---

Hej.

Sidder og eksperimenterer med forskellige VPN opsætninger. Jeg har et
scenario hvor jeg gerne vil have at benytte et certifikat til at
identificere computeren og alm. auth til brugeren. Jeg har installeret
CA og identity certs på VPN-serveren og certifikat på klienten.

Certifikatet bliver fint godkendt og den bliver også mappet til den
rigtige gruppe via OU. Men så dør den i IKE fase 1 pga. XAUTH ikke er
supporteret. Men, den IKE proposal (CiscoVPNclientblabla) understøtter
jf. manualen XAUTH.

Her er hvad den skriver i loggen:

326 10/04/2002 15:52:08.190 SEV=5 IP/43 RPT=23
Deleting TCP entry for device 194.239.156.150 on port 1496

323 10/04/2002 15:52:08.190 SEV=4 IKE/127 RPT=17 194.239.156.150
Group [TEST]
Xauth required but selected Proposal does not support xauth,
Check priorities of ike xauth proposals in ike proposal list

321 10/04/2002 15:52:08.190 SEV=5 IKE/79 RPT=18 194.239.156.150
Group [TEST]
Validation of certificate successful
(CN=user, SN=1306FAFB000000000007)

Hvis jeg sætter authentication til none på gruppen connecter den fint
og skriver i loggen at gruppe = OU og user = CN (fra certifikatet).

Men det er altså ikke så fedt. Hvad gør jeg forkert?

P.S.
XPOST til dk.edb.netvaerk.stort og dk.edb.sikkerhed

--
Lars Kim Lund
http://www.net-faq.dk/

---

"Lars Kim Lund" <lkl@fabel.dk> skrev

> Sidder og eksperimenterer med forskellige VPN opsætninger. Jeg har et
> scenario hvor jeg gerne vil have at benytte et certifikat til at
> identificere computeren og alm. auth til brugeren. Jeg har installeret
> CA og identity certs på VPN-serveren og certifikat på klienten.

Ditto. Jeg har også fået det til at virke, men er stødt på et lille problem.
Jeg har ikke kunne finde en mulighed for at brugerne har mulighed for at
benytte
enten et certifikat eller gruppe-/password. Det er pt. enten-eller.

Nogen som ved om jeg bare har klokket i det under setup'et, eller om det
er by design ?

--
Mvh
Steen