Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

Opções de download

  • PDF     (899.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de Janeiro de 2006
ID do documento:12086
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento inclui instruções passo a passo em como configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT que usam o servidor Radius.

Refira o RAIO VPN3000 com os recursos de expiração que usam o servidor de autenticação de Internet do microsoft a fim aprender um scenerio mais mais ou menos idêntico com o Internet Authentication Server (IAS).

Pré-requisitos

Requisitos

  • Se server da seus servidor Radius e autenticação do domínio de NT estão em duas máquinas separadas, certifique-se de que você estabeleceu a conectividade IP entre as duas máquinas.

  • Certifique-se de que você estabeleceu a conectividade IP do concentrador ao servidor Radius. Se o servidor Radius é para a interface pública, não esqueça abrir a porta RADIUS no filtro público.

  • Assegure-se de que você possa conectar ao concentrador do cliente VPN que usa o base de dados de usuário interno. Se isto não é configurado, refira por favor configurar o IPsec - cliente VPN do Cisco 3000 ao VPN 3000 concentrator.

Nota: Os recursos de expiração de senha não podem ser usados com Web VPN ou clientes VPN SSL.

Componentes Utilizados

Esta configuração foi desenvolvida e testada utilizando as versões de software e hardware abaixo.

  • Versão de software 4.7 do VPN 3000 concentrator

  • Liberação de cliente VPN 3.5

  • Cisco seguro para o servidor ative directory do Microsoft Windows 2000 da versão 3.0 de NT (CSNT) para a autenticação de usuário

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

vpn3k-ntpwexp-01.gif

Notas de diagrama

  1. O servidor Radius nesta configuração está na interface pública. Se este é o caso com sua instalação específica, crie por favor duas regras em seu filtro público para permitir que o tráfego de radius entre e deixe no concentrador.

  2. Estes serviços da configuração mostra software CSNT e de autenticação do domínio de NT que são executado na mesma máquina. Estes elementos podem ser executados em duas máquinas separadas se pedido por sua configuração.

Configurando o VPN 3000 Concentrator

Configuração de grupo

  1. Para configurar o grupo para aceitar os parâmetros da expiração de senha de NT do servidor Radius, para ir ao configuration > user management > aos grupos, para selecionar seu grupo da lista, e clique altera o grupo. O exemplo abaixo das mostras como alterar um grupo nomeou o “ipsecgroup.”

    vpn3k-ntpwexp-02.gif

  2. Vai à aba do IPsec, certifica-se de que o RAIO com expiração está selecionado para o atributo da autenticação.

    vpn3k-ntpwexp-03.gif

  3. Se você quer esta característica ser permitido nos VPN 3002 Hardware Client, vá à aba do cliente do HW, certifica-se de que o Require Interactive Hardware Client Authentication está permitido, a seguir clicar aplica-se.

    vpn3k-ntpwexp-04.gif

Configuração de RADIUS

  1. Para configurar os ajustes do servidor Radius no concentrador, vá ao > Add do configuração > sistema > servidores > autenticação.

    vpn3k-ntpwexp-05.gif

  2. Na tela adicionar, datilografe dentro os valores que correspondem ao servidor Radius e o clique adiciona.

    O exemplo abaixo usa os seguintes valores.

    Server Type: RADIUS

    Authentication Server: 172.18.124.96

    Server Port = 0 (for default of 1645)
    Timeout = 4

    Reties = 2

    Server Secret = cisco123

    Verify: cisco123

vpn3k-ntpwexp-06.gif

Configurando o servidor NT RADIUS do Cisco Secure

Configurando uma entrada para o VPN 3000 Concentrator

  1. Log no CSNT e configuração de rede do clique no painel esquerdo. Sob “clientes de AAA,” o clique adiciona a entrada.

    vpn3k-ntpwexp-07.gif

  2. “Adicionar na tela do cliente de AAA”, datilografe dentro os valores apropriados para adicionar o concentrador como o cliente RADIUS, a seguir clique-os Submit + Restart.

    O exemplo abaixo usa os seguintes valores.

    AAA Client Hostname = 133_3000_conc

    AAA Client IP Address = 172.18.124.133

    Key = cisco123

    Authenticate using = RADIUS (Cisco VPN 3000)

    vpn3k-ntpwexp-08.gif

    Uma entrada para seu concentrador 3000 aparecerá sob a seção dos “clientes de AAA”.

    vpn3k-ntpwexp-09.gif

Configurando a política de usuário desconhecido para a autenticação de domínio NT

  1. Para configurar parte da autenticação de usuário no servidor Radius como a política de usuário desconhecida, base de dados de usuário externo do clique no painel esquerdo, para clicar então o link para a configuração do base de dados.

    vpn3k-ntpwexp-10.gif

  2. Sob a “configuração externa de bando de dados de usuário,” clique Windows Nt/2000.

    vpn3k-ntpwexp-11.gif

  3. Da “na tela da criação configuração do base de dados”, o clique cria a configuração nova.

    vpn3k-ntpwexp-12.gif

  4. Quando alertado, datilografe um nome para a autenticação nt/2000 e o clique submete-se. O exemplo abaixo mostra o nome “expiração de senha Radius/NT.”

    vpn3k-ntpwexp-13.gif

  5. O clique configura para configurar o Domain Name para a autenticação de usuário.

    vpn3k-ntpwexp-14.gif

  6. Selecione seu domínio de NT “dos domínios disponíveis,” clique então o botão da seta direita para adicionar-lo à “lista de domínios.” Sob “ajustes MS-CHAP,” assegure-se de que as opções para mudanças da senha da licença usando a versão MS-CHAP 1 e a versão 2 estejam selecionadas. O clique submete-se quando você é feito.

    vpn3k-ntpwexp-15.gif

  7. Clique a base de dados de usuário externo no painel esquerdo, a seguir clique o link para mapeamentos de grupo de base de dados (como visto neste exemplo). Você deve ver uma entrada para seu base de dados externo previamente configurado. O exemplo abaixo mostra uma entrada para “a expiração de senha Radius/NT,” o base de dados que nós apenas configuramos.

    vpn3k-ntpwexp-16.gif

  8. Nas “configurações de domínio” selecione, clique a configuração nova para adicionar as configurações de domínio.

    vpn3k-ntpwexp-17.gif

  9. Selecione seu domínio da lista de “detectou domínios” e clique para submeter-se. O exemplo abaixo mostra um domínio nomeado “JAZIB-ADS.”

    vpn3k-ntpwexp-18.gif

  10. Clicam sobre seu Domain Name para configurar os mapeamentos do grupo. Este exemplo mostra o domínio “JAZIB-ADS.”

    vpn3k-ntpwexp-19.gif

  11. O clique adiciona o mapeamento para definir os mapeamentos do grupo.

    vpn3k-ntpwexp-20.gif

  12. “Crie na tela do mapeamento novo do grupo”, trace o grupo no domínio de NT a um grupo no server do CSNT RADIUS, a seguir clique-o submete-se. Os mapas abaixo do exemplo “usuários” do grupo de NT grupo 1." ao grupo do RAIO “

    vpn3k-ntpwexp-21.gif

  13. A base de dados de usuário externo do clique no painel esquerdo, clica então o link para a política de usuário desconhecida (como visto neste exemplo). Certifique-se de que a opção para a verificação as seguintes bases de dados de usuário externo está selecionada. Clique o botão da seta direita para mover o base de dados externo previamente configurado da lista de “bases de dados externos” para a lista de “bases de dados selecionado.”

    vpn3k-ntpwexp-22.gif

Testando o recurso de expiração de senha NT/RADIUS

O concentrador oferece uma função testar a autenticação RADIUS. Para testar corretamente esta característica, certifique-se de que você segue estas etapas com cuidado.

Testando a autenticação RADIUS

  1. Vá ao configuração > sistema > servidores > autenticação. Selecione seu servidor Radius e clique o teste.

    vpn3k-ntpwexp-23.gif

  2. Quando alertado, datilografe seus nome de usuário de domínio de NT e senha, e clique então a APROVAÇÃO. O exemplo abaixo do nome de usuário “jfrahim” das mostras configurou no servidor de domínio de NT com o "cisco123" como a senha.

    vpn3k-ntpwexp-24.gif

  3. Se sua autenticação se estabelece corretamente, você deve receber uma mensagem que indica a “autenticação bem sucedida.”

    vpn3k-ntpwexp-25.gif

    Se você recebe qualquer mensagem a não ser essa mostrada acima, há algum configuração ou problema de conexão. Repita por favor a configuração e as etapas de teste esboçadas neste documento para assegurar-se de que todos os ajustes estejam feitos corretamente. Igualmente verifique a conectividade IP entre seus dispositivos.

Autenticação do domínio NT real utilizando o proxy RADIUS para testar o recurso de expiração de senha

  1. Se o usuário é definido já no servidor de domínio, altere as propriedades de modo que o usuário seja alertado mudar a senha no fazer logon seguinte. Vá à aba da “conta” da caixa de diálogo das propriedades de usuário, selecionam a opção para o usuário deve mudar a senha no fazer logon seguinte, a seguir clicam a APROVAÇÃO.

    vpn3k-ntpwexp-26.gif

  2. Lance o cliente VPN, a seguir tente-o estabelecer o túnel ao concentrador.

    vpn3k-ntpwexp-27.gif

  3. Durante a autenticação de usuário, você deve ser alertado mudar a senha.

    vpn3k-ntpwexp-28.gif

Informações Relacionadas

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Discussões relacionadas com comunidade da Cisco

Sobre a Cisco
Fale Conosco
Trabalhe Conosco