In questo documento vengono fornite istruzioni dettagliate su come configurare i Cisco VPN serie 3000 concentrator in modo da supportare la funzione di scadenza della password NT con il server RADIUS.
Per ulteriori informazioni sullo stesso scenario con il server di autenticazione Internet (IAS, Internet Authentication Server), fare riferimento alla VPN 3000 RADIUS con funzionalità di scadenza che utilizza il server di autenticazione Internet (Internet Authentication Server).
Se il server RADIUS e il server Autenticazione dominio NT si trovano su due computer distinti, accertarsi di aver stabilito la connettività IP tra i due computer.
Accertarsi di aver stabilito la connettività IP tra il concentratore e il server RADIUS. Se il server RADIUS è rivolto verso l'interfaccia pubblica, non dimenticare di aprire la porta RADIUS sul filtro pubblico.
Accertarsi di poter connettersi al concentratore dal client VPN utilizzando il database degli utenti interni. Se non è configurata, consultare il documento sulla configurazione di IPSec - Cisco 3000 VPN Client su VPN 3000 Concentrator.
Nota: non è possibile usare la funzione di scadenza password con client VPN Web o SSL.
Questa configurazione è stata sviluppata e testata utilizzando le versioni software e hardware riportate di seguito.
VPN 3000 Concentrator Software versione 4.7
VPN Client release 3.5
Cisco Secure for NT (CSNT) versione 3.0 Microsoft Windows 2000 Active Directory Server for User Authentication
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Nel documento viene usata questa impostazione di rete:
Note diagramma
Il server RADIUS in questa configurazione si trova nell'interfaccia pubblica. In questo caso, creare due regole nel filtro pubblico per consentire al traffico RADIUS di entrare e uscire dal concentratore.
Questa configurazione mostra il software CSNT e i servizi di autenticazione di dominio NT in esecuzione sullo stesso computer. Questi elementi possono essere eseguiti su due computer separati se richiesto dalla configurazione.
Per configurare il gruppo in modo che accetti i parametri di scadenza password NT dal server RADIUS, andare a Configurazione > Gestione utente > Gruppi, selezionare il gruppo dall'elenco e fare clic su Modifica gruppo. Nell'esempio seguente viene illustrato come modificare un gruppo denominato "ipsecgroup".
Andare alla scheda IPSec e verificare che per l'attributo Authentication sia selezionato RADIUS con scadenza.
Se si desidera abilitare questa funzionalità sui client hardware VPN 3002, passare alla scheda Client hardware, verificare che Richiedi autenticazione client hardware interattivo sia abilitato, quindi fare clic su Applica.
Per configurare le impostazioni del server RADIUS sul concentratore, selezionare Configurazione > Sistema > Server > Autenticazione > Aggiungi.
Nella schermata Aggiungi, immettere i valori che corrispondono al server RADIUS e fare clic su Aggiungi.
Nell'esempio seguente vengono utilizzati i valori seguenti.
Server Type: RADIUS
Authentication Server: 172.18.124.96
Server Port = 0 (for default of 1645)
Timeout = 4
Reties = 2
Server Secret = cisco123
Verify: cisco123
Accedere a CSNT e fare clic su Configurazione di rete nel pannello sinistro. In "Client AAA", fare clic su Add Entry (Aggiungi voce).
Nella schermata "Add AAA Client" (Aggiungi client AAA), immettere i valori appropriati per aggiungere il concentratore come client RADIUS, quindi fare clic su Submit (Invia) + Riavvia (Riavvia).
Nell'esempio seguente vengono utilizzati i valori seguenti.
AAA Client Hostname = 133_3000_conc
AAA Client IP Address = 172.18.124.133
Key = cisco123
Authenticate using = RADIUS (Cisco VPN 3000)
Nella sezione "Client AAA" verrà visualizzata una voce relativa al concentratore 3000.
Per configurare l'autenticazione utente sul server RADIUS come parte del criterio utente sconosciuto, fare clic su Database utente esterno nel riquadro sinistro, quindi fare clic sul collegamento Configurazione database.
In "Configurazione database utenti esterni", fare clic su Windows NT/2000.
Nella schermata "Creazione della configurazione del database", fare clic su Crea nuova configurazione.
Quando richiesto, digitare un nome per l'autenticazione NT/2000 e fare clic su Invia. Nell'esempio seguente viene illustrato il nome "Radius/NT Password Expiration" (Scadenza password Radius/NT).
Fare clic su Configura per configurare il nome di dominio per l'autenticazione utente.
Selezionare il proprio dominio NT da "Domini disponibili", quindi fare clic sul pulsante freccia destra per aggiungerlo all'elenco dei domini. In "MS-CHAP Settings" (Impostazioni MS-CHAP) verificare che le opzioni per Permit password changes using MS-CHAP version 1 and version 2 (Consenti modifiche password utilizzando MS-CHAP versione 1 e versione 2) siano selezionate. Al termine, fare clic su Submit (Invia).
Fare clic su Database utente esterno nel pannello a sinistra, quindi fare clic sul collegamento per i mapping dei gruppi di database (come mostrato nell'esempio). Verrà visualizzata una voce per il database esterno configurato in precedenza. L'esempio seguente mostra una voce per "Radius/NT Password Expiration", il database appena configurato.
Nella schermata "Domain Configurations" (Configurazioni dominio), fare clic su New configuration (Nuova configurazione) per aggiungere le configurazioni di dominio.
Selezionare il proprio dominio dall'elenco "Domini rilevati" e fare clic su Invia. Nell'esempio seguente viene illustrato un dominio denominato "JAZIB-ADS".
Fare clic sul nome di dominio per configurare i mapping dei gruppi. Nell'esempio viene mostrato il dominio "JAZIB-ADS".
Fare clic su Aggiungi mapping per definire i mapping dei gruppi.
Nella schermata "Crea nuova mappatura gruppo", mappare il gruppo sul dominio NT a un gruppo sul server RADIUS CSNT, quindi fare clic su Invia. Nell'esempio seguente il gruppo NT "Users" viene mappato al gruppo RADIUS "Group 1".
Fare clic su Database utenti esterni nel pannello a sinistra, quindi fare clic sul collegamento per Criteri utente sconosciuti (come illustrato in questo esempio). Assicurarsi che l'opzione Controlla i seguenti database utenti esterni sia selezionata. Fare clic sul pulsante freccia destra per spostare il database esterno configurato in precedenza dall'elenco "Database esterni" all'elenco "Database selezionati".
Il concentratore offre una funzione per testare l'autenticazione RADIUS. Per verificare correttamente questa funzionalità, eseguire la procedura descritta di seguito.
Andare a Configurazione > Sistema > Server > Autenticazione. Selezionare il server RADIUS e fare clic su Test.
Quando richiesto, digitare il nome utente e la password di dominio NT e quindi fare clic su OK. L'esempio seguente mostra il nome utente "jfrahim" configurato sul server di dominio NT con "cisco123" come password.
Se l'autenticazione è configurata correttamente, dovrebbe essere visualizzato il messaggio "Autenticazione riuscita".
Se si riceve un messaggio diverso da quello mostrato sopra, si è verificato un problema di configurazione o connessione. Ripetere i passaggi di configurazione e test descritti in questo documento per verificare che tutte le impostazioni siano state eseguite correttamente. Verificare inoltre la connettività IP tra i dispositivi.
Se l'utente è già definito nel server di dominio, modificare le proprietà in modo che all'utente venga richiesto di modificare la password al successivo accesso. Nella scheda Account della finestra di dialogo delle proprietà dell'utente, selezionare l'opzione Cambiamento obbligatorio password all'accesso successivo, quindi fare clic su OK.
Avviare il client VPN, quindi provare a stabilire il tunnel per il concentratore.
Durante l'autenticazione utente, verrà richiesto di modificare la password.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
19-Jan-2006 |
Versione iniziale |