针对MFA服务器的Cisco ASA LDAP身份验证 [英] Cisco ASA LDAP authentication against MFA Server

问题描述

MFA服务器大师，

我们正在尝试将Cisco ASA配置为使用LDAP和基于SMS的MFA服务器进行身份验证。OTP 看起来初始身份验证有效，因为代码正在发送到手机。但是，AnyConnect客户端
不会显示任何提示输入代码。 而不是错误"登录失败"而不是大约3秒钟后显示。 我们确实按照文件：  https://download.microsoft.com/download/A/2/0/A201567C-C3DE-4227-AF89-4567A470899E/Cisco_ASA_Azure_MFA_LDAP.docx

We are trying to configure Cisco ASA to authenticate against MFA server using LDAP and SMS-based OTP.  It looks like initial authentication works, because the code is being sent to the mobile phone. However, no prompts are displayed by AnyConnect client to enter the code.  Rather than that the error "Login failed" is displayed after about 3 seconds.  We did follow the document:  https://download.microsoft.com/download/A/2/0/A201567C-C3DE-4227-AF89-4567A470899E/Cisco_ASA_Azure_MFA_LDAP.docx

RADIUS协议确实有效，但确实如此不将群组成员资格传递给ASA。 这就是为什么我们希望让LDAP工作。

RADIUS protocol does work, however it does not pass group membership to ASA.  That's why we are hoping to make LDAP work.

非常感谢任何帮助。

推荐答案

您好，

从文档中看，它看起来只有电话，双向短信和带推送通知的移动应用是LDAP支持的唯一方法。

From the doc , it looks like only Phone call, two way SMS and mobile app with push notifications are the only methods supported for LDAP.

来自doc：

Azure支持多种多因素身份验证方法轻量级目录访问协议（LDAP）。每种方法都是挑战 - 响应机制，在使用标准用户凭据进行主要身份验证后发生。

• 电话 - 用户接听电话请拨打有关如何完成登录的说明。
• 短信 - 用户会收到包含验证码的短信。 Azure支持LDAP的双向消息传递;用户需要通过短信回复发送验证码。
• 移动应用 - 用户会收到安装在智能设备（如手机或平板电脑）上的客户端软件的推送通知。 Azure Authenticator应用程序适用于Windows Phone，iOS和Android。

这种情况很可能就是这样，因为这些方法都不需要UI提示输入代码。您可以使用其他方法验证吗？

This could very well be the case, as none of these methods need UI prompt to enter the code. Can you verify with the other methods ?

此外，用户完成2FA身份验证的超时时间应该更长（建议为60秒）。您能否根据文档仔细检查超时配置。

Also the timeout should be longer (60 seconds is recommended) for the User to finish 2FA authentication. Can you double check the configuration of timeout as per the doc.

这篇关于针对MFA服务器的Cisco ASA LDAP身份验证的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！