Procesamiento de atributos de grupo y usuario de Cisco VPN Client en el concentrador VPN 3000

Opciones de descarga

  • PDF     (254.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (89.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (76.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de enero de 2008
ID del documento:14115

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo se autentican los Cisco VPN Clients en el VPN Concentrator y cómo el Cisco VPN 3000 Concentrator utiliza los atributos Usuario y Grupo.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en el Concentrador VPN 3000 de Cisco.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Cliente VPN se conecta a un concentrador VPN 3000

Cuando un cliente VPN se conecta a un concentrador VPN 3000, pueden realizarse hasta cuatro autenticaciones.

  1. El grupo está autenticado. (Esto se denomina a menudo "Grupo de Túnel").

  2. El usuario está autenticado.

  3. (Opcional) Si el usuario forma parte de otro grupo, este grupo se autenticará a continuación. Si el usuario no pertenece a otro grupo o grupo de túnel, el usuario toma de forma predeterminada el grupo base y NO se realiza este paso.

  4. El "Grupo de Túnel" del Paso 1 se autentica nuevamente. (Esto se hace en caso de que se utilice la función "Bloqueo de grupo". Esta función está disponible en la versión 2.1 o posterior.)

Este es un ejemplo de los eventos que ve en el Registro de Eventos para un Cliente VPN autenticado a través de la Base de Datos Interna ("testuser" es parte del Grupo "Engineering"). 

1 12/09/1999 11:03:46.470 SEV=6 AUTH/4 RPT=6491 80.50.0.4
Authentication successful: handle = 642, server = Internal, user = Tunnel_Group
2 12/09/1999 11:03:52.100 SEV=6 AUTH/4 RPT=6492 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = testuser
3 12/09/1999 11:03:52.200 SEV=6 AUTH/4 RPT=6493 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Engineering
4 12/09/1999 11:03:52.310 SEV=6 AUTH/4 RPT=6494 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Tunnel_Group

Nota: Para ver estos Eventos, debe configurar la Clase de Evento de Autenticación con gravedad 1-6 en Configuración > Sistema > Eventos > Clases.

Función de Bloqueo de Grupo: Si la función Bloqueo de Grupo está activada en Grupo - Grupo_de_Túnel, el Usuario debe formar parte de Grupo_de_Túnel para conectarse. En el ejemplo anterior, verá todos los mismos Eventos, pero "testuser" no se conecta porque forman parte del Grupo - Ingeniería y no del Grupo - Grupo_de_Túnel. También puede ver este evento: 

5 12/09/1999 11:35:08.760 SEV=4 IKE/60 RPT=1 80.50.0.4
User [ testuser ]
User (testuser) not member of group (Tunnel_Group), authentication failed.

Para obtener información adicional sobre la función Group Lock y un ejemplo de configuración, consulte Bloqueo de Usuarios en un Grupo de Concentradores VPN 3000 Usando un Servidor RADIUS.

Autenticación externa de grupos y usuarios a través de RADIUS

El concentrador VPN 3000 también se puede configurar para autenticar usuarios y grupos externamente a través de un servidor RADIUS. Esto todavía requiere que los nombres de los grupos se configuren en el concentrador VPN, pero el tipo de grupo se configura como "Externo".

  • Los grupos externos pueden devolver atributos de Cisco/Altiga si el servidor RADIUS admite atributos específicos del proveedor (VSA).

  • Cualquier atributo de Cisco/Altiga NO devuelto por RADIUS de forma predeterminada a los valores del grupo base.

  • Si el servidor RADIUS NO soporta VSAs, entonces TODOS los atributos toman por defecto los atributos del Grupo Base.

Nota: Un servidor RADIUS trata los nombres de grupo de la misma manera que los nombres de usuario. Un grupo en un servidor RADIUS se configura como un usuario estándar.

Estos pasos describen lo que sucede cuando un cliente IPSec se conecta al concentrador VPN 3000 si tanto los usuarios como los grupos se autentican externamente. Similar al caso interno, pueden realizarse hasta cuatro autenticaciones.

  1. El grupo se autentica mediante RADIUS. El servidor RADIUS puede devolver muchos atributos para el grupo o ninguno en absoluto. Como mínimo, el servidor RADIUS necesita devolver el atributo de Cisco/Altiga "Autenticación IPSec = RADIUS" para decirle al Concentrador VPN cómo autenticar al Usuario. Si no es así, el método de autenticación IPSec del grupo base debe configurarse en "RADIUS".

  2. El usuario se autentica mediante RADIUS. El servidor RADIUS puede devolver muchos atributos para el usuario o ninguno en absoluto. Si el servidor RADIUS devuelve el atributo CLASS (atributo estándar de RADIUS #25), el concentrador VPN 3000 utiliza ese atributo como nombre de grupo y se desplaza al paso 3, o bien se desplaza al paso 4.

  3. A continuación, el grupo del usuario se autentica a través de RADIUS. El servidor RADIUS puede devolver muchos atributos para el grupo o ninguno en absoluto.

  4. El "Grupo de Túnel" del Paso 1 se autentica nuevamente a través de RADIUS. El subsistema de autenticación debe autenticar de nuevo el grupo de túnel porque no ha almacenado los atributos (si los hay) de la autenticación en el paso 1. Esto se hace en caso de que se utilice la función "Bloqueo de grupo".

Cómo el concentrador VPN 3000 utiliza atributos de usuario y de grupo

Una vez que el concentrador VPN 3000 haya autenticado al usuario y al grupo, debe organizar los atributos que ha recibido. El concentrador VPN utiliza los atributos en este orden de preferencia. No importa si la autenticación se realizó interna o externamente:

  1. Atributos de usuario: estos tienen prioridad sobre todos los demás.

  2. Atributos de grupo: los atributos de grupo rellenan los atributos que faltan en los atributos de usuario. Los atributos de usuario sustituyen a los que son iguales.

  3. Atributos del Grupo de Túnel: Cualquier atributo que falte en los atributos Usuario o Grupo se rellena con los atributos del Grupo de Túnel. Los atributos de usuario sustituyen a los que son iguales.

  4. Atributos del Grupo Base: Cualquier atributo que falte en los atributos Usuario, Grupo o Grupo de Túnel se rellena con los atributos del Grupo Base.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
11-Dec-2001
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco