使用 RADIUS 服务器的 VPN 3000 产品

简介

本文描述了使用某些RADIUS服务器与VPN 3000集中器和VPN客户端一起工作时发现的特定警告。

• Windows 2000 RADIUS服务器需要密码认证协议(PAP)验证Cisco VPN客户端。(IPSec客户端)

• 使用不支持微软询问握手认证协议(MSCHAP)的RADIUS服务器，需要在VPN 3000集中器上禁用MSCHAP选项。(点对点隧道协议[PPTP]客户端)

• 使用带PPTP的加密要求从RADIUS的返回属性MSCHAP-MPPE-Keys。(PPTP客户端)

• 使用Windows 2003年，可以使用MS-CHAP v2，但是应该设置认证方法作为“RADIUS with Expiry”。

一些这些笔记在产品版本注释出现。

开始使用前

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

先决条件

本文档没有任何特定的前提条件。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco VPN 3000 集中器

• Cisco VPN 客户端

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

使用Windows 2000的RADIUS服务器验证Cisco VPN客户端

您能使用Windows 2000 RADIUS服务器验证VPN客户端用户。在以下情况中(VPN客户端请求认证)，VPN 3000集中器收到VPN客户端的客户端用户名和密码请求。发送用户名/密码到专用网络中的Windows 2000 RADIUS服务器进行验证之前，VPN集中器使用HMAC/MD5算法执行散列。

Windows 2000 RADIUS服务器要求验证的VPN客户端会话PAP。要使用RADIUS服务器来认证VPN客户端用户，检查Edit Dial-in Profile（编辑拨入配置文件）窗口中的未加密认证(PAP、SPAP)参数(此参数默认为未被检查)。要设置此参数，选择您正在使用的Remote Access Policy，选择Properties，并选择Authentication选项卡。

注意词未加密在此参数名是令人误解的。使用此参数不会引起安全性的破坏，因为当VPN集中器发送认证信息包到RADIUS服务器时，不会发送非受阻密码。VPN集中器接收VPN客户端发来的用户名/密码和加密的信息包，并在发送认证 信息包回服务器之前，对密码执行HMAC/MD5 hash。

使用不支持 MSCHAP 的 RADIUS 服务器

一些RADIUS服务器不支持MSCHAPv1或MSCHAPv2用户认证。如果使用不支持MSCHAP(v1或v2)的RADIUS服务器，您必须配置基本组的PPTP认证协议，以使用PAP和/或CHAP，并禁用MSCHAP选项。不支持MSCHAP的RADIUS服务器示例包括Livingston v1.61 RADIUS服务器或基于Livingston代码的所有RADIUS服务器。

注意： 没有MSCHAP，到/从PPTP客户端的数据包不会加密。

对 PPTP 进行加密

使用PPTP加密，RADIUS服务器必须支持MSCHAP认证，并且必须为每个用户认证发送回归属性MSCHAP-MPPE-Key。支持此属性RADIUS服务器的示例如下所示。

• Cisco Secure ACS for Windows -版本2.6或以上

• Funk软件Steel-Belted RADIUS

• NT4.0服务器选项包上的Microsoft互联网验证服务器

• Microsoft商用互联网系统(MCIS 2.0)

• Microsoft Windows 2000 Server--互联网认证服务器

相关信息

• RADIUS 支持页
• Cisco Secure ACS for Windows 支持页
• Cisco VPN 3000 系列集中器支持页
• Cisco VPN 3000 系列客户端支持页
• IPSec 支持页面
• PPTP 支持页
• RFC 2637：点对点隧道协议 (PPTP)
• 请求注解 (RFC)
• 技术支持 - Cisco Systems