Configuración del Concentrador VPN 3000 de Cisco con Microsoft RADIUS

Opciones de descarga

  • PDF     (494.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (382.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Actualizado:24 de marzo de 2008
ID del documento:20585

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

El Servidor de autenticación de Internet (IAS) de Microsoft y Microsoft Commercial Internet System (MCI 2.0) están disponibles actualmente. El servidor RADIUS de Microsoft es conveniente porque utiliza Active Directory en el controlador de dominio principal para su base de datos de usuarios. Ya no necesita mantener una base de datos aparte. También soporta encripción de 40 y de 128 bits para las conexiones VPN del Point-to-Point Tunneling Protocol (PPTP). Consulte la documentación Lista de comprobación de Microsoft: Configuración de IAS para acceso telefónico y acceso leavingcisco.com VPN para obtener más información.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Instalación y configuración del servidor RADIUS en Windows 2000 y Windows 2003

Instalación del servidor RADIUS

Si no tiene instalado el servidor RADIUS (IAS), siga estos pasos para realizar la instalación. Si ya tiene instalado el servidor RADIUS, continúe con los pasos de configuración.

  1. Inserte el disco compacto de Windows Server e inicie el programa de instalación.

  2. Haga clic en Instalar componentes de complementos y, a continuación, haga clic en Agregar o quitar componentes de Windows.

  3. En Componentes, haga clic en Servicios de red (pero no active ni desactive la casilla de verificación) y, a continuación, haga clic en Detalles.

  4. Marque Internet Authentication Service y haga clic en OK.

  5. Haga clic en Next (Siguiente).

Configurar Microsoft Windows 2000 Server con IAS

Complete estos pasos para configurar el servidor RADIUS (IAS) e iniciar el servicio para que esté disponible para autenticar a los usuarios en el concentrador VPN.

  1. Elija Inicio > Programas > Herramientas administrativas > Servicio de autenticación de Internet.

  2. Haga clic con el botón derecho del mouse en Internet Authentication Service, y haga clic en Properties en el submenú que aparece.

  3. Vaya a la ficha RADIUS para examinar la configuración de los puertos.

    Si los puertos de protocolo de datagramas de usuario (UDP) de autenticación RADIUS y de cuentas RADIUS difieren de los valores predeterminados proporcionados (1812 y 1645 para autenticación, 1813 y 1646 para cuentas) en Autenticación y cuentas, escriba la configuración del puerto. Haga clic en Aceptar cuando haya terminado.

    Nota: No cambie los puertos predeterminados. Separe los puertos mediante comas para utilizar varias configuraciones de puertos para las solicitudes de autenticación o cuentas.

  4. Haga clic con el botón derecho del mouse en Clients y elija New Client para agregar el VPN Concentrator como cliente de autenticación, autorización y contabilización (AAA) al servidor RADIUS (IAS).

    Nota: Si se configura la redundancia entre dos Cisco VPN 3000 Concentrator, el Cisco VPN 3000 Concentrator de respaldo también se debe agregar al servidor RADIUS como cliente RADIUS.

  5. Ingrese un nombre descriptivo y seleccione como Protocol Radius.

  6. Defina el concentrador VPN con una dirección IP o un nombre DNS en la siguiente ventana.

  7. Elija Cisco en la barra de desplazamiento Cliente-Proveedor.

  8. Introduzca un secreto compartido.

    Nota: Debe recordar el secreto exacto que utiliza. Necesita esta información para configurar el concentrador VPN.

  9. Haga clic en Finish (Finalizar).

  10. Haga doble clic en Directivas de acceso remoto y haga doble clic en la directiva que aparece en el lado derecho de la ventana.

    Nota: Después de instalar IAS, ya debería existir una directiva de acceso remoto.

    En Windows 2000, la autorización se concede en función de las propiedades de acceso telefónico de una cuenta de usuario y las directivas de acceso remoto. Las directivas de acceso remoto son un conjunto de condiciones y configuraciones de conexión que ofrecen a los administradores de red más flexibilidad para autorizar los intentos de conexión. Tanto el Servicio de enrutamiento y acceso remoto de Windows 2000 como el IAS de Windows 2000 utilizan directivas de acceso remoto para determinar si se aceptan o rechazan los intentos de conexión. En ambos casos, las directivas de acceso remoto se almacenan localmente. Consulte la documentación de Windows 2000 IAS para obtener más información sobre cómo se procesan los intentos de conexión.

    cisco_vpn_msradius.gif

  11. Elija Grant remote access permission y haga clic en Edit Profile para configurar las propiedades de marcado de entrada.

  12. Seleccione el protocolo que se utilizará para la autenticación en la ficha Autenticación. Marque Microsoft Encrypted Authentication version 2 y desmarque todos los demás protocolos de autenticación.

    Nota: Los ajustes de este perfil de marcado deben coincidir con los ajustes de la configuración del concentrador VPN 3000 y del cliente de marcado. En este ejemplo, se utiliza la autenticación MS-CHAPv2 sin cifrado PPTP.

  13. En la ficha Encryption (Encriptación), marque No Encryption solamente.

  14. Haga clic en Aceptar para cerrar el perfil de marcado, luego haga clic en Aceptar para cerrar la ventana de política de acceso remoto.

  15. Haga clic con el botón derecho en Internet Authentication Service y haga clic en Start Service en el árbol de la consola.

    Nota: También puede utilizar esta función para detener el servicio.

  16. Complete estos pasos para modificar los usuarios y permitir la conexión.

    1. Elija Console > Add/Remove Snap-in.

    2. Haga clic en Agregar y elija el complemento Usuarios y grupos locales.

    3. Haga clic en Add (Agregar).

    4. Asegúrese de seleccionar Equipo local

    5. Haga clic en Finish y OK.

  17. Expanda Usuario y grupos locales y haga clic en la carpeta Usuarios en el panel izquierdo. En el panel derecho, haga doble clic en el usuario (usuario VPN) al que desea permitir el acceso.

  18. Vaya a la ficha Marcado de entrada y seleccione Permitir acceso en Permiso de acceso remoto (Marcado de entrada o VPN).

    cvpn3k_pix_ias-k.gif

  19. Haga clic en Aplicar y Aceptar para completar la acción. Si lo desea, puede cerrar la ventana Administración de la consola y guardar la sesión.

    Los usuarios que ha modificado ahora pueden acceder al concentrador VPN con el cliente VPN. Tenga en cuenta que el servidor IAS sólo autentica la información de usuario. El concentrador VPN aún realiza la autenticación de grupo.

Configurar Microsoft Windows 2003 Server con IAS

Complete estos pasos para configurar el servidor de Microsoft Windows 2003 con IAS.

Nota: En estos pasos se supone que IAS ya está instalado en el equipo local. De lo contrario, agregue el IAS a través del Control Panel > Add/Remove Programs.

  1. Elija Administrative Tools > Internet Authentication Service y haga clic con el botón derecho en RADIUS Client para agregar un nuevo cliente RADIUS. Luego de escribir la información del cliente, haga clic en OK.

  2. Introduzca un nombre descriptivo.

  3. Defina el concentrador VPN con una dirección IP o un nombre DNS en la siguiente ventana.

  4. Elija Cisco en la barra de desplazamiento Cliente-Proveedor.

  5. Introduzca un secreto compartido.

    Nota: Debe recordar el secreto exacto que utiliza. Necesita esta información para configurar el concentrador VPN.

  6. Haga clic en Aceptar para finalizar.

  7. Vaya a Directivas de acceso remoto, haga clic con el botón derecho en Conexiones a otros servidores de acceso y elija Propiedades.

  8. Elija Grant remote access permission y haga clic en Edit Profile para configurar las propiedades de acceso telefónico.

  9. Seleccione el protocolo que se utilizará para la autenticación en la ficha Autenticación. Marque Microsoft Encrypted Authentication version 2 y desmarque todos los demás protocolos de autenticación.

    Nota: Los ajustes de este perfil de marcado deben coincidir con los ajustes de la configuración del concentrador VPN 3000 y del cliente de marcado. En este ejemplo, se utiliza la autenticación MS-CHAPv2 sin cifrado PPTP.

  10. En la ficha Encryption (Encriptación), marque No Encryption solamente.

  11. Haga clic en Aceptar cuando haya terminado.

    cvpn3k_pix_ias-m.jpg

  12. Haga clic con el botón derecho en Internet Authentication Service y haga clic en Start Service en el árbol de la consola.

    Nota: También puede utilizar esta función para detener el servicio.

  13. Elija Administrative Tools > Computer Management > System Tools > Local Users and Groups, haga clic con el botón derecho en Users y elija New Users para agregar un usuario a la cuenta de computadora local.

  14. Agregue un usuario con la contraseña de Cisco "vpnpassword" y verifique esta información de perfil.

    • En la pestaña General, asegúrese de que esté seleccionada la opción Password Never Expired en vez de la opción User Must Change Password.

    • En la ficha Marcado de entrada, elija la opción Permitir acceso (o deje la configuración predeterminada de Controlar acceso a través de la directiva de acceso remoto).

    Haga clic en Aceptar cuando haya terminado.

    cvpn3k_pix_ias-n.jpg

Configuración del Concentrador VPN 3000 de Cisco para la Autenticación RADIUS

Complete estos pasos para configurar el Cisco VPN 3000 Concentrator para la autenticación RADIUS.

  1. Conéctese al concentrador VPN con su explorador Web y elija Configuration > System > Servers > Authentication en el menú de la trama izquierda.

    cisco_vpn_msradius_1.gif

  2. Haga clic en Agregar y configure estos parámetros.

    • Tipo de servidor = RADIUS

    • Servidor de autenticación = dirección IP o nombre de host del servidor RADIUS (IAS)

    • Puerto del servidor = 0 (0=default=1645)

    • Secreto de servidor = igual que en el paso 8 de la sección Configuración del servidor RADIUS

    cisco_vpn_msradius_2.gif

  3. Haga clic en Agregar para agregar los cambios a la configuración en ejecución.

  4. Haga clic en Add, elija Internal Server para Server Type y haga clic en Apply.

    Necesita esto más adelante para configurar un grupo IPSec (sólo necesita Server Type = Internal Server).

    cisco_vpn_msradius_3.gif

  5. Configure el concentrador VPN para los usuarios de PPTP o para los usuarios de VPN Client.

      PPTP (Protocolo de arquitectura de túneles punto a punto)

      Complete estos pasos para configurar para los usuarios PPTP.

    1. Elija Configuration > User Management > Base Group, y haga clic en la pestaña PPTP/L2TP.

    2. Elija MSCHAPv2 y desmarque otros protocolos de autenticación en la sección Protocolos de autenticación PPTP.

      cisco_vpn_msradius_4.gif

    3. Haga clic en Aplicar en la parte inferior de la página para agregar los cambios a la configuración en ejecución.

      Ahora, cuando los usuarios de PPTP se conectan, el servidor RADIUS (IAS) los autentica.

      Cliente VPN

      Complete estos pasos para configurar para los usuarios de VPN Client.

    1. Elija Configuration > User Management > Groups y haga clic en Agregar para agregar un nuevo grupo.cisco_vpn_msradius_5.gif

    2. Escriba un nombre de grupo (por ejemplo, UsuariosIPSec) y una contraseña.

      cisco_vpn_msradius_6.gif

      Esta contraseña se utiliza como clave previamente compartida para la negociación de túnel.

    3. Vaya a la ficha IPSec y establezca Authentication en RADIUS.

      cisco_vpn_msradius_7.gif

      Esto permite que los clientes IPsec se autentiquen a través del servidor de autenticación RADIUS.

    4. Haga clic en Agregar en la parte inferior de la página para agregar los cambios a la configuración en ejecución.

      Ahora, cuando los clientes IPSec se conectan y utilizan el grupo configurado, el servidor RADIUS los autentica.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshoot

Falla la autenticación WebVPN

Estas secciones proporcionan información que puede utilizar para solucionar problemas de configuración.

  • Problema: Los usuarios de WebVPN no pueden autenticarse en el servidor RADIUS pero pueden autenticarse satisfactoriamente con la base de datos local del concentrador VPN. Reciben errores como "Login failed" y este mensaje.

    cisco_vpn_msradius_8.gif

    Causa: este tipo de problemas suelen ocurrir cuando se utiliza cualquier base de datos distinta de la base de datos interna del Concentrador. Los usuarios de WebVPN llegan al Grupo base cuando se conectan por primera vez al Concentrador y deben utilizar el método de autenticación predeterminado. A menudo, este método se configura en la base de datos interna del Concentrador y no es un RADIUS configurado u otro servidor.

    Solución: Cuando un usuario de WebVPN se autentica, el Concentrador verifica la lista de servidores definidos en Configuration > System > Servers > Authentication y utiliza el superior. Asegúrese de mover el servidor con el que desea que se autentiquen los usuarios de WebVPN al principio de esta lista. Por ejemplo, si RADIUS debe ser el método de autenticación, debe mover el servidor RADIUS al principio de la lista para enviarle la autenticación.

    Nota: El hecho de que los usuarios de WebVPN inicialmente lleguen al grupo base no significa que estén confinados al grupo base. Los grupos WebVPN adicionales se pueden configurar en el Concentrador, y los usuarios pueden ser asignados a ellos por el servidor RADIUS con la población del atributo 25 con OU=groupname . Consulte Bloqueo de Usuarios en un Grupo de Concentradores VPN 3000 Usando un Servidor RADIUS para una explicación más detallada.

La autenticación de usuario falla en Active Directory

En el servidor de Active Directory, en la ficha Cuenta de Propiedades de usuario del usuario que falla, puede ver esta casilla de verificación:

[x] No requieren autenticación previa

Si esta casilla de verificación no está marcada, actívela e intente autenticarse de nuevo con este usuario.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
25-Feb-2002
Versión inicial

Contribución realizada por

  • pqiu
    ddunlap

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos