Traitement d'attribut de groupe et d'utilisateur de client VPN Cisco sur le concentrateur VPN 3000

Options de téléchargement

  • PDF     (254.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (89.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (76.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:14 janvier 2008
ID du document:14115

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment les clients VPN Cisco sont authentifiés sur le concentrateur VPN et comment le concentrateur VPN Cisco 3000 utilise les attributs User et Group.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur le concentrateur Cisco VPN 3000.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Le client VPN se connecte à un concentrateur VPN 3000

Lorsqu'un client VPN se connecte à un concentrateur VPN 3000, jusqu'à quatre authentifications peuvent être effectuées.

  1. Le groupe est authentifié. (On parle souvent de « groupe de tunnels ».)

  2. L'utilisateur est authentifié.

  3. (Facultatif) Si l'utilisateur fait partie d'un autre groupe, ce groupe est authentifié ensuite. Si l'utilisateur n'appartient pas à un autre groupe ou au groupe de tunnels, l'utilisateur utilise par défaut le groupe de base et cette étape ne se produit PAS.

  4. Le « groupe de tunnels » de l'étape 1 est authentifié à nouveau. (Ceci est fait dans le cas où la fonction "Group Lock" est utilisée. Cette fonctionnalité est disponible dans la version 2.1 ou ultérieure.)

Voici un exemple des événements que vous voyez dans le journal des événements pour un client VPN authentifié via la base de données interne ( « testuser » fait partie du groupe « Engineering »). 

1 12/09/1999 11:03:46.470 SEV=6 AUTH/4 RPT=6491 80.50.0.4
Authentication successful: handle = 642, server = Internal, user = Tunnel_Group
2 12/09/1999 11:03:52.100 SEV=6 AUTH/4 RPT=6492 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = testuser
3 12/09/1999 11:03:52.200 SEV=6 AUTH/4 RPT=6493 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Engineering
4 12/09/1999 11:03:52.310 SEV=6 AUTH/4 RPT=6494 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Tunnel_Group

Remarque : pour afficher ces événements, vous devez configurer la classe d'événements Auth avec un niveau de gravité compris entre 1 et 6 dans Configuration > System > Events > Classes.

Fonction de verrouillage de groupe - Si la fonction de verrouillage de groupe est activée sur Groupe - Groupe_Tunnel, l'utilisateur doit faire partie de Groupe_Tunnel pour se connecter. Dans l'exemple précédent, vous voyez tous les mêmes événements, mais "testuser" ne se connecte pas parce qu'ils font partie du groupe - Ingénierie et non du groupe - Groupe_Tunnel. Vous voyez également cet événement : 

5 12/09/1999 11:35:08.760 SEV=4 IKE/60 RPT=1 80.50.0.4
User [ testuser ]
User (testuser) not member of group (Tunnel_Group), authentication failed.

Pour plus d'informations sur la fonctionnalité Group Lock et un exemple de configuration, référez-vous à Verrouillage des utilisateurs dans un groupe concentrateur VPN 3000 à l'aide d'un serveur RADIUS.

Authentification externe des groupes et des utilisateurs via RADIUS

Le concentrateur VPN 3000 peut également être configuré pour authentifier les utilisateurs et les groupes en externe via un serveur RADIUS. Cela nécessite toujours que les noms des groupes soient configurés sur le concentrateur VPN, mais le type de groupe est configuré comme « Externe ».

  • Les groupes externes peuvent renvoyer des attributs Cisco/Altiga si le serveur RADIUS prend en charge les attributs spécifiques au fournisseur (VSA).

  • Tous les attributs Cisco/Altiga NON renvoyés par RADIUS aux valeurs du groupe de base par défaut.

  • Si le serveur RADIUS NE prend PAS en charge les VSA, tous les attributs sont définis par défaut sur les attributs du groupe de base.

Remarque : un serveur RADIUS traite les noms de groupe de la même manière que les noms d'utilisateur. Un groupe sur un serveur RADIUS est configuré comme un utilisateur standard.

Ces étapes décrivent ce qui se passe lorsqu'un client IPSec se connecte au concentrateur VPN 3000 si les utilisateurs et les groupes sont authentifiés en externe. Comme pour le cas interne, jusqu'à quatre authentifications peuvent être effectuées.

  1. Le groupe est authentifié via RADIUS. Le serveur RADIUS peut renvoyer de nombreux attributs pour le groupe ou aucun attribut du tout. Au minimum, le serveur RADIUS doit renvoyer l'attribut Cisco/Altiga « Authentification IPSec = RADIUS » pour indiquer au concentrateur VPN comment authentifier l'utilisateur. Sinon, la méthode d'authentification IPSec du groupe de base doit être définie sur « RADIUS ».

  2. L'utilisateur est authentifié via RADIUS. Le serveur RADIUS peut renvoyer de nombreux attributs pour l'utilisateur ou aucun attribut. Si le serveur RADIUS renvoie l'attribut CLASS (attribut RADIUS standard #25), le concentrateur VPN 3000 utilise cet attribut comme nom de groupe et passe à l'étape 3, ou bien il passe à l'étape 4.

  3. Le groupe de l'utilisateur est ensuite authentifié via RADIUS. Le serveur RADIUS peut renvoyer de nombreux attributs pour le groupe ou aucun attribut du tout.

  4. Le « groupe de tunnels » de l'étape 1 est authentifié à nouveau via RADIUS. Le sous-système d'authentification doit authentifier à nouveau le groupe de tunnels car il n'a pas stocké les attributs (s'il y en a) de l'authentification à l'étape 1. Ceci est fait dans le cas où la fonction "Group Lock" est utilisée.

Utilisation des attributs utilisateur et groupe par le concentrateur VPN 3000

Une fois que le concentrateur VPN 3000 a authentifié l'utilisateur et le ou les groupes, il doit organiser les attributs qu'il a reçus. Le concentrateur VPN utilise les attributs dans cet ordre de préférence. Peu importe si l'authentification a été effectuée en interne ou en externe :

  1. Attributs utilisateur : ils sont prioritaires sur tous les autres.

  2. Attributs de groupe : tous les attributs manquants dans les attributs d'utilisateur sont remplis par les attributs de groupe. Toutes les valeurs identiques sont remplacées par les attributs utilisateur.

  3. Attributs de groupe de tunnels : tous les attributs manquants dans les attributs Utilisateur ou Groupe sont remplis par les attributs Groupe de tunnels. Toutes les valeurs identiques sont remplacées par les attributs utilisateur.

  4. Attributs du groupe de base : tous les attributs manquants dans les attributs Utilisateur, Groupe ou Groupe de tunnels sont remplis par les attributs du groupe de base.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
11-Dec-2001
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco