Cisco VPN-clientgebruiker en groepskenmerken verwerken op VPN 3000 concentrator

Downloadopties

  • PDF     (255.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (88.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (74.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 januari 2008
Document-id:14115

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe Cisco VPN-clients worden geverifieerd op de VPN Concentrator en hoe de Cisco VPN 3000 Concentrator gebruikers- en groepskenmerken gebruikt.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de Cisco VPN 3000 Concentrator.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

VPN-client maakt verbinding met VPN 3000 concentrator

Wanneer een VPN-client verbinding maakt met een VPN 3000 Concentrator, kunnen er maximaal vier verificaties plaatsvinden.

  1. De groep is geverifieerd. (Dit wordt vaak de "Tunnelgroep" genoemd.)

  2. De gebruiker is geverifieerd.

  3. (Optioneel) Als de gebruiker deel uitmaakt van een andere groep, wordt deze groep als volgende geverifieerd. Als de gebruiker niet tot een andere groep of de tunnelgroep behoort, dan blijft de gebruiker standaard tot de basisgroep en deze stap gebeurt NIET.

  4. De "Tunnel Group" uit Stap 1 wordt opnieuw geverifieerd. (Dit gebeurt wanneer de optie "Groepsslot" wordt gebruikt. Deze optie is beschikbaar in versie 2.1 of hoger.)

Dit is een voorbeeld van de gebeurtenissen die u ziet in het gebeurtenissenlogboek voor een VPN-client die is geverifieerd via de interne database ("testuser" maakt deel uit van de groep "Engineering"). 

1 12/09/1999 11:03:46.470 SEV=6 AUTH/4 RPT=6491 80.50.0.4
Authentication successful: handle = 642, server = Internal, user = Tunnel_Group
2 12/09/1999 11:03:52.100 SEV=6 AUTH/4 RPT=6492 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = testuser
3 12/09/1999 11:03:52.200 SEV=6 AUTH/4 RPT=6493 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Engineering
4 12/09/1999 11:03:52.310 SEV=6 AUTH/4 RPT=6494 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Tunnel_Group

Opmerking: om deze gebeurtenissen te zien, moet u de Auto Event Class configureren met ernst 1-6 in Configuration > System > Events > Classes.

Group Lock Feature - Als de Group Lock functie is ingeschakeld op de Group - Tunnel_Group, dan moet de Gebruiker deel uitmaken van Tunnel_Group om verbinding te maken. In het vorige voorbeeld, zie je alle zelfde Evenementen, maar "testuser" maakt geen verbinding omdat ze deel uitmaken van de Groep - Engineering en geen deel uitmaken van de Groep - Tunnel_Group. U ziet ook dit evenement: 

5 12/09/1999 11:35:08.760 SEV=4 IKE/60 RPT=1 80.50.0.4
User [ testuser ]
User (testuser) not member of group (Tunnel_Group), authentication failed.

Raadpleeg Gebruikers vergrendelen in een VPN 3000 concentrator-groep met een RADIUS-server voor meer informatie over de functie Groepsslot en een voorbeeldconfiguratie.

Groepen en gebruikers extern verifiëren via RADIUS

De VPN 3000 Concentrator kan ook worden geconfigureerd om gebruikers en groepen extern te verifiëren via een RADIUS-server. Dit vereist nog steeds dat de namen van de groepen worden geconfigureerd op de VPN Concentrator, maar het groepstype is ingesteld op "Extern".

  • Externe groepen kunnen Cisco/Altiga-kenmerken retourneren als de RADIUS-server leverancierspecifieke kenmerken (VSA’s) ondersteunt.

  • Alle Cisco/Altiga-kenmerken die NIET per RADIUS-standaard worden geretourneerd aan de waarden in de basisgroep.

  • Als de RADIUS-server geen VSA's ondersteunt, blijven ALLE kenmerken standaard bij de Base Group-kenmerken.

Opmerking: een RADIUS-server behandelt groepsnamen niet anders dan gebruikersnamen. Een groep op een RADIUS-server wordt geconfigureerd als een standaard gebruiker.

Deze stappen schetsen wat er gebeurt wanneer een IPSec-client verbinding maakt met de VPN 3000 Concentrator als zowel gebruikers als groepen extern zijn geverifieerd. Net als bij de interne case kunnen er tot vier authenticaties plaatsvinden.

  1. De groep is geverifieerd via RADIUS. De RADIUS-server kan veel of geen kenmerken voor de groep ophalen. De RADIUS-server moet minimaal het Cisco/Altiga-kenmerk "IPSec-verificatie = RADIUS" retourneren om de VPN-concentrator te vertellen hoe de gebruiker moet worden geverifieerd. Als dit niet het geval is, moet de IPSec-verificatiemethode van de basisgroep worden ingesteld op "RADIUS".

  2. De gebruiker is geverifieerd via RADIUS. De RADIUS-server kan veel of geen kenmerken voor de gebruiker teruggeven. Als de RADIUS-server de attribuutKLASSE (standaard RADIUS-kenmerk #25) retourneert, gebruikt de VPN 3000 Concentrator dat kenmerk als groepsnaam en wordt verplaatst naar Stap 3, of gaat het naar Stap 4.

  3. De gebruikersgroep wordt vervolgens geverifieerd via RADIUS. De RADIUS-server kan veel of geen kenmerken voor de groep ophalen.

  4. De "Tunnel Group" van Stap 1 wordt opnieuw geverifieerd via RADIUS. Het authentificatiesubsysteem moet de Groep van de Tunnel opnieuw voor authentiek verklaren omdat het de eigenschappen (als om het even welk) van de authentificatie in Stap 1 niet heeft opgeslagen. Dit gebeurt wanneer de optie "Groepsslot" wordt gebruikt.

Hoe de VPN 3000 Concentrator gebruikers- en groepskenmerken gebruikt

Nadat de VPN 3000 Concentrator de gebruiker en groep(en) heeft geverifieerd, moet deze de ontvangen attributen organiseren. De VPN Concentrator gebruikt de eigenschappen in deze voorkeursvolgorde. Het maakt niet uit of de authenticatie intern of extern is uitgevoerd:

  1. Gebruikerskenmerken: deze hebben voorrang op alle andere.

  2. Groepskenmerken—Alle ontbrekende eigenschappen van de gebruikerskenmerken worden ingevuld door de groepskenmerken. Om het even welke die het zelfde zijn worden met voeten getreden door de attributen van de Gebruiker.

  3. De attributen van de Tunnelgroep-om het even welke attributen die van de Gebruikers of de Groepsattributen missen worden ingevuld door de attributen van de Tunnelgroep. Om het even welke die het zelfde zijn worden met voeten getreden door de attributen van de Gebruiker.

  4. Base Group attributen—Alle attributen die ontbreken in de eigenschappen User, Group of Tunnel Group worden ingevuld door de kenmerken Base Group.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
11-Dec-2001
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco