的 IKEv2 VPN 的認證方式加入前面新建好的 AD Server。
步驟5 - 編輯 IKEv2 VPN 閘道器
前往【設定 > VPN > IPSec VPN > VPN 閘道器】,選取 IKEv2 VPN 精靈模式產生的規則「RemoteAccess_Wiz」進行編輯。
點選「顯示進階設定」,將「核可使用者」改為「any」,允許 AD Server 的帳號也能進行 VPN 認證。
設定完成
用戶成功透過 AD Server 帳號密碼登入 VPN
前往【監控 > 網路狀態 > 登入使用者】即可查詢當前登入的 AD 用戶。
障礙排除
如果您已在步驟 2 測試過帳號且驗證通過,但 IKEv2 VPN 仍無法成功認證,您可以使用以下指令,檢查防火牆與 AD 伺服器之間的 MSCHAP 認證溝通是否正常。
debug domain-auth test profile-name [ad profile name] username [username] password [password]
請將[]內的資訊替換成您環境的實際資訊,並將[]刪除。
例如 : debug domain-auth test profile-name ad username corey password 123456
[ad profile name]為防火牆 AD Server 物件名稱
