Konfigurieren eines Cisco VPN 5000 Concentrator mit externer Authentifizierung für einen Microsoft Windows 2000 IAS RADIUS-Server

Download-Optionen

PDF (589.7 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (496.3 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (517.8 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:2. Mai 2008

Dokument-ID:12491

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Konventionen

Cisco VPN 5000 Concentrator-Konfiguration

Konfigurieren des Microsoft Windows 2000 IAS RADIUS-Servers

Überprüfen des Ergebnisses

Konfigurieren des VPN-Clients

Konzentrator-Protokolle

Fehlerbehebung

Zugehörige Informationen

Einleitung

In diesem Dokument werden die Verfahren zur Konfiguration eines Cisco VPN 5000 Concentrator mit externer Authentifizierung für einen Microsoft Windows 2000 Internet Authentication Server (IAS) mit RADIUS beschrieben.

Hinweis: CHAP (Challenge Handshake Authentication Protocol) funktioniert nicht. Verwenden Sie nur das Password Authentication Protocol (PAP). Weitere Informationen finden Sie unter der Cisco Bug-ID CSCdt96941 (nur für registrierte Kunden).

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der folgenden Softwareversion:

Cisco VPN 5000 Concentrator Software-Version 6.0.16.0001

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Cisco VPN 5000 Concentrator-Konfiguration

VPN 5001_4B9CBA80
VPN5001_4B9CBA80> show config Enter Password: Edited Configuration not Present, using Running [ General ] EthernetAddress = 00:02:4b:9c:ba:80 DeviceType = VPN 5001 Concentrator ConfiguredOn = Timeserver not configured ConfiguredFrom = Command Line, from Console EnablePassword = Password = [ IP Ethernet 0 ] Mode = Routed SubnetMask = 255.255.255.0 IPAddress = 172.18.124.223 [ IP Ethernet 1 ] Mode = Off [ IKE Policy ] Protection = MD5_DES_G1 [ VPN Group "rtp-group" ] BindTo = "ethernet0" Transform = esp(md5,des) LocalIPNet = 10.1.1.0/24 MaxConnections = 10 IPNet = 0.0.0.0/0 [ RADIUS ] BindTo = "ethernet0" ChallengeType = PAP PAPAuthSecret = "pappassword" PrimAddress = "172.18.124.108" Secret = "radiuspassword" UseChap16 = Off Authentication = On [ Logging ] Level = 7 Enabled = On Configuration size is 1065 out of 65500 bytes. VPN5001_4B9CBA80#

VPN 5001_4B9CBA80

VPN5001_4B9CBA80> show config
Enter Password:

Edited Configuration not Present, using Running

[ General ]
EthernetAddress          = 00:02:4b:9c:ba:80
DeviceType               = VPN 5001 Concentrator
ConfiguredOn             = Timeserver not configured
ConfiguredFrom           = Command Line, from Console
EnablePassword           =
Password                 =
 
[ IP Ethernet 0 ]
Mode                     = Routed
SubnetMask               = 255.255.255.0
IPAddress                = 172.18.124.223
 
[ IP Ethernet 1 ]
Mode                     = Off
 
[ IKE Policy ]
Protection               = MD5_DES_G1

[ VPN Group "rtp-group" ]
BindTo                   = "ethernet0"
Transform                = esp(md5,des)
LocalIPNet               = 10.1.1.0/24
MaxConnections           = 10
IPNet                    = 0.0.0.0/0
 
[ RADIUS ]
BindTo                   = "ethernet0"
ChallengeType            = PAP
PAPAuthSecret            = "pappassword"
PrimAddress              = "172.18.124.108"
Secret                   = "radiuspassword"
UseChap16                = Off
Authentication           = On

[ Logging ]
Level                    = 7
Enabled                  = On
 
Configuration size is 1065 out of 65500 bytes.
VPN5001_4B9CBA80#

Konfigurieren des Microsoft Windows 2000 IAS RADIUS-Servers

Diese Schritte führen Sie durch eine einfache Konfiguration eines Microsoft Windows 2000 IAS RADIUS-Servers.

Wählen Sie unter den IAS-Eigenschaften von Microsoft Windows 2000 die Option Clients aus, und erstellen Sie einen neuen Client.

In diesem Beispiel wird ein Eintrag mit dem Namen VPN5000 erstellt. Die IP-Adresse des Cisco VPN 5000 Concentrator lautet 172.18.124.223. Wählen Sie im Dropdown-Feld Client-Vendor die Option Cisco aus. Der gemeinsame geheime Schlüssel ist der Schlüssel im Abschnitt [ RADIUS ] der VPN Concentrator-Konfiguration.
Wählen Sie unter den Eigenschaften der RAS-Richtlinie im Abschnitt "Wenn ein Benutzer die Bedingungen erfüllt" die Option RAS-Berechtigung erteilen aus, und klicken Sie dann auf Profil bearbeiten.
Klicken Sie auf die Registerkarte Authentifizierung, und stellen Sie sicher, dass nur unverschlüsselte Authentifizierung (PAP, SPAP) ausgewählt ist.
Wählen Sie die Registerkarte Erweitert aus, klicken Sie auf Hinzufügen, und wählen Sie Herstellerspezifisch aus.
Klicken Sie im Dialogfeld Mehrwertige Attributinformationen für das anbieterspezifische Attribut auf Hinzufügen, um das Dialogfeld Herstellerspezifische Attributinformationen zu öffnen. Wählen Sie Anbietercode eingeben aus, und geben Sie 255 in das nebenstehende Feld ein. Wählen Sie anschließend Ja aus. Es entspricht und klicken Sie auf Attribut konfigurieren.
Geben Sie im Dialogfeld Configure VSA (RFC-konform) (VSA konfigurieren) 4 als vom Anbieter zugewiesene Attributnummer, String als Attributformat und rtp-group (Name der VPN-Gruppe im Cisco VPN 5000 Concentrator) als Attributwert ein. Klicken Sie auf OK, und wiederholen Sie Schritt 5.
Geben Sie im Dialogfeld VSA konfigurieren (RFC-konform) 4 als vom Anbieter zugewiesene Attributnummer, Zeichenfolge als Attributformat und cisco123 (der gemeinsame geheime Schlüssel des Clients) als Attributwert ein. Klicken Sie auf OK.
Das anbieterspezifische Attribut enthält zwei Werte (Gruppe und VPN-Kennwort).
Klicken Sie unter den Benutzereigenschaften auf die Registerkarte Einwählen, und stellen Sie sicher, dass Zugriffskontrolle über RAS-Richtlinie ausgewählt ist.

Überprüfen des Ergebnisses

Dieser Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Einige Befehle des Typs show werden vom Tool Output Interpreter unterstützt (nur für registrierte Kunden), mit dem sich Analysen der Ausgabe von Befehlen des Typs show abrufen lassen.

show radius statistics (RADIUS-Statistiken anzeigen): Zeigt Paketstatistiken für die Kommunikation zwischen dem VPN Concentrator und dem RADIUS-Standardserver an, der durch den RADIUS-Abschnitt identifiziert wird.
show radius config (RADIUS-Konfiguration anzeigen): Zeigt die aktuellen Einstellungen für RADIUS-Parameter an.

Dies ist die Ausgabe des Befehls show radius statistics.

VPN5001_4B9CBA80>show radius statistics

RADIUS Stats

Accounting            Primary       Secondary
Requests                 0             na
Responses                0             na
Retransmissions          0             na
Bad Authenticators       0             na
Malformed Responses      0             na
Packets Dropped          0             na
Pending Requests         0             na
Timeouts                 0             na
Unknown Types            0             na


Authentication        Primary       Secondary
Requests                 3             na
Accepts                  3             na
Rejects                  0             na
Challenges               0             na
Retransmissions          0             na
Bad Authenticators       0             na
Malformed Responses      0             na
Packets Dropped          0             na
Pending Requests         0             na
Timeouts                 0             na
Unknown Types            0             na

 

VPN5001_4B9CBA80>

Dies ist die Ausgabe des Befehls show radius config.

RADIUS           State    UDP  CHAP16
Authentication   On      1812  No
Accounting       Off     1813  n/a
Secret           'radiuspassword'

Server     IP address      Attempts  AcctSecret
Primary    172.18.124.108         5  n/a
Secondary  Off

Konfigurieren des VPN-Clients

Dieses Verfahren führt Sie durch die Konfiguration des VPN-Clients.

Wählen Sie im Dialogfeld VPN Client die Registerkarte Configuration aus. Geben Sie anschließend im Dialogfeld VPN Client-Prompt for Secret (VPN-Clientaufforderung für geheimen Schlüssel) den gemeinsamen geheimen Schlüssel unter dem VPN-Server ein. Der gemeinsame geheime Schlüssel des VPN-Clients ist der Wert, der für das VPN-Kennwort des Attributs 5 im VPN-Konzentrator eingegeben wurde.
Nachdem Sie den gemeinsamen geheimen Schlüssel eingegeben haben, werden Sie zur Eingabe eines Kennworts und eines Authentifizierungsgeheimnisses aufgefordert. Das Kennwort ist Ihr RADIUS-Kennwort für diesen Benutzer, und der Authentifizierungsschlüssel ist der PAP-Authentifizierungsschlüssel im Abschnitt [ RADIUS ] des VPN Concentrator.

Konzentrator-Protokolle

Notice   4080.11 seconds New IKE connection: [172.18.124.108]:1195:omar
Debug    4080.15 seconds Sending RADIUS PAP challenge to omar at 172.18.124.108
Debug    4087.52 seconds Received RADIUS PAP response from omar at 172.18.124.108, contacting server
Notice   4088.8 seconds VPN 0:3 opened for omar from 172.18.124.108.
Debug    4088.8 seconds Client's local broadcast address = 172.18.124.255
Notice   4088.8 seconds User assigned IP address 10.1.1.1
Info     4094.49 seconds Command loop started from 10.1.1.1 on PTY2

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	07-Dec-2001	Erstveröffentlichung

War dieses Dokument hilfreich?

Feedback

Cisco kontaktieren

Eine Supportanfrage öffnen
(Erfordert einen Cisco Servicevertrag)