Configuración del concentrador Cisco VPN 3000 con Microsoft RADIUS

Opciones de descarga

  • PDF     (341.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (391.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Actualizado:24 de marzo de 2008
ID del documento:20585

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

El Servidor de autenticación de Internet (IAS) de Microsoft y Microsoft Commercial Internet System (MCI 2.0) están disponibles actualmente. El servidor RADIUS de Microsoft es conveniente porque utiliza Active Directory en el controlador de dominio principal para su base de datos de usuarios. Ya no necesita mantener una base de datos aparte. También soporta encripción de 40 y de 128 bits para las conexiones VPN del Point-to-Point Tunneling Protocol (PPTP). Consulte la lista de comprobación de Microsoft: Configuración de IAS para la documentación de acceso leavingcisco.com VPN y marcado manual para obtener más información.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Instalación y configuración del servidor RADIUS en Windows 2000 y Windows 2003

Instalación del servidor RADIUS

Si no tiene instalado el servidor RADIUS (IAS), realice estos pasos para instalar. Si ya tiene instalado el servidor RADIUS, continúe con los pasos de configuración.

  1. Inserte el disco compacto de Windows Server e inicie el programa de instalación.

  2. Haga clic en Install Add-On Components y, a continuación, haga clic en Add/Remove Windows Components.

  3. En Components, haga clic en Networking Services (pero no active o desactive la casilla de verificación) y, a continuación, haga clic en Details.

  4. Verifique Internet Authentication Service y haga clic en OK.

  5. Haga clic en Next (Siguiente).

Configuración de Microsoft Windows 2000 Server con IAS

Complete estos pasos para configurar el servidor RADIUS (IAS) e iniciar el servicio para que esté disponible para autenticar a los usuarios en el concentrador VPN.

  1. Elija Inicio > Programas > Herramientas administrativas > Servicio de autenticación de Internet.

  2. Haga clic con el botón derecho del ratón en Internet Authentication Service y haga clic en Properties en el submenú que aparece.

  3. Vaya a la ficha RADIUS para examinar la configuración de los puertos.

    Si la autenticación RADIUS y los puertos del protocolo de datagramas de usuario (UDP) de la contabilidad RADIUS difieren de los valores predeterminados proporcionados (1812 y 1645 para la autenticación, 1813 y 1646 para la contabilización) en Autenticación y Contabilización, escriba la configuración del puerto. Haga clic en Aceptar cuando haya terminado.

    Nota: No cambie los puertos predeterminados. Separe los puertos utilizando comas para utilizar la configuración de varios puertos para las solicitudes de autenticación o contabilización.

  4. Haga clic con el botón derecho del mouse en Clientes y elija Nuevo Cliente para agregar el concentrador VPN como cliente de autenticación, autorización y contabilidad (AAA) al servidor RADIUS (IAS).

    Nota: Si la redundancia se configura entre dos Cisco VPN 3000 Concentrators, el Cisco VPN 3000 Concentrator de respaldo también se debe agregar al servidor RADIUS como un cliente RADIUS.

  5. Introduzca un nombre descriptivo y selecciónelo como RADIUS de protocolo.

  6. Defina el concentrador VPN con una dirección IP o un nombre DNS en la siguiente ventana.

  7. Elija Cisco en la barra de desplazamiento Cliente-Proveedor.

  8. Introduzca un secreto compartido.

    Nota: Debe recordar el secreto exacto que utiliza. Necesita esta información para configurar el VPN Concentrator.

  9. Haga clic en Finish (Finalizar).

  10. Haga doble clic en Políticas de acceso remoto y haga doble clic en la política que aparece en el lado derecho de la ventana.

    Nota: Después de instalar IAS, ya debería existir una política de acceso remoto.

    En Windows 2000, la autorización se concede en función de las propiedades de acceso telefónico de una cuenta de usuario y de las políticas de acceso remoto. Las políticas de acceso remoto son un conjunto de condiciones y configuraciones de conexión que proporcionan a los administradores de red más flexibilidad a la hora de autorizar los intentos de conexión. El servicio de acceso remoto y ruteo de Windows 2000 y el IAS de Windows 2000 utilizan políticas de acceso remoto para determinar si se aceptan o rechazan los intentos de conexión. En ambos casos, las políticas de acceso remoto se almacenan localmente. Consulte la documentación de Windows 2000 IAS para obtener más información sobre cómo se procesan los intentos de conexión.

    cisco_vpn_msradius.gif

  11. Elija Conceder permiso de acceso remoto y haga clic en Editar perfil para configurar las propiedades de marcado.

  12. Seleccione el protocolo que se utilizará para la autenticación en la ficha Authentication (Autenticación). Verifique Microsoft Encrypted Authentication versión 2 y desmarque todos los demás protocolos de autenticación.

