cisco ***使用windows 2008域账户进行认证。

 思想是windows 2008自带的NPS提供radius认证功能

 第一步,需要在windows 2008 上添加角色“网络策略服务器”。

 第二步,在radius客户端中添加设备可以联通的ip地址，高级里面选择radius协议是采用标准的还是厂商自己的，我们选择cisco。

弄好之后效果:

 第三步，在策略内建立网络策略（注意，网络策略可以建很多条，每条与每条是独立的，在每条内只能添加一个用户组。）。

创建过程如下（名字随便取）：

其他的默认，建好之后如下（可以直接复制策略，只更改组）。我有三个组加入策略。

 第四步，建立连接请求策略（名字随便取）。

条件设置里面加入radius客户端的ip地址（和创建的radius客户端一致也和匹配的网络策略里面的ip地址一致，这个是网络策略之后匹配后匹配的连接策略必须要配置一个一致的。）。

这一步配置好后，windows 2008上配置就基本结束了。

cisco 防火墙配置：

我的ios版本是8.4（3）

aaa-server NPS-Radius protocol radius

aaa-server NPS-Radius (server) host *.*.*.*（radius服务器ip地址）

key *****

crypto ikev1 enable outside //接口打开ikev1

crypto ikev1 policy 10      //配置ikev1参数

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 28800

crypto ipsec ikev1 transform-set TEST-tran esp-des esp-md5-hmac  //设置第二阶段加密集

crypto dynamic-map TEST-dymap 10 set ikev1 transform-set TEST-tran //设置动态加密图

crypto dynamic-map TEST-dymap 10 set reverse-route           //配置反转路由

crypto map TEST-map 10 ipsec-isakmp dynamic TEST-dymap         //调用动态加密图

crypto map TEST-map interface outside                          //应用到接口

ip local pool EZ×××-pool 192.168.100.100-192.168.100.150 mask 255.255.255.0 //配置***客户端ip地址池

access-list split extended permit ip 192.168.1.0 255.255.255.0 any   //配置分离列表，配置后***用户可以公网和***同时访问

access-list split extended permit ip 192.168.2.0 255.255.255.0 any

group-policy TEST-policy internal                            

group-policy TEST-policy attributes

dns-server value *.*.*.*(***用户拨入后可以使用域)

split-tunnel-policy tunnelspecified

split-tunnel-network-list value split

address-pools value EZ×××-pool

tunnel-group TEST type remote-access

tunnel-group TEST general-attributes

authentication-server-group NPS-Radius

accounting-server-group NPS-Radius

default-group-policy TEST-policy

tunnel-group TEST ipsec-attributes

ikev1 pre-shared-key *****

测试认证可以使用test命令

所有的连接都可以在windows事件上查看，如果认证失败也可在这里查找原因。

配置完成，现在***用户可以使用域账户进行登录。