本文描述了使用某些RADIUS服务器与VPN 3000集中器和VPN客户端一起工作时发现的特定警告。
Windows 2000 RADIUS服务器需要密码认证协议(PAP)验证Cisco VPN客户端。(IPSec客户端)
使用不支持微软询问握手认证协议(MSCHAP)的RADIUS服务器,需要在VPN 3000集中器上禁用MSCHAP选项。(点对点隧道协议[PPTP]客户端)
使用带PPTP的加密要求从RADIUS的返回属性MSCHAP-MPPE-Keys。(PPTP客户端)
使用Windows 2003年,可以使用MS-CHAP v2,但是应该设置认证方法作为“RADIUS with Expiry”。
一些这些笔记在产品版本注释出现。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
本文档没有任何特定的前提条件。
本文档中的信息基于以下软件和硬件版本:
Cisco VPN 3000 集中器
Cisco VPN 客户端
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
您能使用Windows 2000 RADIUS服务器验证VPN客户端用户。在以下情况中(VPN客户端请求认证),VPN 3000集中器收到VPN客户端的客户端用户名和密码请求。发送用户名/密码到专用网络中的Windows 2000 RADIUS服务器进行验证之前,VPN集中器使用HMAC/MD5算法执行散列。
Windows 2000 RADIUS服务器要求验证的VPN客户端会话PAP。要使用RADIUS服务器来认证VPN客户端用户,检查Edit Dial-in Profile(编辑拨入配置文件)窗口中的未加密认证(PAP、SPAP)参数(此参数默认为未被检查)。要设置此参数,选择您正在使用的Remote Access Policy,选择Properties,并选择Authentication选项卡。
注意词未加密在此参数名是令人误解的。使用此参数不会引起安全性的破坏,因为当VPN集中器发送认证信息包到RADIUS服务器时,不会发送非受阻密码。VPN集中器接收VPN客户端发来的用户名/密码和加密的信息包,并在发送认证 信息包回服务器之前,对密码执行HMAC/MD5 hash。
一些RADIUS服务器不支持MSCHAPv1或MSCHAPv2用户认证。如果使用不支持MSCHAP(v1或v2)的RADIUS服务器,您必须配置基本组的PPTP认证协议,以使用PAP和/或CHAP,并禁用MSCHAP选项。不支持MSCHAP的RADIUS服务器示例包括Livingston v1.61 RADIUS服务器或基于Livingston代码的所有RADIUS服务器。
注意: 没有MSCHAP,到/从PPTP客户端的数据包不会加密。
使用PPTP加密,RADIUS服务器必须支持MSCHAP认证,并且必须为每个用户认证发送回归属性MSCHAP-MPPE-Key。支持此属性RADIUS服务器的示例如下所示。
Cisco Secure ACS for Windows -版本2.6或以上
Funk软件Steel-Belted RADIUS
NT4.0服务器选项包上的Microsoft互联网验证服务器
Microsoft商用互联网系统(MCIS 2.0)
Microsoft Windows 2000 Server--互联网认证服务器