Configuration du concentrateur Cisco VPN 3000 avec Microsoft RADIUS

Options de téléchargement

  • PDF     (494.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (382.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mis à jour:24 mars 2008
ID du document:20585

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Microsoft Internet Authentication Server (IAS) et Microsoft Commercial Internet System (MCIS 2.0) sont actuellement disponibles. Le serveur Microsoft RADIUS est pratique car il utilise Active Directory sur le contrôleur de domaine principal pour sa base de données utilisateur. Vous n'avez plus besoin de gérer une base de données distincte. Il prend également en charge le cryptage 40 bits et 128 bits pour les connexions VPN PPTP (Point-to-Point Tunneling Protocol). Pour plus d'informations, consultez la documentation Microsoft Checklist : Configuring IAS for dial-up and VPN accessleavingcisco.com.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Installation et configuration du serveur RADIUS sous Windows 2000 et Windows 2003

Installation du serveur RADIUS

Si le serveur RADIUS (IAS) n'est pas déjà installé, procédez comme suit pour procéder à l'installation. Si le serveur RADIUS est déjà installé, passez aux étapes de configuration.

  1. Insérez le disque compact Windows Server et démarrez le programme d'installation.

  2. Cliquez sur Installer des composants complémentaires, puis sur Ajouter/Supprimer des composants Windows.

  3. Dans Composants, cliquez sur Services de mise en réseau (mais n'activez ni ne désactivez la case à cocher), puis cliquez sur Détails.

  4. Cochez Internet Authentication Service et cliquez sur OK.

  5. Cliquez sur Next (Suivant).

Configuration de Microsoft Windows 2000 Server avec IAS

Complétez ces étapes afin de configurer le serveur RADIUS (IAS) et de démarrer le service afin de le rendre disponible pour authentifier les utilisateurs sur le concentrateur VPN.

  1. Choisissez Démarrer > Programmes > Outils d'administration > Internet Authentication Service.

  2. Cliquez avec le bouton droit sur Internet Authentication Service, puis cliquez sur Properties dans le sous-menu qui apparaît.

  3. Accédez à l'onglet RADIUS afin d'examiner les paramètres des ports.

    Si vos ports UDP (User Datagram Protocol) d'authentification RADIUS et de gestion de comptes RADIUS diffèrent des valeurs par défaut fournies (1812 et 1645 pour l'authentification, 1813 et 1646 pour la gestion de comptes) dans Authentication and Accounting, saisissez vos paramètres de port. Cliquez sur OK quand vous avez terminé.

    Remarque : ne modifiez pas les ports par défaut. Séparez les ports à l'aide de virgules pour utiliser plusieurs paramètres de port pour les demandes d'authentification ou de gestion des comptes.

  4. Cliquez avec le bouton droit sur Clients et choisissez New Client afin d'ajouter le concentrateur VPN en tant que client d'authentification, d'autorisation et de comptabilité (AAA) au serveur RADIUS (IAS).

    Remarque : si la redondance est configurée entre deux concentrateurs Cisco VPN 3000, le concentrateur de secours Cisco VPN 3000 doit également être ajouté au serveur RADIUS en tant que client RADIUS.

  5. Entrez un nom convivial et sélectionnez Protocol Radius.

  6. Définissez le concentrateur VPN avec une adresse IP ou un nom DNS dans la fenêtre suivante.

  7. Choisissez Cisco dans la barre de défilement Client-Vendor.

  8. Entrez un secret partagé.

    Remarque : vous devez vous souvenir du secret exact que vous utilisez. Vous avez besoin de ces informations afin de configurer le concentrateur VPN.

  9. Cliquez sur Finish (Terminer).

  10. Double-cliquez sur Remote Access Policies et double-cliquez sur la stratégie qui apparaît dans la partie droite de la fenêtre.

    Remarque : après avoir installé IAS, une stratégie d'accès à distance doit déjà exister.

    Dans Windows 2000, l'autorisation est accordée en fonction des propriétés de numérotation d'un compte d'utilisateur et des stratégies d'accès à distance. Les stratégies d'accès à distance sont un ensemble de conditions et de paramètres de connexion qui offrent aux administrateurs réseau une plus grande flexibilité dans l'autorisation des tentatives de connexion. Le service Routage et accès à distance de Windows 2000 et le service IAS de Windows 2000 utilisent tous deux des stratégies d'accès à distance pour déterminer s'il faut accepter ou rejeter les tentatives de connexion. Dans les deux cas, les stratégies d'accès à distance sont stockées localement. Reportez-vous à la documentation IAS de Windows 2000 pour plus d'informations sur le traitement des tentatives de connexion.

    cisco_vpn_msradius.gif

  11. Choisissez Grant remote access permission et cliquez sur Edit Profile afin de configurer les propriétés de numérotation.

  12. Sélectionnez le protocole à utiliser pour l'authentification dans l'onglet Authentification. Cochez Microsoft Encrypted Authentication version 2 et décochez tous les autres protocoles d'authentification.

