معالجة سمة المجموعة ومستخدم عميل شبكة VPN من Cisco على مركز VPN 3000

المقدمة

يوضح هذا المستند كيفية مصادقة عملاء Cisco VPN على مركز VPN وكيف يستخدم مركز Cisco VPN 3000 سمات المستخدم والمجموعة.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى مركز Cisco VPN 3000.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

يتصل عميل شبكة VPN بمركز VPN 3000

عند اتصال عميل شبكة VPN بمركز VPN 3000، يمكن إجراء ما يصل إلى أربع عمليات مصادقة.

1. تمت مصادقة المجموعة. (يسمى هذا غالبا "مجموعة النفق.")

2. تم مصادقة المستخدم.

3. (إختياري) إذا كان المستخدم جزءا من مجموعة أخرى، تتم مصادقة هذه المجموعة بعد ذلك. إذا لم يكن المستخدم ينتمي إلى مجموعة أخرى أو إلى مجموعة النفق، فعندئذ يقوم المستخدم بالإعداد الافتراضي إلى المجموعة الأساسية ولا تحدث هذه الخطوة.

4. تتم مصادقة "مجموعة النفق" من الخطوة 1 مرة أخرى. (يتم القيام بذلك في حالة إستخدام ميزة "قفل المجموعة". تتوفر هذه الميزة في الإصدار 2.1 أو إصدار أحدث.)

هذا مثال من الحدث أنت ترى في الحدث سجل ل VPN زبون يصدق من خلال القاعدة معطيات داخلي ("testuser" هو جزء من المجموعة "engineering").

1 12/09/1999 11:03:46.470 SEV=6 AUTH/4 RPT=6491 80.50.0.4
Authentication successful: handle = 642, server = Internal, user = Tunnel_Group
2 12/09/1999 11:03:52.100 SEV=6 AUTH/4 RPT=6492 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = testuser
3 12/09/1999 11:03:52.200 SEV=6 AUTH/4 RPT=6493 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Engineering
4 12/09/1999 11:03:52.310 SEV=6 AUTH/4 RPT=6494 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Tunnel_Group

ملاحظة: لمشاهدة هذه الأحداث، يجب تكوين فئة حدث المصادقة ذات الخطورة من 1 إلى 6 في التكوين > النظام>الأحداث>الفئات.

ميزة قفل المجموعة - إذا تم تمكين ميزة "قفل المجموعة" على المجموعة - Tunnel_Group، فيجب أن يكون المستخدم جزءا من Tunnel_Group للاتصال. في المثال السابق، سترى كافة الأحداث نفسها، ولكن لا يتم اتصال "testuser" لأنها جزء من المجموعة - الهندسية وليست جزءا من المجموعة - Tunnel_Group. يمكنك أيضا مشاهدة هذا الحدث:

5 12/09/1999 11:35:08.760 SEV=4 IKE/60 RPT=1 80.50.0.4
User [ testuser ]
User (testuser) not member of group (Tunnel_Group), authentication failed.

للحصول على معلومات إضافية حول ميزة قفل المجموعة وعينة التكوين، ارجع إلى قفل المستخدمين في مجموعة مركز VPN 3000 باستخدام خادم RADIUS.

مصادقة المجموعات والمستخدمين خارجيا من خلال RADIUS

كما يمكن تكوين مركز VPN 3000 لمصادقة المستخدمين والمجموعات خارجيا من خلال خادم RADIUS. ولا يزال هذا يتطلب تكوين أسماء المجموعات على مركز الشبكة الخاصة الظاهرية (VPN)، ولكن يتم تكوين نوع المجموعة على أنه "خارجي".

• يمكن للمجموعات الخارجية إرجاع سمات Cisco/Altiga إذا كان خادم RADIUS يدعم سمات محددة للمورد (VSAs).

• أي سمات Cisco/Altiga لا يتم إرجاعها بواسطة RADIUS افتراضيا إلى القيم الموجودة في المجموعة الأساسية.

• إذا لم يدعم خادم RADIUS VSAs، فإن كل السمات تصبح افتراضية إلى سمات المجموعة الأساسية.

ملاحظة: يتعامل خادم RADIUS مع أسماء المجموعات لا تختلف عن أسماء المستخدمين. يتم تكوين مجموعة على خادم RADIUS تماما مثل المستخدم القياسي.

وتبين هذه الخطوات ما يحدث عندما يتصل عميل IPSec بمركز VPN 3000 إذا تم مصادقة كل من المستخدمين والمجموعات خارجيا. وكما هو الحال في الحالة الداخلية، يمكن إجراء ما يصل إلى أربع مصادقة.

1. تتم مصادقة المجموعة عبر RADIUS. يمكن أن يرجع خادم RADIUS العديد من السمات للمجموعة أو لا شيء على الإطلاق. وعلى أقل تقدير، يحتاج خادم RADIUS إلى إرجاع سمة Cisco/Altiga "مصادقة IPSec = RADIUS" لإخبار مركز VPN كيفية مصادقة المستخدم. وإذا لم تكن هناك مساحة، فيجب تعيين طريقة مصادقة IPSec للمجموعة الأساسية على "RADIUS".

2. تتم مصادقة المستخدم عبر RADIUS. يمكن لخادم RADIUS إرجاع العديد من السمات للمستخدم أو لا شيء على الإطلاق. إذا قام خادم RADIUS بإرجاع فئة السمة (سمة RADIUS القياسية #25)، فإن مركز VPN 3000 يستخدم تلك السمة كاسم مجموعة وينقل إلى الخطوة 3، أو ينتقل إلى الخطوة 4.

3. تتم مصادقة مجموعة المستخدم التالية عبر RADIUS. يمكن أن يرجع خادم RADIUS العديد من السمات للمجموعة أو لا شيء على الإطلاق.

4. تتم مصادقة "مجموعة النفق" من الخطوة 1 مرة أخرى عبر RADIUS. يجب أن يقوم نظام المصادقة الفرعي بمصادقة مجموعة النفق مرة أخرى لأنه لم يقم بتخزين السمات (إن وجدت) من المصادقة في الخطوة 1. ويتم القيام بذلك في حالة إستخدام الميزة "قفل المجموعة".

كيفية إستخدام مركز VPN 3000 لسمات المستخدم والمجموعة

بعد مصادقة مركز VPN 3000 على المستخدم والمجموعة (المجموعات)، يجب عليه تنظيم السمات التي تلقيتها. يستخدم مركز الشبكة الخاصة الظاهرية (VPN) الخصائص في هذا الترتيب للتفضيل. لا يهم إذا ما تم إجراء المصادقة داخليا أو خارجيا:

1. سمات المستخدم—هذه لها الأسبقية على كل الخصائص الأخرى.

2. خصائص المجموعة- أي سمات مفقودة من سمات المستخدم يتم تعبئتها بسمات المجموعة. أي شيء من نفس الشيء يتم إستبداله بسمات المستخدم.

3. سمات مجموعة النفق- أي سمات مفقودة من خصائص المستخدم أو المجموعة يتم تعبئتها بسمات مجموعة النفق. أي شيء من نفس الشيء يتم إستبداله بسمات المستخدم.

4. خصائص المجموعة الأساسية- أي سمات مفقودة من المستخدم، المجموعة، أو مجموعة النفق يتم تعبئتها بسمات المجموعة الأساسية.

معلومات ذات صلة

• صفحة دعم مركز Cisco VPN 3000 Series
• صفحة دعم عميل شبكة VPN من Cisco
• صفحة دعم IPSec
• صفحة دعم RADIUS
• طلبات التعليقات (RFCs)
• الدعم الفني - Cisco Systems