يتضمن هذا المستند إرشادات خطوة بخطوة حول كيفية تكوين مركزات Cisco VPN 3000 Series لدعم ميزة انتهاء صلاحية كلمة مرور NT باستخدام خادم RADIUS.
ارجع إلى VPN 3000 RADIUS مع ميزة انتهاء الصلاحية باستخدام خادم مصادقة الإنترنت من Microsoft لمعرفة المزيد حول نفس السيناريو مع خادم مصادقة الإنترنت (IAS).
إذا كان خادم RADIUS وخادم مصادقة مجال NT على جهازين منفصلين، فتأكد من إنشاء اتصال IP بين الجهازين.
تأكد من تحديد اتصال IP من مركز التركيز إلى خادم RADIUS. إذا كان خادم RADIUS باتجاه الواجهة العامة، فلا تنس فتح منفذ RADIUS على المرشح العام.
ضمنت أن أنت يستطيع ربطت إلى مركز من ال VPN زبون يستعمل ال داخلي مستعمل قاعدة معطيات. إذا لم يتم تكوين هذا الأمر، فيرجى الرجوع إلى تكوين IPSec - عميل Cisco 3000 VPN إلى مركز VPN 3000.
ملاحظة: لا يمكن إستخدام ميزة انتهاء صلاحية كلمة المرور مع عملاء Web VPN أو SSL VPN.
تم تطوير هذه التهيئة واختبارها باستخدام إصدارات البرامج والمكونات المادية الواردة أدناه.
برنامج VPN 3000 Concentrator، الإصدار 4.7
عميل شبكة VPN، الإصدار 3.5
Cisco Secure for NT (CSNT) الإصدار 3.0 Microsoft Windows 2000 Active Directory Server لمصادقة المستخدم
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يستخدم هذا المستند إعداد الشبكة التالي:
ملاحظات المخطط
يكون خادم RADIUS الموجود في هذا التكوين على الواجهة العامة. إذا كان هذا هو الحال مع الإعداد المحدد، يرجى إنشاء قاعدتين في مرشح عام للسماح لحركة مرور RADIUS بإدخال وترك المركز.
يوضح هذا التكوين خدمات مصادقة مجال CSNT و NT التي تعمل على نفس الجهاز. يمكن تشغيل هذه العناصر على جهازين منفصلين إذا تطلب التكوين الخاص بك ذلك.
لتكوين المجموعة لقبول معلمات انتهاء صلاحية كلمة مرور NT من خادم RADIUS، انتقل إلى التكوين>إدارة المستخدم>المجموعات، وحدد مجموعتك من القائمة، وانقر فوق تعديل المجموعة. يوضح المثال التالي كيفية تعديل مجموعة تسمى "ipsecgroup".
انتقل إلى علامة التبويب IPSec، وتأكد من تحديد RADIUS مع انتهاء الصلاحية للسمة المصادقة.
إذا كنت تريد تمكين هذه الميزة على أجهزة VPN 3002 العميلة، فانتقل إلى علامة التبويب عميل HW، وتأكد من تمكين متطلبات مصادقة عميل الجهاز التفاعلية، ثم انقر فوق تطبيق.
لتكوين إعدادات خادم RADIUS على مركز التركيز، انتقل إلى التكوين > النظام > الخوادم > المصادقة>إضافة.
على الشاشة إضافة، اكتب القيم التي ترادف خادم RADIUS وانقر إضافة.
يستخدم المثال التالي القيم التالية.
Server Type: RADIUS
Authentication Server: 172.18.124.96
Server Port = 0 (for default of 1645)
Timeout = 4
Reties = 2
Server Secret = cisco123
Verify: cisco123
قم بتسجيل الدخول إلى CSNT وانقر فوق تكوين الشبكة في اللوحة اليسرى. تحت "عملاء AAA،" انقر فوق إضافة إدخال.
في شاشة "إضافة عميل AAA"، اكتب القيم المناسبة لإضافة مركز كعميل RADIUS، ثم انقر فوق إرسال + إعادة تشغيل.
يستخدم المثال التالي القيم التالية.
AAA Client Hostname = 133_3000_conc
AAA Client IP Address = 172.18.124.133
Key = cisco123
Authenticate using = RADIUS (Cisco VPN 3000)
سوف يظهر مدخل لمركز تركيزك 3000 ضمن قسم عملاء AAA".
لتكوين مصادقة المستخدم على خادم RADIUS كجزء من نهج المستخدم غير المعروف، انقر فوق قاعدة بيانات المستخدم الخارجي في اللوحة اليسرى، ثم انقر فوق الارتباط لتكوين قاعدة البيانات.
تحت "تكوين قاعدة بيانات المستخدم الخارجي"، انقر فوق Windows NT/2000.
في الشاشة "إنشاء تكوين قاعدة البيانات"، انقر فوق إنشاء تكوين جديد.
عندما يطلب منك، اكتب اسم لمصادقة NT/2000 وانقر إرسال. يوضح المثال التالي اسم "انتهاء صلاحية كلمة مرور RADIUS/NT".
انقر على تكوين لتكوين اسم المجال لمصادقة المستخدم.
حدد مجال NT الخاص بك من "المجالات المتاحة"، ثم انقر فوق زر السهم الأيمن لإضافته إلى "قائمة المجالات". تحت "إعدادات MS-CHAP،" تأكد من تحديد خيارات السماح بتغييرات كلمة المرور باستخدام MS-CHAP الإصدار 1 والإصدار 2. انقر فوق إرسال عند الانتهاء.
انقر فوق قاعدة بيانات المستخدم الخارجي في اللوحة اليسرى، ثم انقر فوق الارتباط الخاص بتعيينات مجموعة قواعد البيانات (كما يظهر في هذا المثال). يجب أن ترى إدخالا لقاعدة البيانات الخارجية التي تم تكوينها مسبقا. يوضح المثال التالي إدخال "انتهاء صلاحية كلمة مرور RADIUS/NT"، قاعدة البيانات التي قمنا بتكوينها للتو.
في الشاشة "تكوينات المجال"، انقر فوق تكوين جديد لإضافة تكوينات المجال.
حدد مجالك من قائمة "المجالات التي تم الكشف عنها" وانقر فوق إرسال. المثال التالي يوضح مجال يسمى "JAZIB-ADS."
انقر فوق اسم المجال لتكوين تعيينات المجموعة. هذا المثال يوضح المجال "JAZIB-ADS."
انقر فوق إضافة تخطيط لتحديد تعيينات المجموعة.
في الشاشة "إنشاء تعيين مجموعة جديد"، قم بتعيين المجموعة الموجودة في مجال NT إلى مجموعة على خادم CSNT RADIUS، ثم انقر فوق إرسال. يوضح المثال التالي مجموعة NT "Users" إلى مجموعة RADIUS "Group 1."
انقر فوق قاعدة بيانات المستخدم الخارجي في اللوحة اليسرى، ثم انقر فوق الارتباط الخاص ب نهج المستخدم غير المعروف (كما يظهر في هذا المثال). تأكد من تحديد خيار التحقق من قواعد بيانات المستخدم الخارجية التالية. انقر فوق الزر الأيمن لنقل قاعدة البيانات الخارجية التي تم تكوينها مسبقا من قائمة "قواعد البيانات الخارجية" إلى قائمة "قواعد البيانات المحددة"."
ويوفر مركز التركيز وظيفة لاختبار مصادقة RADIUS. لاختبار هذه الميزة بشكل صحيح، تأكد من أنك تتبع هذه الخطوات بعناية.
انتقل إلى التكوين>النظام>الخوادم>المصادقة. حدد خادم RADIUS وانقر فوق إختبار.
عندما يطلب منك، اكتب اسم مستخدم وكلمة مرور مجال NT، ثم انقر على موافق. يوضح المثال التالي اسم المستخدم "jfrahim" الذي تم تكوينه على خادم مجال NT مع "Cisco123" ككلمة المرور.
في حالة إعداد المصادقة بشكل صحيح، يجب أن تحصل على رسالة تذكر "نجاح المصادقة."
إذا ظهرت لديك أي رسالة أخرى غير الرسالة الموضحة أعلاه، فهذا يعني وجود مشكلة في التكوين أو الاتصال. يرجى تكرار خطوات التكوين والاختبار الموضحة في هذا المستند لضمان إجراء جميع الإعدادات بشكل صحيح. تحقق أيضا من اتصال IP بين أجهزتك.
إذا تم تعريف المستخدم بالفعل على خادم المجال، فقم بتعديل الخصائص بحيث تتم مطالبة المستخدم بتغيير كلمة المرور عند تسجيل الدخول التالي. انتقل إلى علامة التبويب "حساب" في مربع الحوار "خصائص" المستخدم، وحدد الخيار الذي يجب أن يقوم المستخدم بتغيير كلمة المرور عند تسجيل الدخول التالي، ثم انقر فوق موافق.
قم بتشغيل عميل الشبكة الخاصة الظاهرية (VPN)، ثم حاول إنشاء النفق إلى مركز التركيز.
أثناء مصادقة المستخدم، يجب مطالبتك بتغيير كلمة المرور.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
19-Jan-2006 |
الإصدار الأولي |