Processamento de atributos do grupo e do usuário do Cisco VPN Client no VPN 3000 Concentrator

Opções de download

  • PDF     (255.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (90.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (76.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:14 de janeiro de 2008
ID do documento:14115

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como os Cisco VPN Clients são autenticados no VPN Concentrator e como o Cisco VPN 3000 Concentrator usa os atributos User e Group.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco VPN 3000 Concentrator.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

O cliente VPN se conecta a um concentrador VPN 3000

Quando um VPN Client se conecta a um VPN 3000 Concentrator, até quatro autenticações podem ocorrer.

  1. O grupo é autenticado. (Geralmente, esse grupo é chamado de "grupo de túneis".)

  2. O usuário é autenticado.

  3. (Opcional) Se o usuário fizer parte de outro grupo, este grupo será autenticado em seguida. Se o usuário não pertencer a outro Grupo ou ao Grupo de Túneis, o padrão do usuário será o Grupo Base e essa etapa NÃO ocorrerá.

  4. O "Grupo de Túneis" da Etapa 1 é autenticado novamente. (Isso é feito caso o recurso "Bloqueio de grupo" seja usado. Este recurso está disponível na versão 2.1 ou posterior.)

Este é um exemplo dos eventos que você vê no registro de eventos de um cliente VPN autenticado através do banco de dados interno ( "testuser" faz parte do grupo "Engineering"). 

1 12/09/1999 11:03:46.470 SEV=6 AUTH/4 RPT=6491 80.50.0.4
Authentication successful: handle = 642, server = Internal, user = Tunnel_Group
2 12/09/1999 11:03:52.100 SEV=6 AUTH/4 RPT=6492 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = testuser
3 12/09/1999 11:03:52.200 SEV=6 AUTH/4 RPT=6493 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Engineering
4 12/09/1999 11:03:52.310 SEV=6 AUTH/4 RPT=6494 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Tunnel_Group

Observação: para ver esses Eventos, você deve configurar a Classe de Evento Auth com severidade de 1 a 6 em Configuration > System > Events > Classes.

Recurso Bloqueio de Grupo - Se o recurso Bloqueio de Grupo estiver ativado no Grupo - Tunnel_Group, o Usuário deverá fazer parte de Tunnel_Group para se conectar. No exemplo anterior, você vê todos os mesmos Eventos, mas "testuser" não se conecta porque eles fazem parte do Grupo - Engenharia e não fazem parte do Grupo - Tunnel_Group. Você também verá este evento: 

5 12/09/1999 11:35:08.760 SEV=4 IKE/60 RPT=1 80.50.0.4
User [ testuser ]
User (testuser) not member of group (Tunnel_Group), authentication failed.

Para obter informações adicionais sobre o recurso Group Lock e um exemplo de configuração, consulte Locking Users into a VPN 3000 Concentrator Group Using a RADIUS Server.

Autenticar grupos e usuários externamente através do RADIUS

O VPN 3000 Concentrator também pode ser configurado para autenticar usuários e grupos externamente através de um servidor RADIUS. Isso ainda exige que os nomes dos grupos sejam configurados no VPN Concentrator, mas o Tipo de grupo é configurado como "Externo".

  • Os grupos externos poderão retornar atributos Cisco/Altiga se o servidor RADIUS suportar VSAs (Vendor Specific Attributes, Atributos específicos do fornecedor).

  • Quaisquer atributos Cisco/Altiga NÃO retornados pelo padrão RADIUS para os valores no grupo base.

  • Se o servidor RADIUS NÃO suportar VSAs, TODOS os atributos assumirão como padrão os atributos do grupo base.

Observação: um servidor RADIUS trata os nomes de grupo da mesma forma que os nomes de usuário. Um grupo em um servidor RADIUS é configurado como um usuário padrão.

Estas etapas descrevem o que acontece quando um cliente IPSec se conecta ao VPN 3000 Concentrator se ambos os usuários e grupos são autenticados externamente. Semelhante ao caso interno, até quatro autenticações podem ocorrer.

  1. O grupo é autenticado via RADIUS. O servidor RADIUS pode retornar muitos atributos para o grupo ou nenhum. No mínimo, o servidor RADIUS precisa retornar o atributo "IPSec Authentication = RADIUS" da Cisco/Altiga para informar ao VPN Concentrator como autenticar o usuário. Caso contrário, o método de autenticação IPSec do grupo base precisa ser definido como "RADIUS".

  2. O usuário é autenticado via RADIUS. O servidor RADIUS pode retornar muitos atributos para o usuário ou nenhum. Se o servidor RADIUS retornar o atributo CLASS (#25 de atributo RADIUS padrão), o VPN 3000 Concentrator usará esse atributo como um nome de Grupo e irá para a Etapa 3, caso contrário, irá para a Etapa 4.

  3. O grupo do usuário é autenticado em seguida via RADIUS. O servidor RADIUS pode retornar muitos atributos para o grupo ou nenhum.

  4. O "Grupo de Túneis" da Etapa 1 é autenticado novamente via RADIUS. O subsistema de autenticação deve autenticar novamente o grupo de túneis porque não armazenou os atributos (se houver) da autenticação na etapa 1. Isso é feito caso o recurso "Bloqueio de grupo" seja usado.

Como o VPN 3000 Concentrator utiliza os atributos de usuário e de grupo

Depois que o VPN 3000 Concentrator tiver autenticado o usuário e o(s) grupo(s), ele deverá organizar os atributos que recebeu. O VPN Concentrator usa os atributos nesta ordem de preferência. Não importa se a autenticação foi feita interna ou externamente:

  1. Atributos do usuário — Têm precedência sobre todos os outros.

  2. Atributos do grupo — Quaisquer atributos ausentes nos atributos do usuário são preenchidos pelos atributos do grupo. Todos os que forem iguais serão substituídos pelos atributos do usuário.

  3. Atributos do grupo de túneis — Quaisquer atributos ausentes dos atributos do usuário ou do grupo são preenchidos pelos atributos do grupo de túneis. Todos os que forem iguais serão substituídos pelos atributos do usuário.

  4. Atributos do grupo base — Quaisquer atributos ausentes dos atributos do usuário, grupo ou grupo de túneis são preenchidos pelos atributos do grupo base.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
11-Dec-2001
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco