Verarbeitung von Benutzer- und Gruppenattributen von Cisco VPN-Clients auf dem VPN 3000 Concentrator

Download-Optionen

  • PDF     (256.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (90.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (77.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Januar 2008
Dokument-ID:14115

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie Cisco VPN-Clients im VPN Concentrator authentifiziert werden und wie Cisco VPN 3000 Concentrator Benutzer- und Gruppenattribute verwendet.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf dem Cisco VPN 3000 Concentrator.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

VPN-Client stellt Verbindung zu einem VPN 3000 Concentrator her

Wenn ein VPN-Client eine Verbindung zu einem VPN 3000 Concentrator herstellt, können bis zu vier Authentifizierungen erfolgen.

  1. Die Gruppe wird authentifiziert. (Dies wird oft als "Tunnelgruppe" bezeichnet.)

  2. Der Benutzer wird authentifiziert.

  3. (Optional) Wenn der Benutzer zu einer anderen Gruppe gehört, wird diese Gruppe als Nächstes authentifiziert. Wenn der Benutzer keiner anderen Gruppe oder Tunnelgruppe angehört, wird standardmäßig die Basisgruppe verwendet, und dieser Schritt findet NICHT statt.

  4. Die "Tunnelgruppe" aus Schritt 1 wird erneut authentifiziert. (Dies geschieht, wenn die "Group Lock"-Funktion verwendet wird. Diese Funktion ist ab Version 2.1 verfügbar.)

Dies ist ein Beispiel für die Ereignisse, die Sie im Ereignisprotokoll für einen VPN-Client sehen, der über die interne Datenbank authentifiziert wird ( "testuser" ist Teil der Gruppe "Engineering"). 

1 12/09/1999 11:03:46.470 SEV=6 AUTH/4 RPT=6491 80.50.0.4
Authentication successful: handle = 642, server = Internal, user = Tunnel_Group
2 12/09/1999 11:03:52.100 SEV=6 AUTH/4 RPT=6492 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = testuser
3 12/09/1999 11:03:52.200 SEV=6 AUTH/4 RPT=6493 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Engineering
4 12/09/1999 11:03:52.310 SEV=6 AUTH/4 RPT=6494 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Tunnel_Group

Hinweis: Um diese Ereignisse anzuzeigen, müssen Sie die Klasse für Authentifizierungsereignisse in Configuration > System > Events > Classes (Konfiguration > System > Ereignisse > Klassen) mit dem Schweregrad 1-6 konfigurieren.

Gruppensperrenfunktion - Wenn die Gruppensperrenfunktion in Gruppe - Tunnel_Group aktiviert ist, muss der Benutzer Teil von Tunnel_Group sein, um eine Verbindung herstellen zu können. Im vorherigen Beispiel werden alle Ereignisse angezeigt, aber "testuser" stellt keine Verbindung her, da sie Teil der Gruppe - Engineering und nicht Teil der Gruppe - Tunnel_Group sind. Sie sehen auch diese Veranstaltung: 

5 12/09/1999 11:35:08.760 SEV=4 IKE/60 RPT=1 80.50.0.4
User [ testuser ]
User (testuser) not member of group (Tunnel_Group), authentication failed.

Weitere Informationen zur Gruppensperrenfunktion und eine Beispielkonfiguration finden Sie unter Sperren von Benutzern in einer VPN 3000 Concentrator-Gruppe mit einem RADIUS-Server.

Externe Authentifizierung von Gruppen und Benutzern über RADIUS

Der VPN 3000 Concentrator kann auch so konfiguriert werden, dass Benutzer und Gruppen extern über einen RADIUS-Server authentifiziert werden. Hierfür müssen die Namen der Gruppen weiterhin auf dem VPN Concentrator konfiguriert werden, der Gruppentyp wird jedoch als "Extern" konfiguriert.

  • Externe Gruppen können Cisco/Altiga-Attribute zurückgeben, wenn der RADIUS-Server anbieterspezifische Attribute (VSAs) unterstützt.

  • Alle Cisco/Altiga-Attribute, die NICHT über RADIUS zurückgegeben werden, gelten standardmäßig für die Werte in der Basisgruppe.

  • Wenn der RADIUS-Server KEINE VSAs unterstützt, werden die Attribute "Base Group" (Basisgruppe) als Standardattribute verwendet.

Hinweis: Ein RADIUS-Server behandelt Gruppennamen genauso wie Benutzernamen. Eine Gruppe auf einem RADIUS-Server wird wie ein Standardbenutzer konfiguriert.

Diese Schritte beschreiben, was passiert, wenn ein IPSec-Client eine Verbindung mit dem VPN 3000 Concentrator herstellt, wenn sowohl Benutzer als auch Gruppen extern authentifiziert werden. Ähnlich wie im internen Fall können bis zu vier Authentifizierungen erfolgen.

  1. Die Gruppe wird über RADIUS authentifiziert. Der RADIUS-Server kann viele oder gar keine Attribute für die Gruppe zurückgeben. Der RADIUS-Server muss mindestens das Cisco/Altiga-Attribut "IPSec Authentication = RADIUS" zurückgeben, um dem VPN Concentrator mitzuteilen, wie der Benutzer authentifiziert werden soll. Andernfalls muss die IPSec-Authentifizierungsmethode der Basisgruppe auf "RADIUS" festgelegt werden.

  2. Der Benutzer wird über RADIUS authentifiziert. Der RADIUS-Server kann viele oder gar keine Attribute für den Benutzer zurückgeben. Wenn der RADIUS-Server das Attribut CLASS (RADIUS-Standardattribut #25) zurückgibt, verwendet der VPN 3000 Concentrator dieses Attribut als Gruppennamen und fährt mit Schritt 3 fort, oder er fährt mit Schritt 4 fort.

  3. Die Benutzergruppe wird als Nächstes über RADIUS authentifiziert. Der RADIUS-Server kann viele oder gar keine Attribute für die Gruppe zurückgeben.

  4. Die "Tunnelgruppe" aus Schritt 1 wird erneut über RADIUS authentifiziert. Das Authentifizierungs-Subsystem muss die Tunnelgruppe erneut authentifizieren, da die Attribute (falls vorhanden) aus der Authentifizierung in Schritt 1 nicht gespeichert wurden. Dies geschieht, wenn die "Group Lock"-Funktion verwendet wird.

Verwendung von Benutzer- und Gruppenattributen durch den VPN 3000 Concentrator

Nachdem der VPN 3000 Concentrator die Benutzer und Gruppen authentifiziert hat, muss er die empfangenen Attribute organisieren. Der VPN-Konzentrator verwendet die Attribute in dieser Reihenfolge. Dabei spielt es keine Rolle, ob die Authentifizierung intern oder extern durchgeführt wurde:

  1. Benutzerattribute: Diese haben Vorrang vor allen anderen Attributen.

  2. Gruppenattribute - Alle Attribute, die in den Benutzerattributen fehlen, werden durch die Gruppenattribute ausgefüllt. Alle identischen Attribute werden durch die Benutzerattribute überschrieben.

  3. Tunnelgruppenattribute - Alle Attribute, die in den Attributen Benutzer oder Gruppe fehlen, werden durch die Tunnelgruppenattribute ausgefüllt. Alle identischen Attribute werden durch die Benutzerattribute überschrieben.

  4. Basisgruppenattribute - Alle Attribute, die in den Attributen Benutzer, Gruppe oder Tunnelgruppe fehlen, werden durch die Basisgruppenattribute ausgefüllt.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
11-Dec-2001
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren