セキュリティと VPN : リモート認証ダイヤルイン ユーザ サービス(RADIUS)

VPN 3000 製品でRADIUSサーバを使用する方法

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、VPN 3000 コンセントレータおよび VPN Client を使用している RADIUS サーバを使用した場合に表示される特定の警告について説明します。

  • Windows 2000 RADIUSサーバは Cisco VPN Client を認証するために Password Authentication Protocol (PAP)を必要とします。 (IPSecクライアント)

  • サポートしない RADIUSサーバを使用する Microsoft Challenge Handshake Authentication Protocol (MSCHAP)は VPN 3000 コンセントレータでディセーブルにされる MSCHAP オプションを必要とします。 (ポイント ツー ポイントトンネルプロトコル[PPTP]クライアント)

  • PPTP の暗号化を使用する RADIUS からの帰りアトリビュート MSCHAP MPPE キーを必要とします。 (PPTP クライアント)

  • Windows 2003 を使うと、MS-CHAP v2 は使用することができます認証方式は「終止によって RADIUS」として設定 する必要があります。

いくつかのこれらのメモは製品のリリース情報に現われました。

はじめに

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco VPN 3000 コンセントレータ

  • Cisco VPN Client

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

Cisco VPN Client を認証する Windows 2000 RADIUSサーバの使用

VPN クライアント ユーザを認証するのに Windows 2000 RADIUSサーバを使用できます。 次のシナリオでは(VPN クライアントは認証を要求しています)、VPN 3000 コンセントレータはクライアント の ユーザのユーザ名 および パスワードが含まれている VPN クライアントから要求を受け取ります。 確認のためのプライベート ネットワークの Windows 2000 RADIUSサーバへ username/password を送信 する前に、VPN コンセントレータは HMAC/MD5 アルゴリズムを使用してそれを、ハッシュします。

Windows 2000 RADIUSサーバは VPN クライアント セッションを認証するために PAP を必要とします。 RADIUSサーバを VPN クライアント ユーザを認証するためにイネーブルに設定するために Edit Dial-in Profile ウィンドウ非暗号化認証(PAP、SPAP)パラメータをチェックして下さい(デフォルトで、このパラメータはチェックされません)。 このパラメータを設定 するために、使用しているリモートアクセスポリシーを選択し、『Properties』 を選択 し、Authentication タブを選択して下さい。

このパラメータ名で非暗号化ワードが紛らわしいことに注目して下さい。 このパラメータを使用する VPN コンセントレータが RADIUSサーバに認証パケットを送るとき、パスワードを明白に送信しないので、セキュリティ の 抜け穴を引き起こしません。 VPN コンセントレータは VPN クライアントから username/password および暗号化されたパケットを受信し、サーバへ認証パケットを送信 する前にパスワードの HMAC/MD5 ハッシュを行います。

radius_tips_1.gif

MSCHAP をサポートしないRADIUSサーバの使用

いくつかの RADIUSサーバは MSCHAPv1 か MSCHAPv2 ユーザ認証をサポートしません。 MSCHAP を(v1 か v2)サポートしない RADIUSサーバを使用していれば、また PAP や CHAP を使用し、MSCHAP オプションをディセーブルにするために基礎群の PPTP 認証プロトコルを設定して下さい。 MSCHAP をサポートしない RADIUSサーバの例は Livingston コードに基づく Livingston v1.61 RADIUSサーバまたは RADIUSサーバです。

注: MSCHAP なしで、PPTP クライアントに出入するパケットは暗号化されません。

PPTP の暗号化の使用

暗号化を PPTP と使用するために、RADIUSサーバは MSCHAP 認証をサポートし、各ユーザ認証のための帰りアトリビュート MSCHAP MPPE キーを送信 する必要があります。 このアトリビュートをサポートする RADIUSサーバの例は下記に示されています。

  • Cisco Secure ACS for Windows -バージョン 2.6 または それ 以降

  • Funk Software Steel-Belted RADIUS

  • NT 4.0 サーバオプション パックのマイクロソフトのInternet Authentication Server

  • Microsoft Commercial Internet System(MCIS 2.0)

  • Microsoft Windows 2000 Server -- Internet Authentication Server

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 5616