    Nota: La configuración de este perfil de marcado debe coincidir con la configuración del concentrador VPN 3000 y del cliente de marcado de entrada. En este ejemplo se utiliza la autenticación MS-CHAPv2 sin el cifrado PPTP.

  13. En la ficha Cifrado, marque No Encryption only (No cifrado solamente).

  14. Haga clic en Aceptar para cerrar el perfil de acceso telefónico y luego haga clic en Aceptar para cerrar la ventana de política de acceso remoto.

  15. Haga clic con el botón derecho del ratón en Internet Authentication Service y haga clic en Start Service en el árbol de la consola.

    Nota: También puede utilizar esta función para detener el servicio.

  16. Complete estos pasos para modificar los usuarios para permitir la conexión.

    1. Elija Console > Add/Remove Snap-in.

    2. Haga clic en Agregar y elija complemento Usuarios y grupos locales.

    3. Haga clic en Add (Agregar).

    4. Asegúrese de seleccionar Equipo local

    5. Haga clic en Finalizar y Aceptar.

  17. Expanda Usuario y grupos locales y haga clic en la carpeta Usuarios en el panel izquierdo. En el panel derecho, haga doble clic en el usuario (usuario VPN) al que desea permitir el acceso.

  18. Vaya a la ficha Dial-in y elija Allow Access en Remote Access Permission (Permiso de acceso remoto o VPN).

    cvpn3k_pix_ias-k.gif

  19. Haga clic en Aplicar y Aceptar para completar la acción. Si lo desea, puede cerrar la ventana Administración de la consola y guardar la sesión.

    Los usuarios que modificó ahora pueden acceder al concentrador VPN con el cliente VPN. Tenga en cuenta que el servidor IAS sólo autentica la información del usuario. El concentrador VPN aún realiza la autenticación de grupo.

Configuración de Microsoft Windows 2003 Server con IAS

Complete estos pasos para configurar el servidor de Microsoft Windows 2003 con IAS.

Nota: Estos pasos suponen que IAS ya está instalada en la máquina local. De lo contrario, agregue el IAS a través del Control Panel > Add/Remove Programs.

  1. Elija Administrative Tools > Internet Authentication Service y haga clic con el botón derecho en RADIUS Client para agregar un nuevo cliente RADIUS. Luego de escribir la información del cliente, haga clic en OK.

  2. Introduzca un nombre descriptivo.

  3. Defina el concentrador VPN con una dirección IP o un nombre DNS en la siguiente ventana.

  4. Elija Cisco en la barra de desplazamiento Cliente-Proveedor.

  5. Introduzca un secreto compartido.

    Nota: Debe recordar el secreto exacto que utiliza. Necesita esta información para configurar el VPN Concentrator.

  6. Haga clic en Aceptar para completarlo.

  7. Vaya a Políticas de acceso remoto, haga clic con el botón derecho en Conexiones a otros servidores de acceso y elija Propiedades.

  8. Elija Grant remote access permit y haga clic en Edit Profile para configurar las propiedades Dial-In.

  9. Seleccione el protocolo que se utilizará para la autenticación en la ficha Authentication (Autenticación). Verifique Microsoft Encrypted Authentication versión 2 y desmarque todos los demás protocolos de autenticación.

    Nota: La configuración de este perfil de marcado debe coincidir con la configuración del concentrador VPN 3000 y del cliente de marcado de entrada. En este ejemplo se utiliza la autenticación MS-CHAPv2 sin el cifrado PPTP.

  10. En la ficha Cifrado, marque No Encryption only (No cifrado solamente).

  11. Haga clic en Aceptar cuando haya terminado.

    cvpn3k_pix_ias-m.jpg

  12. Haga clic con el botón derecho del ratón en Internet Authentication Service y haga clic en Start Service en el árbol de la consola.

    Nota: También puede utilizar esta función para detener el servicio.

  13. Elija Administrative Tools > Computer Management > System Tools > Local Users and Groups, haga clic con el botón derecho en Users y elija New Users para agregar un usuario a la cuenta de equipo local.

  14. Agregue el usuario con la contraseña de Cisco "vpnpassword" y verifique esta información de perfil.

    • En la pestaña General, asegúrese de que esté seleccionada la opción Password Never Expired en vez de la opción User Must Change Password.

    • En la ficha Marcar, elija la opción Permitir acceso (o deje la configuración predeterminada Control access a través de Remote Access Policy).

    Haga clic en Aceptar cuando haya terminado.

    cvpn3k_pix_ias-n.jpg

Configuración del concentrador VPN 3000 de Cisco para la autenticación RADIUS

Complete estos pasos para configurar el Cisco VPN 3000 Concentrator para la autenticación RADIUS.

  1. Conéctese al concentrador VPN con su navegador web y elija Configuration > System > Servers > Authentication en el menú de marco izquierdo.

    cisco_vpn_msradius_1.gif

  2. Haga clic en Agregar y configure estos parámetros.

    • Tipo de servidor = RADIUS

    • Servidor de autenticación = dirección IP o nombre de host del servidor RADIUS (IAS)

    • Puerto del servidor = 0 (0=default=1645)

    • Secreto de servidor = igual que en el paso 8 de la sección Configuración del servidor RADIUS

    cisco_vpn_msradius_2.gif

  3. Haga clic en Agregar para agregar los cambios a la configuración en ejecución.

  4. Haga clic en Add, elija Internal Server para Server Type y haga clic en Apply.

    Necesita esto más adelante para configurar un grupo IPsec (sólo necesita el tipo de servidor = servidor interno).

    cisco_vpn_msradius_3.gif

  5. Configure el concentrador VPN para los usuarios PPTP o para los usuarios de VPN Client.

      PPTP (Protocolo de arquitectura de túneles punto a punto)

      Complete estos pasos para configurar para los usuarios PPTP.

    1. Elija Configuration > User Management > Base Group y haga clic en la pestaña PPTP/L2TP.

    2. Elija MSCHAPv2 y desmarque otros protocolos de autenticación en la sección PPTP Authentication Protocols .

      cisco_vpn_msradius_4.gif

    3. Haga clic en Aplicar en la parte inferior de la página para agregar los cambios a la configuración en ejecución.

      Ahora, cuando los usuarios PPTP se conectan, el servidor RADIUS (IAS) los autentica.

      Cliente VPN

      Complete estos pasos para configurar para los usuarios de VPN Client.

    1. Elija Configuration > User Management > Groups y haga clic en Add para agregar un nuevo grupo.cisco_vpn_msradius_5.gif

    2. Escriba un nombre de grupo (por ejemplo, IPsecUsers) y una contraseña.

      cisco_vpn_msradius_6.gif

      Esta contraseña se utiliza como clave previamente compartida para la negociación del túnel.

    3. Vaya a la ficha IPSec y establezca Authentication en RADIUS.

      cisco_vpn_msradius_7.gif

      Esto permite que los clientes IPSec sean autenticados a través del servidor de autenticación RADIUS.

    4. Haga clic en Agregar en la parte inferior de la página para agregar los cambios a la configuración en ejecución.

      Ahora, cuando los clientes IPSec se conectan y utilizan el grupo que configuró, el servidor RADIUS los autentica.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshoot

Falla la autenticación WebVPN

Estas secciones proporcionan información que puede utilizar para resolver problemas de configuración.

  • Problema: Los usuarios de WebVPN no pueden autenticarse contra el servidor RADIUS pero pueden autenticarse correctamente con la base de datos local del concentrador VPN. Reciben errores como "Error de inicio de sesión" y este mensaje.

    cisco_vpn_msradius_8.gif

    Causa: Este tipo de problemas a menudo ocurren cuando se utiliza cualquier base de datos que no sea la base de datos interna del concentrador. Los usuarios de WebVPN golpean el grupo base cuando se conectan por primera vez al concentrador y deben utilizar el método de autenticación predeterminado. A menudo, este método se establece en la base de datos interna del concentrador y no es un RADIUS u otro servidor configurado.

    Solución: Cuando un usuario de WebVPN se autentica, el concentrador verifica la lista de servidores definida en Configuration > System > Servers > Authentication y utiliza el superior. Asegúrese de mover el servidor con el que desea que los usuarios de WebVPN se autentiquen a la parte superior de esta lista. Por ejemplo, si RADIUS debe ser el método de autenticación, debe mover el servidor RADIUS a la parte superior de la lista para enviarle la autenticación.

    Nota: Sólo porque los usuarios de WebVPN inicien el grupo base no significa que se limiten al grupo base. Los grupos WebVPN adicionales se pueden configurar en el concentrador, y los usuarios pueden ser asignados por el servidor RADIUS con la población del atributo 25 con OU=groupname . Refiérase a Bloqueo de Usuarios en un Grupo de Concentradores VPN 3000 Usando un Servidor RADIUS para obtener una explicación más detallada.

La autenticación de usuario falla en Active Directory

En el servidor de Active Directory, en la ficha Cuenta de las propiedades de usuario del usuario que ha fallado, puede ver esta casilla de verificación:

[x] No requiere autenticación previa

Si esta casilla de verificación no está marcada, márquela e intente autenticarse de nuevo con este usuario.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
24-Mar-2008
Versión inicial

Contribución realizada por

  • pqiu
    ddunlap

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos