Hola a todos,
mi nombre es Gustavo y quiero consultar acerca de un problema que tengo con el ASA 5510.

Estoy trabajando con el ASA para que los clientes VPN de Cisco en IPSEC puedan cambiar sus contraseñas desde el mismo cliente cuando caducan, la idea de esto es que el usuario final esté a cargo del mantenieminto de su contraseña.

Esto funciona usando un servidor Windows 2003 con Active Directory usando LDAP como AAA.

También estamos usandolo con Radius en el mismo servidor para el acceso a los dispositivos de Cisco en nuestra red.

El problema que me detiene es cuando en un cliente VPN caduca la contraseña o es forzada a cambiar, el usuario puede repetir la contraseña anterior, violando las GPO aplicadas en Windows para el uso de contraseñas.

El mismo usuario y la misma GPO bajo Windows funciona correctamente, o sea no permite repetir contraseñas (Password history).

La longitud, los intentos fallidos, bloqueo y la complejidad de la contraseña funcionan bien.

Estuve investigando y llegue a un callejón sin salida. No encontré a nadie por ahora que le haya sucedido lo mismo y no se si es una limitación del ASA o un problema con Windows.

Lo que me lleva a esta conclusión es que haciendo un debug en el ASA cuando autenticamos un usuario hay un atributo que el ASA no puede interpretar.

Abajo paso el contenido del debug y resalto donde está el error en bold.

Desde ya agradezco la ayuda que me puedan brindar con este tema.

Saludos,

Gustavo.

Versión de software del ASA: 8. 04
vpn client 5.0.04. 0300


---------------------------------------------------------------------------------------

AAA session opened: handle = 1197
AAA API: In aaa_process_async
aaa_process_async: sending AAA_MSG_PROCESS
AAA task: aaa_process_msg(d45bd5c8) received message type 0
AAA FSM: In AAA_StartAAATransaction
AAA FSM: In AAA_InitTransaction

Initiating authentication to primary server (Svr Grp: USER_IPSEC_VPN)
------------------------------------------------
AAA FSM: In AAA_BindServer
AAA_BindServer: Using server: 192.168.1. 62
AAA FSM: In AAA_SendMsg
User: user
Resp:
callback_aaa_task: status = -1, msg =
AAA FSM: In aaa_backend_callback
aaa_backend_callback: Handle = 1197, pAcb = d5f6f97c
AAA task: aaa_process_msg(d45bd5c8) received message type 1
AAA FSM: In AAA_ProcSvrResp

Back End response:
------------------
Authentication Status: -1 (REJECT)

Resetting sathyam.aaa.ip"s numtries
AAA FSM: In AAA_NextFunction
AAA_NextFunction: i_fsm_state = IFSM_PRIM_AUTHENTICATE, auth_status = REJECT
AAA_NextFunction: authen svr = USER_IPSEC_VPN, author svr = <NONE>, user pol = , tunn pol = DfltGrpPolicy
AAA_NextFunction: New i_fsm_state = IFSM_DONE,
AAA FSM: In AAA_ProcessFinal
AAA FSM: In AAA_Callback
user attributes:
1 LDAP password change allowed(20483) 4 1
2 LDAP password minimum length(20484) 4 6
3 <UNKNOWN>(20486) 4 0xD8E2D6F8 ** Invalid Attribute **

user policy attributes:
None

tunnel policy attributes:
None


Auth Status = REJECT