在VPN 3000集中器上的Cisco VPN客户端用户和组属性处理

下载选项

  • PDF     (341.3 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (83.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (67.5 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2008 年 1 月 14 日
文档 ID:14115

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何在VPN集中器上对Cisco VPN客户端进行身份验证,以及Cisco VPN 3000集中器如何使用用户和组属性。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco VPN 3000集中器。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文件规则的更多信息请参见“ Cisco技术提示规则”。

VPN客户端连接到VPN 3000集中器

当VPN客户端连接到VPN 3000集中器时,最多可以进行四个身份验证。

  1. 组已进行身份验证。(这通常称为“隧道组”。)

  2. 用户通过身份验证。

  3. (可选)如果用户是另一个组的一部分,则此组随后进行身份验证。如果用户不属于另一个组或隧道组,则用户默认为基本组且不会执行此步骤。

  4. 再次对步骤1中的“隧道组”进行身份验证。(这会在使用“组锁定”功能时完成。此功能在版本2.1或更高版本中可用。)

这是您在通过内部数据库进行身份验证的VPN客户端的事件日志中看到的事件示例(“testuser”是组“Engineering”的一部分)。 

1 12/09/1999 11:03:46.470 SEV=6 AUTH/4 RPT=6491 80.50.0.4
Authentication successful: handle = 642, server = Internal, user = Tunnel_Group
2 12/09/1999 11:03:52.100 SEV=6 AUTH/4 RPT=6492 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = testuser
3 12/09/1999 11:03:52.200 SEV=6 AUTH/4 RPT=6493 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Engineering
4 12/09/1999 11:03:52.310 SEV=6 AUTH/4 RPT=6494 80.50.0.4
Authentication successful: handle = 643, server = Internal, user = Tunnel_Group

注意:要查看这些事件,必须在Configuration > System > Events > Classes中将身份验证事件类配置为严重性为1-6。

组锁定功能 — 如果在Group - Tunnel_Group上启用组锁定功能,则用户必须是Tunnel_Group的一部分才能连接。在上一个示例中,您看到所有相同的事件,但“testuser”未连接,因为它们是Group - Engineering的一部分,而不是Group - Tunnel_Group的一部分。您还会看到此事件: 

5 12/09/1999 11:35:08.760 SEV=4 IKE/60 RPT=1 80.50.0.4
User [ testuser ]
User (testuser) not member of group (Tunnel_Group), authentication failed.

有关组锁定功能和示例配置的其他信息,请参阅使用RADIUS服务器将用户锁定到VPN 3000集中器组

通过RADIUS在外部对组和用户进行身份验证

VPN 3000集中器还可以配置为通过RADIUS服务器在外部对用户和组进行身份验证。这仍然需要在VPN集中器上配置组的名称,但组类型配置为“外部”。

  • 如果RADIUS服务器支持供应商特定属性(VSA),则外部组可以返回思科/Altiga属性。

  • RADIUS未返回的任何Cisco/Altiga属性默认为基本组中的值。

  • 如果RADIUS服务器不支持VSA,则ALL属性默认为基本组属性。

注意:RADIUS服务器处理组名称与用户名没有区别。RADIUS服务器上的组就像标准用户一样配置。

以下步骤概述当用户和组都在外部进行身份验证时IPSec客户端连接到VPN 3000集中器会发生什么情况。与内部情况类似,最多可以进行四个身份验证。

  1. 组通过RADIUS进行身份验证。RADIUS服务器可以返回该组的许多属性,或者根本不返回任何属性。RADIUS服务器至少需要返回Cisco/Altiga属性“IPSec Authentication = RADIUS”,以告知VPN集中器如何对用户进行身份验证。否则,需要将基本组的IPSec身份验证方法设置为“RADIUS”。

  2. 用户通过RADIUS进行身份验证。RADIUS服务器可以为用户返回许多属性,或者根本不返回任何属性。如果RADIUS服务器返回属性CLASS(标准RADIUS属性#25),则VPN 3000集中器会将该属性用作组名称并移至步骤3,否则它会转至步骤4。

  3. 接下来通过RADIUS对用户组进行身份验证。RADIUS服务器可以返回该组的许多属性,或者根本不返回任何属性。

  4. 第1步中的“隧道组”通过RADIUS再次进行身份验证。身份验证子系统必须再次对隧道组进行身份验证,因为它尚未存储步骤1中身份验证的属性(如果有)。这会在使用“组锁定”功能时完成。

VPN 3000 集中器如何使用用户和组属性

在VPN 3000集中器对用户和组进行身份验证后,它必须组织已接收的属性。VPN集中器按此优先顺序使用属性。无论身份验证是在内部还是外部执行,都无关紧要:

  1. 用户属性 — 这些属性优先于所有其他属性。

  2. Group attributes — 用户属性中缺少的任何属性都由Group属性填充。任何相同内容都被“用户”属性覆盖。

  3. Tunnel Group attributes — 用户或组属性中缺少的任何属性都由Tunnel Group属性填充。任何相同内容都被“用户”属性覆盖。

  4. 基本组属性 — 用户、组或隧道组属性中缺少的任何属性都由基本组属性填充。

相关信息

修订历史记录

版本 发布日期 备注
1.0
11-Dec-2001
初始版本

此文档是否有帮助?

Feedback反馈

联系我们