爱华网
1.首先配置两个AAA服务器,本次实验中,一个AAA服务器为ACS,一个服务器为MS2008的AD。aaa-server ACS protocol radiusaaa-server ACS (Outside) host 202.100.1.241key cisco
aaa-server 2008 protocol ldapaaa-server 2008 (Outside) host 202.100.1.168ldap-base-dn dc=mingjiao, dc=orgldap-scope subtreeldap-naming-attribute sAMAccountNameldap-login-password 1a.ciscoldap-login-dn cn=administrator, cn=users,dc=mingjiao, dc=orgserver-type microsoft
2.配置Tunnel-Group支持“证书+双AAA认证”tunnel-group DefaultWEBVPNGroup general-attributesauthentication-server-group ACS LOCAL<第一次AAA认证是用“ACS”>secondary-authentication-server-group 2008LOCAL <第二次AAA认证是用“2008”>default-group-policy yeslabsecondary-username-from-certificate CN<第二次AAA认证的用户名来自于证书的“CN”>tunnel-group DefaultWEBVPNGroup webvpn-attributesauthentication aaa certificate<是用证书+AAA认证>secondary-pre-fill-username ssl-client hide<隐藏第二次AAA认证的用户名,他提取自证书的“CN”>
3.使用Anyconnect测试首先是证书认证第一个用户为ACS上的用户第一个密码为ACS上的密码第二个用户为证书中的“CN”,自动被填写,并且隐藏第二个密码为2008上的密码
