Este documento inclui instruções passo a passo em como configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT que usam o servidor Radius.
Refira o RAIO VPN3000 com os recursos de expiração que usam o servidor de autenticação de Internet do microsoft a fim aprender um scenerio mais mais ou menos idêntico com o Internet Authentication Server (IAS).
Se server da seus servidor Radius e autenticação do domínio de NT estão em duas máquinas separadas, certifique-se de que você estabeleceu a conectividade IP entre as duas máquinas.
Certifique-se de que você estabeleceu a conectividade IP do concentrador ao servidor Radius. Se o servidor Radius é para a interface pública, não esqueça abrir a porta RADIUS no filtro público.
Assegure-se de que você possa conectar ao concentrador do cliente VPN que usa o base de dados de usuário interno. Se isto não é configurado, refira por favor configurar o IPsec - cliente VPN do Cisco 3000 ao VPN 3000 concentrator.
Nota: Os recursos de expiração de senha não podem ser usados com Web VPN ou clientes VPN SSL.
Esta configuração foi desenvolvida e testada utilizando as versões de software e hardware abaixo.
Versão de software 4.7 do VPN 3000 concentrator
Liberação de cliente VPN 3.5
Cisco seguro para o servidor ative directory do Microsoft Windows 2000 da versão 3.0 de NT (CSNT) para a autenticação de usuário
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Este documento utiliza a seguinte configuração de rede:
Notas de diagrama
O servidor Radius nesta configuração está na interface pública. Se este é o caso com sua instalação específica, crie por favor duas regras em seu filtro público para permitir que o tráfego de radius entre e deixe no concentrador.
Estes serviços da configuração mostra software CSNT e de autenticação do domínio de NT que são executado na mesma máquina. Estes elementos podem ser executados em duas máquinas separadas se pedido por sua configuração.
Para configurar o grupo para aceitar os parâmetros da expiração de senha de NT do servidor Radius, para ir ao configuration > user management > aos grupos, para selecionar seu grupo da lista, e clique altera o grupo. O exemplo abaixo das mostras como alterar um grupo nomeou o “ipsecgroup.”
Vai à aba do IPsec, certifica-se de que o RAIO com expiração está selecionado para o atributo da autenticação.
Se você quer esta característica ser permitido nos VPN 3002 Hardware Client, vá à aba do cliente do HW, certifica-se de que o Require Interactive Hardware Client Authentication está permitido, a seguir clicar aplica-se.
Para configurar os ajustes do servidor Radius no concentrador, vá ao > Add do configuração > sistema > servidores > autenticação.
Na tela adicionar, datilografe dentro os valores que correspondem ao servidor Radius e o clique adiciona.
O exemplo abaixo usa os seguintes valores.
Server Type: RADIUS
Authentication Server: 172.18.124.96
Server Port = 0 (for default of 1645)
Timeout = 4
Reties = 2
Server Secret = cisco123
Verify: cisco123
Log no CSNT e configuração de rede do clique no painel esquerdo. Sob “clientes de AAA,” o clique adiciona a entrada.
“Adicionar na tela do cliente de AAA”, datilografe dentro os valores apropriados para adicionar o concentrador como o cliente RADIUS, a seguir clique-os Submit + Restart.
O exemplo abaixo usa os seguintes valores.
AAA Client Hostname = 133_3000_conc
AAA Client IP Address = 172.18.124.133
Key = cisco123
Authenticate using = RADIUS (Cisco VPN 3000)
Uma entrada para seu concentrador 3000 aparecerá sob a seção dos “clientes de AAA”.
Para configurar parte da autenticação de usuário no servidor Radius como a política de usuário desconhecida, base de dados de usuário externo do clique no painel esquerdo, para clicar então o link para a configuração do base de dados.
Sob a “configuração externa de bando de dados de usuário,” clique Windows Nt/2000.
Da “na tela da criação configuração do base de dados”, o clique cria a configuração nova.
Quando alertado, datilografe um nome para a autenticação nt/2000 e o clique submete-se. O exemplo abaixo mostra o nome “expiração de senha Radius/NT.”
O clique configura para configurar o Domain Name para a autenticação de usuário.
Selecione seu domínio de NT “dos domínios disponíveis,” clique então o botão da seta direita para adicionar-lo à “lista de domínios.” Sob “ajustes MS-CHAP,” assegure-se de que as opções para mudanças da senha da licença usando a versão MS-CHAP 1 e a versão 2 estejam selecionadas. O clique submete-se quando você é feito.
Clique a base de dados de usuário externo no painel esquerdo, a seguir clique o link para mapeamentos de grupo de base de dados (como visto neste exemplo). Você deve ver uma entrada para seu base de dados externo previamente configurado. O exemplo abaixo mostra uma entrada para “a expiração de senha Radius/NT,” o base de dados que nós apenas configuramos.
Nas “configurações de domínio” selecione, clique a configuração nova para adicionar as configurações de domínio.
Selecione seu domínio da lista de “detectou domínios” e clique para submeter-se. O exemplo abaixo mostra um domínio nomeado “JAZIB-ADS.”
Clicam sobre seu Domain Name para configurar os mapeamentos do grupo. Este exemplo mostra o domínio “JAZIB-ADS.”
O clique adiciona o mapeamento para definir os mapeamentos do grupo.
“Crie na tela do mapeamento novo do grupo”, trace o grupo no domínio de NT a um grupo no server do CSNT RADIUS, a seguir clique-o submete-se. Os mapas abaixo do exemplo “usuários” do grupo de NT grupo 1." ao grupo do RAIO “
A base de dados de usuário externo do clique no painel esquerdo, clica então o link para a política de usuário desconhecida (como visto neste exemplo). Certifique-se de que a opção para a verificação as seguintes bases de dados de usuário externo está selecionada. Clique o botão da seta direita para mover o base de dados externo previamente configurado da lista de “bases de dados externos” para a lista de “bases de dados selecionado.”
O concentrador oferece uma função testar a autenticação RADIUS. Para testar corretamente esta característica, certifique-se de que você segue estas etapas com cuidado.
Vá ao configuração > sistema > servidores > autenticação. Selecione seu servidor Radius e clique o teste.
Quando alertado, datilografe seus nome de usuário de domínio de NT e senha, e clique então a APROVAÇÃO. O exemplo abaixo do nome de usuário “jfrahim” das mostras configurou no servidor de domínio de NT com o "cisco123" como a senha.
Se sua autenticação se estabelece corretamente, você deve receber uma mensagem que indica a “autenticação bem sucedida.”
Se você recebe qualquer mensagem a não ser essa mostrada acima, há algum configuração ou problema de conexão. Repita por favor a configuração e as etapas de teste esboçadas neste documento para assegurar-se de que todos os ajustes estejam feitos corretamente. Igualmente verifique a conectividade IP entre seus dispositivos.
Se o usuário é definido já no servidor de domínio, altere as propriedades de modo que o usuário seja alertado mudar a senha no fazer logon seguinte. Vá à aba da “conta” da caixa de diálogo das propriedades de usuário, selecionam a opção para o usuário deve mudar a senha no fazer logon seguinte, a seguir clicam a APROVAÇÃO.
Lance o cliente VPN, a seguir tente-o estabelecer o túnel ao concentrador.
Durante a autenticação de usuário, você deve ser alertado mudar a senha.