    Remarque : les paramètres de ce profil de numérotation doivent correspondre aux paramètres de la configuration du concentrateur VPN 3000 et du client de numérotation. Dans cet exemple, l'authentification MS-CHAPv2 sans cryptage PPTP est utilisée.

  13. Dans l'onglet Chiffrement, cochez No Encryption only.

  14. Cliquez sur OK afin de fermer le profil de numérotation entrante, puis cliquez sur OK afin de fermer la fenêtre de stratégie d'accès à distance.

  15. Cliquez avec le bouton droit sur Internet Authentication Service et cliquez sur Start Service dans l'arborescence de la console.

    Remarque : vous pouvez également utiliser cette fonction pour arrêter le service.

  16. Complétez ces étapes afin de modifier les utilisateurs pour autoriser la connexion.

    1. Choisissez Console > Add/Remove Snap-in.

    2. Cliquez sur Ajouter et choisissez Composant logiciel enfichable Utilisateurs et groupes locaux.

    3. Cliquez sur Add.

    4. Veillez à sélectionner Ordinateur local

    5. Cliquez sur Terminer et sur OK.

  17. Développez Local User and Groups et cliquez sur le dossier Users dans le volet de gauche. Dans le volet droit, double-cliquez sur l'utilisateur (Utilisateur VPN) auquel vous souhaitez autoriser l'accès.

  18. Accédez à l'onglet Dial-in et choisissez Allow Access sous Remote Access Permission (Dial-in ou VPN).

    cvpn3k_pix_ias-k.gif

  19. Cliquez sur Apply et sur OK afin de terminer l'action. Vous pouvez fermer la fenêtre Gestion de la console et enregistrer la session, si vous le souhaitez.

    Les utilisateurs que vous avez modifiés peuvent désormais accéder au concentrateur VPN avec le client VPN. Gardez à l'esprit que le serveur IAS authentifie uniquement les informations utilisateur. Le concentrateur VPN effectue toujours l'authentification de groupe.

Configuration de Microsoft Windows 2003 Server avec IAS

Complétez ces étapes afin de configurer le serveur Microsoft Windows 2003 avec IAS.

Remarque : ces étapes supposent que IAS est déjà installé sur l'ordinateur local. Sinon, ajoutez ce composant via Control Panel > Add/Remove Programs.

  1. Choisissez Administrative Tools > Internet Authentication Service et cliquez avec le bouton droit sur RADIUS Client afin d'ajouter un nouveau client RADIUS. Après avoir saisi les informations relatives au client, cliquez sur OK.

  2. Entrez un nom convivial.

  3. Définissez le concentrateur VPN avec une adresse IP ou un nom DNS dans la fenêtre suivante.

  4. Choisissez Cisco dans la barre de défilement Client-Vendor.

  5. Entrez un secret partagé.

    Remarque : vous devez vous souvenir du secret exact que vous utilisez. Vous avez besoin de ces informations afin de configurer le concentrateur VPN.

  6. Cliquez sur OK pour terminer.

  7. Accédez à Stratégies d'accès à distance, cliquez avec le bouton droit sur Connexions à d'autres serveurs d'accès, et choisissez Propriétés.

  8. Choisissez Grant remote access permission et cliquez sur Edit Profile afin de configurer les propriétés de numérotation.

  9. Sélectionnez le protocole à utiliser pour l'authentification dans l'onglet Authentification. Cochez Microsoft Encrypted Authentication version 2 et décochez tous les autres protocoles d'authentification.

    Remarque : les paramètres de ce profil de numérotation doivent correspondre aux paramètres de la configuration du concentrateur VPN 3000 et du client de numérotation. Dans cet exemple, l'authentification MS-CHAPv2 sans cryptage PPTP est utilisée.

  10. Dans l'onglet Chiffrement, cochez No Encryption only.

  11. Cliquez sur OK quand vous avez terminé.

    cvpn3k_pix_ias-m.jpg

  12. Cliquez avec le bouton droit sur Internet Authentication Service et cliquez sur Start Service dans l'arborescence de la console.

    Remarque : vous pouvez également utiliser cette fonction afin d'arrêter le service.

  13. Choisissez Administrative Tools > Computer Management > System Tools > Local Users and Groups, cliquez avec le bouton droit sur Users et choisissez New Users afin d'ajouter un utilisateur dans le compte d'ordinateur local.

  14. Ajoutez un utilisateur avec le mot de passe Cisco « vpnpassword » et vérifiez ces informations de profil.

    • Dans l'onglet General, assurez-vous que l'option Password Never Expired est sélectionnée au lieu de l'option User Must Change Password.

    • Dans l'onglet Accès à distance, choisissez l'option Autoriser l'accès (ou conservez le paramètre par défaut Contrôle de l'accès via la stratégie d'accès à distance).

    Cliquez sur OK quand vous avez terminé.

    cvpn3k_pix_ias-n.jpg

Configuration du concentrateur Cisco VPN 3000 pour l'authentification RADIUS

Complétez ces étapes afin de configurer le concentrateur Cisco VPN 3000 pour l'authentification RADIUS.

  1. Connectez-vous au concentrateur VPN à l'aide de votre navigateur Web, et choisissez Configuration > System > Servers > Authentication dans le menu du cadre de gauche.

    cisco_vpn_msradius_1.gif

  2. Cliquez sur Add et configurez ces paramètres.

    • Type de serveur = RADIUS

    • Authentication Server = adresse IP ou nom d'hôte de votre serveur RADIUS (IAS)

    • Port du serveur = 0 (0=default=1645)

    • Secret du serveur = identique à l'étape 8 de la section Configuration du serveur RADIUS

    cisco_vpn_msradius_2.gif

  3. Cliquez sur Add afin d'ajouter les modifications à la configuration en cours.

  4. Cliquez sur Add, choisissez Internal Server for Server Type, puis cliquez sur Apply.

    Vous en aurez besoin plus tard afin de configurer un groupe IPsec (Vous n'avez besoin que de Server Type = Internal Server).

    cisco_vpn_msradius_3.gif

  5. Configurez le concentrateur VPN pour les utilisateurs PPTP ou pour les utilisateurs du client VPN.

      PPTP

      Complétez ces étapes afin de configurer pour les utilisateurs PPTP.

    1. Choisissez Configuration > User Management > Base Group, et cliquez sur l'onglet PPTP/L2TP.

    2. Choisissez MSCHAPv2 et décochez les autres protocoles d'authentification dans la section PPTP Authentication Protocols.

      cisco_vpn_msradius_4.gif

    3. Cliquez sur Apply au bas de la page afin d'ajouter les modifications à la configuration en cours.

      Désormais, lorsque les utilisateurs PPTP se connectent, ils sont authentifiés par le serveur RADIUS (IAS).

      Client VPN

      Complétez ces étapes afin de configurer pour les utilisateurs du client VPN.

    1. Choisissez Configuration > User Management > Groups et cliquez sur Add afin d'ajouter un nouveau groupe.cisco_vpn_msradius_5.gif

    2. Tapez un nom de groupe (par exemple, IPsecUsers) et un mot de passe.

      cisco_vpn_msradius_6.gif

      Ce mot de passe est utilisé comme clé pré-partagée pour la négociation de tunnel.

    3. Accédez à l'onglet IPSec et définissez l'authentification sur RADIUS.

      cisco_vpn_msradius_7.gif

      Cela permet aux clients IPsec d'être authentifiés via le serveur d'authentification RADIUS.

    4. Cliquez sur Add au bas de la page afin d'ajouter les modifications à la configuration en cours.

      À présent, lorsque les clients IPsec se connectent et utilisent le groupe que vous avez configuré, ils sont authentifiés par le serveur RADIUS.

Vérifier

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

Échec de l'authentification WebVPN

Ces sections fournissent des informations que vous pouvez utiliser pour dépanner votre configuration.

  • Problème : les utilisateurs WebVPN ne peuvent pas s'authentifier auprès du serveur RADIUS, mais peuvent s'authentifier avec succès auprès de la base de données locale du concentrateur VPN. Ils reçoivent des erreurs telles que « Echec de la connexion » et ce message.

    cisco_vpn_msradius_8.gif

    Cause : ce type de problème se produit souvent lorsqu'une base de données autre que la base de données interne du concentrateur est utilisée. Les utilisateurs WebVPN accèdent au groupe de base lorsqu'ils se connectent pour la première fois au concentrateur et doivent utiliser la méthode d'authentification par défaut. Souvent, cette méthode est définie sur la base de données interne du concentrateur et n'est pas un serveur RADIUS ou un autre serveur configuré.

    Solution : lorsqu'un utilisateur WebVPN s'authentifie, le concentrateur vérifie la liste des serveurs définis dans Configuration > System > Servers > Authentication et utilise le premier. Veillez à déplacer le serveur auprès duquel les utilisateurs WebVPN doivent s'authentifier en haut de cette liste. Par exemple, si RADIUS doit être la méthode d'authentification, vous devez déplacer le serveur RADIUS en haut de la liste pour y appliquer l'authentification.

    Remarque : le fait que les utilisateurs de WebVPN aient initialement atteint le groupe de base ne signifie pas qu'ils sont confinés au groupe de base. Des groupes WebVPN supplémentaires peuvent être configurés sur le concentrateur, et des utilisateurs peuvent leur être assignés par le serveur RADIUS avec la population de l'attribut 25 avec OU=groupname . Référez-vous à Verrouillage des utilisateurs dans un groupe de concentrateurs VPN 3000 à l'aide d'un serveur RADIUS pour une explication plus détaillée.

Échec de l'authentification utilisateur par rapport à Active Directory

Dans le serveur Active Directory, sous l'onglet Compte des propriétés utilisateur de l'utilisateur défaillant, vous pouvez voir cette case à cocher :

[x] Ne pas exiger de pré-authentification

Si cette case n'est pas cochée, cochez-la et essayez de vous authentifier à nouveau auprès de cet utilisateur.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
25-Feb-2002
Première publication

Contribution de

  • pqiu
    imbécile

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits