Configure os Cisco VPN 3000 Series Concentrators para suportar o recurso de expiração de senha NT com o servidor RADIUS

Opções de download

  • PDF     (866.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de janeiro de 2006
ID do documento:12086

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento inclui instruções passo a passo sobre como configurar os Cisco VPN 3000 Series Concentrators para suportar o recurso NT Password Expiration usando o servidor RADIUS.

Consulte RADIUS VPN 3000 com recurso de expiração usando o Microsoft Internet Authentication Server para saber mais sobre o mesmo cenário com o Internet Authentication Server (IAS).

Prerequisites

Requirements

  • Se o servidor RADIUS e o servidor NT Domain Authentication estiverem em duas máquinas separadas, certifique-se de ter estabelecido a conectividade IP entre as duas máquinas.

  • Verifique se você estabeleceu a conectividade IP do concentrador para o servidor RADIUS. Se o servidor RADIUS estiver em direção à interface pública, não se esqueça de abrir a porta RADIUS no filtro público.

  • Certifique-se de que você pode se conectar ao concentrador do cliente VPN usando o banco de dados de usuário interno. Se isso não estiver configurado, consulte Configuração do IPSec - Cisco 3000 VPN Client para VPN 3000 Concentrator.

Observação: o recurso de expiração de senha não pode ser usado com clientes VPN da Web ou VPN SSL.

Componentes Utilizados

Esta configuração foi desenvolvida e testada utilizando as versões de software e hardware abaixo.

  • Software VPN 3000 Concentrator versão 4.7

  • VPN Client versão 3.5

  • Cisco Secure para NT (CSNT) versão 3.0 Microsoft Windows 2000 Ative Diretory Server para autenticação de usuário

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

vpn3k-ntpwexp-01.gif

Notas de diagrama

  1. O servidor RADIUS nessa configuração está na interface pública. Se for esse o caso da configuração específica, crie duas regras no filtro público para permitir que o tráfego RADIUS entre e saia do concentrador.

  2. Esta configuração mostra o software CSNT e os Serviços de Autenticação de Domínio NT sendo executados na mesma máquina. Esses elementos podem ser executados em duas máquinas separadas, se exigido pela sua configuração.

Configurando o VPN 3000 Concentrator

Configuração de grupo

  1. Para configurar o grupo para aceitar os Parâmetros de Expiração de Senha NT do Servidor RADIUS, vá para Configuration > User Management > Groups, selecione seu grupo na lista e clique em Modify Group. O exemplo abaixo mostra como modificar um grupo chamado "ipsecgroup".

    vpn3k-ntpwexp-02.gif

  2. Vá para a guia IPSec, verifique se RADIUS com vencimento está selecionado para o atributo Authentication.

    vpn3k-ntpwexp-03.gif

  3. Se quiser que este recurso seja ativado nos VPN 3002 Hardware Clients, vá para a guia HW Client, verifique se Require Interative Hardware Client Authentication está ativado e clique em Apply.

    vpn3k-ntpwexp-04.gif

Configuração de RADIUS

  1. Para definir as configurações do servidor RADIUS no concentrador, vá para Configuration > System > Servers > Authentication > Add.

    vpn3k-ntpwexp-05.gif

  2. Na tela Add, digite os valores que correspondem ao servidor RADIUS e clique em Add.

    O exemplo abaixo usa os seguintes valores.

    Server Type: RADIUS

    Authentication Server: 172.18.124.96

    Server Port = 0 (for default of 1645)
    Timeout = 4

    Reties = 2

    Server Secret = cisco123

    Verify: cisco123

vpn3k-ntpwexp-06.gif

Configurando o servidor NT RADIUS do Cisco Secure

Configurando uma entrada para o VPN 3000 Concentrator

  1. Faça login no CSNT e clique em Network Configuration no painel esquerdo. Em "AAA Clients" (Clientes AAA), clique em Add Entry (Adicionar entrada).

    vpn3k-ntpwexp-07.gif

  2. Na tela "Add AAA Client" (Adicionar cliente AAA), digite os valores apropriados para adicionar o concentrador como o cliente RADIUS e clique em Submit + Restart (Enviar + Reiniciar).

    O exemplo abaixo usa os seguintes valores.

    AAA Client Hostname = 133_3000_conc

    AAA Client IP Address = 172.18.124.133

    Key = cisco123

    Authenticate using = RADIUS (Cisco VPN 3000)

    vpn3k-ntpwexp-08.gif

    Uma entrada para o seu concentrador 3000 será exibida na seção "AAA Clients".

    vpn3k-ntpwexp-09.gif

Configurando a política de usuário desconhecido para a autenticação de domínio NT

  1. Para configurar Autenticação de usuário no servidor RADIUS como parte da Política de usuário desconhecida, clique em Banco de dados de usuário externo no painel esquerdo e clique no link Configuração do banco de dados.

    vpn3k-ntpwexp-10.gif

  2. Em "External User Database Configuration", clique em Windows NT/2000.

    vpn3k-ntpwexp-11.gif

  3. Na tela "Database Configuration Creation" (Criação de configuração de banco de dados), clique em Create New Configuration (Criar nova configuração).

    vpn3k-ntpwexp-12.gif

  4. Quando solicitado, digite um nome para a Autenticação NT/2000 e clique em Enviar. O exemplo abaixo mostra o nome "Radius/NT Password Expiration" (Expiração da senha Radius/NT).

    vpn3k-ntpwexp-13.gif

  5. Clique em Configurar para configurar o nome de domínio para autenticação de usuário.

    vpn3k-ntpwexp-14.gif

  6. Selecione o domínio NT em "Domínios disponíveis" e clique no botão de seta para a direita para adicioná-lo à "Lista de domínios". Em "MS-CHAP Settings" (Configurações MS-CHAP), certifique-se de que as opções para permitir alterações de senha usando MS-CHAP versão 1 e versão 2 estejam selecionadas. Clique em Enviar quando terminar.

    vpn3k-ntpwexp-15.gif

  7. Clique em External User Database no painel esquerdo e, em seguida, clique no link para Database Group Mappings (Mapeamentos de grupos de bancos de dados). Você deve ver uma entrada para seu banco de dados externo configurado anteriormente. O exemplo abaixo mostra uma entrada para "Radius/NT Password Expiration" (Expiração de senha do Radius/NT), o banco de dados que acabamos de configurar.

    vpn3k-ntpwexp-16.gif

  8. Na tela "Configurações de domínio", clique em Nova configuração para adicionar as configurações de domínio.

    vpn3k-ntpwexp-17.gif

  9. Selecione o seu domínio na lista de "Domínios detectados" e clique em Enviar. O exemplo abaixo mostra um domínio chamado "JAZIB-ADS."

    vpn3k-ntpwexp-18.gif

  10. Clique no seu nome de domínio para configurar os mapeamentos de grupo. Este exemplo mostra o domínio "JAZIB-ADS".

    vpn3k-ntpwexp-19.gif

  11. Clique em Adicionar mapeamento para definir os mapeamentos de grupo.

    vpn3k-ntpwexp-20.gif

  12. Na tela "Criar novo mapeamento de grupo", mapeie o grupo no domínio NT para um grupo no servidor CSNT RADIUS e clique em Enviar. O exemplo abaixo mapeia o grupo NT "Users" para o grupo RADIUS "Group 1".

    vpn3k-ntpwexp-21.gif

  13. Clique em External User Database no painel esquerdo e, em seguida, clique no link Unknown User Policy (Política de usuário desconhecida) (como visto neste exemplo). Certifique-se de que a opção Verificar os seguintes bancos de dados de usuário externo está selecionada. Clique no botão de seta para a direita para mover o banco de dados externo configurado anteriormente da lista de "Bancos de dados externos" para a lista de "Bancos de dados selecionados".

    vpn3k-ntpwexp-22.gif

Testando o recurso de expiração de senha NT/RADIUS

O concentrador oferece uma função para testar a autenticação RADIUS. Para testar este recurso corretamente, siga estas etapas cuidadosamente.

Testando a autenticação RADIUS

  1. Vá para Configuration > System > Servers > Authentication. Selecione o servidor RADIUS e clique em Testar.

    vpn3k-ntpwexp-23.gif

  2. Quando solicitado, digite seu nome de usuário e senha do domínio NT e clique em OK. O exemplo abaixo mostra o nome de usuário "jfrahim" configurado no servidor de domínio NT com "cisco123" como a senha.

    vpn3k-ntpwexp-24.gif

  3. Se a autenticação estiver configurada corretamente, você deverá receber uma mensagem indicando "Authentication Successful" (Autenticação bem-sucedida).

    vpn3k-ntpwexp-25.gif

    Se você receber uma mensagem diferente da mostrada acima, há algum problema de configuração ou conexão. Repita as etapas de configuração e teste descritas neste documento para garantir que todas as configurações foram feitas corretamente. Verifique também a conectividade IP entre seus dispositivos.

Autenticação do domínio NT real utilizando o proxy RADIUS para testar o recurso de expiração de senha

  1. Se o usuário já estiver definido no servidor de domínio, modifique as propriedades para que o usuário seja solicitado a alterar a senha no próximo logon. Vá para a guia "Conta" da caixa de diálogo de propriedades do usuário, selecione a opção para Usuário deve alterar a senha no próximo logon e clique em OK.

    vpn3k-ntpwexp-26.gif

  2. Inicie o cliente VPN e tente estabelecer o túnel para o concentrador.

    vpn3k-ntpwexp-27.gif

  3. Durante a autenticação do usuário, você deve ser solicitado a alterar a senha.

    vpn3k-ntpwexp-28.gif

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
19-Jan-2006
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco