إستخدام خوادم RADIUS مع منتجات VPN 3000

المقدمة

يصف هذا وثيقة مؤكد مؤكد مؤكد عند يستعمل بعض RADIUS نادل مع ال VPN 3000 مركز و VPN زبون.

• يتطلب خادم Windows 2000 RADIUS بروتوكول مصادقة كلمة المرور (PAP) لمصادقة عميل Cisco VPN. (عملاء IPSec)

• يتطلب إستخدام خادم RADIUS الذي لا يدعم بروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (MSCHAP) من Microsoft تعطيل خيارات MSCHAP على مركز VPN 3000. (عملاء بروتوكول الاتصال النفقي من نقطة إلى نقطة [PPTP])

• يتطلب إستخدام التشفير باستخدام PPTP وجود سمة الإرجاع MSCHAP-MPPE-Keys من RADIUS. (عملاء PPTP)

• مع نظام التشغيل Windows 2003، يمكن إستخدام MS-CHAP v2، ولكن يجب تعيين طريقة المصادقة على أنها "RADIUS مع انتهاء صلاحية".

وقد ظهرت بعض هذه الملاحظات في ملاحظات إصدار المنتج.

قبل البدء

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

المتطلبات الأساسية

لا توجد متطلبات أساسية خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• مركز Cisco VPN 3000

• عميل شبكة VPN من Cisco

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

إستخدام خادم Windows 2000 RADIUS لمصادقة عميل Cisco VPN

يمكنك إستخدام خادم Windows 2000 RADIUS لمصادقة مستخدم عميل شبكة VPN. في السيناريو التالي (يطلب عميل VPN المصادقة)، يستلم مركز VPN 3000 طلبا من عميل VPN يحتوي على اسم مستخدم العميل وكلمة المرور الخاصة به. قبل إرسال اسم المستخدم/كلمة المرور إلى خادم Windows 2000 RADIUS في الشبكة الخاصة للتحقق، يقوم مركز الشبكة الخاصة الظاهرية (VPN) بتعطيلها، باستخدام خوارزمية HMAC/MD5.

يتطلب خادم Windows 2000 RADIUS PAP لمصادقة جلسة عمل عميل VPN. لتمكين خادم RADIUS لمصادقة مستخدم عميل VPN، تحقق من معلمة المصادقة غير المشفرة (PAP، SPAP) في نافذة تحرير ملف تعريف الطلب (بشكل افتراضي، لا يتم التحقق من هذه المعلمة). لتعيين هذه المعلمة، حدد نهج الوصول عن بعد الذي تستخدمه، وحدد خصائص، وحدد علامة التبويب المصادقة.

لاحظ أن كلمة غير مشفرة على اسم هذه المعلمة مضللة. لا يتسبب إستخدام هذه المعلمة في خرق الأمان، نظرا لأنه عندما يرسل مركز VPN حزمة المصادقة إلى خادم RADIUS، فإنه لا يرسل كلمة المرور في الخلاء . يستقبل مركز VPN اسم المستخدم/كلمة المرور والحزم المشفرة من عميل VPN، ويقوم بتنفيذ تجزئة HMAC/MD5 على كلمة المرور قبل إرسال حزمة المصادقة إلى الخادم.

إستخدام خادم RADIUS الذي لا يدعم MSCHAP

لا تدعم بعض خوادم RADIUS مصادقة المستخدم MSCHAPv1 أو MSCHAPv2. إذا كنت تستخدم خادم RADIUS لا يدعم MSCHAP (الإصدار 1 أو الإصدار 2)، فيجب عليك تكوين بروتوكول مصادقة PPTP للمجموعة الأساسية لاستخدام PAP و/أو CHAP وتعطيل خيارات MSCHAP أيضا. من الأمثلة على خوادم RADIUS التي لا تدعم MSCHAP خادم LiveSton v1.61 RADIUS أو أي خادم RADIUS يقوم على رمز Livingston.

ملاحظة: بدون MSCHAP، لن يتم تشفير الحزم من وإلى عملاء PPTP.

إستخدام التشفير مع PPTP

لاستخدام التشفير باستخدام PPTP، يجب أن يدعم خادم RADIUS مصادقة MSCHAP ويجب أن يرسل سمة الإرجاع MSCHAP-MPPE-Keys لكل مصادقة مستخدم. يتم أدناه عرض أمثلة على خوادم RADIUS التي تدعم هذه السمة.

• Cisco Secure ACS ل Windows - الإصدار 2.6 أو أحدث

• نصف القطر ذو الأنف الفولاذية لبرنامج Funk

• Microsoft Internet Authentication Server على حزمة خيارات خادم NT 4.0

• نظام الإنترنت التجاري ل Microsoft (MCIS 2.0)

• خادم Microsoft Windows 2000 — خادم مصادقة الإنترنت

معلومات ذات صلة

• صفحة دعم RADIUS
• مصدر المحتوى الإضافي الآمن من Cisco لصفحة دعم Windows
• صفحة دعم مركز Cisco VPN 3000 Series
• صفحة دعم عميل Cisco VPN 3000 Series
• صفحة دعم IPSec
• صفحة دعم PPTP
• المعيار RFC 2637: بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP)
• طلبات التعليقات (RFCs)
• الدعم الفني - Cisco Systems