Configurare i Cisco VPN serie 3000 concentrator per supportare la funzione di scadenza password di NT con il server RADIUS

Opzioni per il download

  • PDF     (866.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.0 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:19 gennaio 2006
ID documento:12086

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento vengono fornite istruzioni dettagliate su come configurare i Cisco VPN serie 3000 concentrator in modo da supportare la funzione di scadenza della password NT con il server RADIUS.

Per ulteriori informazioni sullo stesso scenario con il server di autenticazione Internet (IAS, Internet Authentication Server), fare riferimento alla VPN 3000 RADIUS con funzionalità di scadenza che utilizza il server di autenticazione Internet (Internet Authentication Server).

Prerequisiti

Requisiti

  • Se il server RADIUS e il server Autenticazione dominio NT si trovano su due computer distinti, accertarsi di aver stabilito la connettività IP tra i due computer.

  • Accertarsi di aver stabilito la connettività IP tra il concentratore e il server RADIUS. Se il server RADIUS è rivolto verso l'interfaccia pubblica, non dimenticare di aprire la porta RADIUS sul filtro pubblico.

  • Accertarsi di poter connettersi al concentratore dal client VPN utilizzando il database degli utenti interni. Se non è configurata, consultare il documento sulla configurazione di IPSec - Cisco 3000 VPN Client su VPN 3000 Concentrator.

Nota: non è possibile usare la funzione di scadenza password con client VPN Web o SSL.

Componenti usati

Questa configurazione è stata sviluppata e testata utilizzando le versioni software e hardware riportate di seguito.

  • VPN 3000 Concentrator Software versione 4.7

  • VPN Client release 3.5

  • Cisco Secure for NT (CSNT) versione 3.0 Microsoft Windows 2000 Active Directory Server for User Authentication

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Esempio di rete

Nel documento viene usata questa impostazione di rete:

vpn3k-ntpwexp-01.gif

Note diagramma

  1. Il server RADIUS in questa configurazione si trova nell'interfaccia pubblica. In questo caso, creare due regole nel filtro pubblico per consentire al traffico RADIUS di entrare e uscire dal concentratore.

  2. Questa configurazione mostra il software CSNT e i servizi di autenticazione di dominio NT in esecuzione sullo stesso computer. Questi elementi possono essere eseguiti su due computer separati se richiesto dalla configurazione.

Configurazione di VPN 3000 Concentrator

Configurazione gruppo

  1. Per configurare il gruppo in modo che accetti i parametri di scadenza password NT dal server RADIUS, andare a Configurazione > Gestione utente > Gruppi, selezionare il gruppo dall'elenco e fare clic su Modifica gruppo. Nell'esempio seguente viene illustrato come modificare un gruppo denominato "ipsecgroup".

    vpn3k-ntpwexp-02.gif

  2. Andare alla scheda IPSec e verificare che per l'attributo Authentication sia selezionato RADIUS con scadenza.

    vpn3k-ntpwexp-03.gif

  3. Se si desidera abilitare questa funzionalità sui client hardware VPN 3002, passare alla scheda Client hardware, verificare che Richiedi autenticazione client hardware interattivo sia abilitato, quindi fare clic su Applica.

    vpn3k-ntpwexp-04.gif

Configurazione RADIUS

  1. Per configurare le impostazioni del server RADIUS sul concentratore, selezionare Configurazione > Sistema > Server > Autenticazione > Aggiungi.

    vpn3k-ntpwexp-05.gif

  2. Nella schermata Aggiungi, immettere i valori che corrispondono al server RADIUS e fare clic su Aggiungi.

    Nell'esempio seguente vengono utilizzati i valori seguenti.

    Server Type: RADIUS

    Authentication Server: 172.18.124.96

    Server Port = 0 (for default of 1645)
    Timeout = 4

    Reties = 2

    Server Secret = cisco123

    Verify: cisco123

vpn3k-ntpwexp-06.gif

Configurazione di Cisco Secure NT RADIUS Server

Configurazione di una voce per il concentratore VPN 3000

  1. Accedere a CSNT e fare clic su Configurazione di rete nel pannello sinistro. In "Client AAA", fare clic su Add Entry (Aggiungi voce).

    vpn3k-ntpwexp-07.gif

  2. Nella schermata "Add AAA Client" (Aggiungi client AAA), immettere i valori appropriati per aggiungere il concentratore come client RADIUS, quindi fare clic su Submit (Invia) + Riavvia (Riavvia).

    Nell'esempio seguente vengono utilizzati i valori seguenti.

    AAA Client Hostname = 133_3000_conc

    AAA Client IP Address = 172.18.124.133

    Key = cisco123

    Authenticate using = RADIUS (Cisco VPN 3000)

    vpn3k-ntpwexp-08.gif

    Nella sezione "Client AAA" verrà visualizzata una voce relativa al concentratore 3000.

    vpn3k-ntpwexp-09.gif

Configurazione del criterio utente sconosciuto per l'autenticazione del dominio NT

  1. Per configurare l'autenticazione utente sul server RADIUS come parte del criterio utente sconosciuto, fare clic su Database utente esterno nel riquadro sinistro, quindi fare clic sul collegamento Configurazione database.

    vpn3k-ntpwexp-10.gif

  2. In "Configurazione database utenti esterni", fare clic su Windows NT/2000.

    vpn3k-ntpwexp-11.gif

  3. Nella schermata "Creazione della configurazione del database", fare clic su Crea nuova configurazione.

    vpn3k-ntpwexp-12.gif

  4. Quando richiesto, digitare un nome per l'autenticazione NT/2000 e fare clic su Invia. Nell'esempio seguente viene illustrato il nome "Radius/NT Password Expiration" (Scadenza password Radius/NT).

    vpn3k-ntpwexp-13.gif

  5. Fare clic su Configura per configurare il nome di dominio per l'autenticazione utente.

    vpn3k-ntpwexp-14.gif

  6. Selezionare il proprio dominio NT da "Domini disponibili", quindi fare clic sul pulsante freccia destra per aggiungerlo all'elenco dei domini. In "MS-CHAP Settings" (Impostazioni MS-CHAP) verificare che le opzioni per Permit password changes using MS-CHAP version 1 and version 2 (Consenti modifiche password utilizzando MS-CHAP versione 1 e versione 2) siano selezionate. Al termine, fare clic su Submit (Invia).

    vpn3k-ntpwexp-15.gif

  7. Fare clic su Database utente esterno nel pannello a sinistra, quindi fare clic sul collegamento per i mapping dei gruppi di database (come mostrato nell'esempio). Verrà visualizzata una voce per il database esterno configurato in precedenza. L'esempio seguente mostra una voce per "Radius/NT Password Expiration", il database appena configurato.

    vpn3k-ntpwexp-16.gif

  8. Nella schermata "Domain Configurations" (Configurazioni dominio), fare clic su New configuration (Nuova configurazione) per aggiungere le configurazioni di dominio.

    vpn3k-ntpwexp-17.gif

  9. Selezionare il proprio dominio dall'elenco "Domini rilevati" e fare clic su Invia. Nell'esempio seguente viene illustrato un dominio denominato "JAZIB-ADS".

    vpn3k-ntpwexp-18.gif

  10. Fare clic sul nome di dominio per configurare i mapping dei gruppi. Nell'esempio viene mostrato il dominio "JAZIB-ADS".

    vpn3k-ntpwexp-19.gif

  11. Fare clic su Aggiungi mapping per definire i mapping dei gruppi.

    vpn3k-ntpwexp-20.gif

  12. Nella schermata "Crea nuova mappatura gruppo", mappare il gruppo sul dominio NT a un gruppo sul server RADIUS CSNT, quindi fare clic su Invia. Nell'esempio seguente il gruppo NT "Users" viene mappato al gruppo RADIUS "Group 1".

    vpn3k-ntpwexp-21.gif

  13. Fare clic su Database utenti esterni nel pannello a sinistra, quindi fare clic sul collegamento per Criteri utente sconosciuti (come illustrato in questo esempio). Assicurarsi che l'opzione Controlla i seguenti database utenti esterni sia selezionata. Fare clic sul pulsante freccia destra per spostare il database esterno configurato in precedenza dall'elenco "Database esterni" all'elenco "Database selezionati".

    vpn3k-ntpwexp-22.gif

Test della funzionalità di scadenza delle password NT/RADIUS

Il concentratore offre una funzione per testare l'autenticazione RADIUS. Per verificare correttamente questa funzionalità, eseguire la procedura descritta di seguito.

Test di autenticazione RADIUS

  1. Andare a Configurazione > Sistema > Server > Autenticazione. Selezionare il server RADIUS e fare clic su Test.

    vpn3k-ntpwexp-23.gif

  2. Quando richiesto, digitare il nome utente e la password di dominio NT e quindi fare clic su OK. L'esempio seguente mostra il nome utente "jfrahim" configurato sul server di dominio NT con "cisco123" come password.

    vpn3k-ntpwexp-24.gif

  3. Se l'autenticazione è configurata correttamente, dovrebbe essere visualizzato il messaggio "Autenticazione riuscita".

    vpn3k-ntpwexp-25.gif

    Se si riceve un messaggio diverso da quello mostrato sopra, si è verificato un problema di configurazione o connessione. Ripetere i passaggi di configurazione e test descritti in questo documento per verificare che tutte le impostazioni siano state eseguite correttamente. Verificare inoltre la connettività IP tra i dispositivi.

Autenticazione del dominio NT effettiva tramite proxy RADIUS per verificare la funzionalità di scadenza password

  1. Se l'utente è già definito nel server di dominio, modificare le proprietà in modo che all'utente venga richiesto di modificare la password al successivo accesso. Nella scheda Account della finestra di dialogo delle proprietà dell'utente, selezionare l'opzione Cambiamento obbligatorio password all'accesso successivo, quindi fare clic su OK.

    vpn3k-ntpwexp-26.gif

  2. Avviare il client VPN, quindi provare a stabilire il tunnel per il concentratore.

    vpn3k-ntpwexp-27.gif

  3. Durante l'autenticazione utente, verrà richiesto di modificare la password.

    vpn3k-ntpwexp-28.gif

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
19-Jan-2006
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci