In diesem Dokument werden die Verfahren zur Konfiguration eines Cisco VPN 5000 Concentrator mit externer Authentifizierung für einen Microsoft Windows 2000 Internet Authentication Server (IAS) mit RADIUS beschrieben.
Hinweis: CHAP (Challenge Handshake Authentication Protocol) funktioniert nicht. Verwenden Sie nur das Password Authentication Protocol (PAP). Weitere Informationen finden Sie unter der Cisco Bug-ID CSCdt96941 (nur für registrierte Kunden).
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basieren auf der folgenden Softwareversion:
Cisco VPN 5000 Concentrator Software-Version 6.0.16.0001
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
VPN 5001_4B9CBA80 |
---|
VPN5001_4B9CBA80> show config Enter Password: Edited Configuration not Present, using Running [ General ] EthernetAddress = 00:02:4b:9c:ba:80 DeviceType = VPN 5001 Concentrator ConfiguredOn = Timeserver not configured ConfiguredFrom = Command Line, from Console EnablePassword = Password = [ IP Ethernet 0 ] Mode = Routed SubnetMask = 255.255.255.0 IPAddress = 172.18.124.223 [ IP Ethernet 1 ] Mode = Off [ IKE Policy ] Protection = MD5_DES_G1 [ VPN Group "rtp-group" ] BindTo = "ethernet0" Transform = esp(md5,des) LocalIPNet = 10.1.1.0/24 MaxConnections = 10 IPNet = 0.0.0.0/0 [ RADIUS ] BindTo = "ethernet0" ChallengeType = PAP PAPAuthSecret = "pappassword" PrimAddress = "172.18.124.108" Secret = "radiuspassword" UseChap16 = Off Authentication = On [ Logging ] Level = 7 Enabled = On Configuration size is 1065 out of 65500 bytes. VPN5001_4B9CBA80# |
Diese Schritte führen Sie durch eine einfache Konfiguration eines Microsoft Windows 2000 IAS RADIUS-Servers.
Wählen Sie unter den IAS-Eigenschaften von Microsoft Windows 2000 die Option Clients aus, und erstellen Sie einen neuen Client.
In diesem Beispiel wird ein Eintrag mit dem Namen VPN5000 erstellt. Die IP-Adresse des Cisco VPN 5000 Concentrator lautet 172.18.124.223. Wählen Sie im Dropdown-Feld Client-Vendor die Option Cisco aus. Der gemeinsame geheime Schlüssel ist der Schlüssel im Abschnitt [ RADIUS ] der VPN Concentrator-Konfiguration.
Wählen Sie unter den Eigenschaften der RAS-Richtlinie im Abschnitt "Wenn ein Benutzer die Bedingungen erfüllt" die Option RAS-Berechtigung erteilen aus, und klicken Sie dann auf Profil bearbeiten.
Klicken Sie auf die Registerkarte Authentifizierung, und stellen Sie sicher, dass nur unverschlüsselte Authentifizierung (PAP, SPAP) ausgewählt ist.
Wählen Sie die Registerkarte Erweitert aus, klicken Sie auf Hinzufügen, und wählen Sie Herstellerspezifisch aus.
Klicken Sie im Dialogfeld Mehrwertige Attributinformationen für das anbieterspezifische Attribut auf Hinzufügen, um das Dialogfeld Herstellerspezifische Attributinformationen zu öffnen. Wählen Sie Anbietercode eingeben aus, und geben Sie 255 in das nebenstehende Feld ein. Wählen Sie anschließend Ja aus. Es entspricht und klicken Sie auf Attribut konfigurieren.
Geben Sie im Dialogfeld Configure VSA (RFC-konform) (VSA konfigurieren) 4 als vom Anbieter zugewiesene Attributnummer, String als Attributformat und rtp-group (Name der VPN-Gruppe im Cisco VPN 5000 Concentrator) als Attributwert ein. Klicken Sie auf OK, und wiederholen Sie Schritt 5.
Geben Sie im Dialogfeld VSA konfigurieren (RFC-konform) 4 als vom Anbieter zugewiesene Attributnummer, Zeichenfolge als Attributformat und cisco123 (der gemeinsame geheime Schlüssel des Clients) als Attributwert ein. Klicken Sie auf OK.
Das anbieterspezifische Attribut enthält zwei Werte (Gruppe und VPN-Kennwort).
Klicken Sie unter den Benutzereigenschaften auf die Registerkarte Einwählen, und stellen Sie sicher, dass Zugriffskontrolle über RAS-Richtlinie ausgewählt ist.
Dieser Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Einige Befehle des Typs show werden vom Tool Output Interpreter unterstützt (nur für registrierte Kunden), mit dem sich Analysen der Ausgabe von Befehlen des Typs show abrufen lassen.
show radius statistics (RADIUS-Statistiken anzeigen): Zeigt Paketstatistiken für die Kommunikation zwischen dem VPN Concentrator und dem RADIUS-Standardserver an, der durch den RADIUS-Abschnitt identifiziert wird.
show radius config (RADIUS-Konfiguration anzeigen): Zeigt die aktuellen Einstellungen für RADIUS-Parameter an.
Dies ist die Ausgabe des Befehls show radius statistics.
VPN5001_4B9CBA80>show radius statistics RADIUS Stats Accounting Primary Secondary Requests 0 na Responses 0 na Retransmissions 0 na Bad Authenticators 0 na Malformed Responses 0 na Packets Dropped 0 na Pending Requests 0 na Timeouts 0 na Unknown Types 0 na Authentication Primary Secondary Requests 3 na Accepts 3 na Rejects 0 na Challenges 0 na Retransmissions 0 na Bad Authenticators 0 na Malformed Responses 0 na Packets Dropped 0 na Pending Requests 0 na Timeouts 0 na Unknown Types 0 na VPN5001_4B9CBA80>
Dies ist die Ausgabe des Befehls show radius config.
RADIUS State UDP CHAP16 Authentication On 1812 No Accounting Off 1813 n/a Secret 'radiuspassword' Server IP address Attempts AcctSecret Primary 172.18.124.108 5 n/a Secondary Off
Dieses Verfahren führt Sie durch die Konfiguration des VPN-Clients.
Wählen Sie im Dialogfeld VPN Client die Registerkarte Configuration aus. Geben Sie anschließend im Dialogfeld VPN Client-Prompt for Secret (VPN-Clientaufforderung für geheimen Schlüssel) den gemeinsamen geheimen Schlüssel unter dem VPN-Server ein. Der gemeinsame geheime Schlüssel des VPN-Clients ist der Wert, der für das VPN-Kennwort des Attributs 5 im VPN-Konzentrator eingegeben wurde.
Nachdem Sie den gemeinsamen geheimen Schlüssel eingegeben haben, werden Sie zur Eingabe eines Kennworts und eines Authentifizierungsgeheimnisses aufgefordert. Das Kennwort ist Ihr RADIUS-Kennwort für diesen Benutzer, und der Authentifizierungsschlüssel ist der PAP-Authentifizierungsschlüssel im Abschnitt [ RADIUS ] des VPN Concentrator.
Notice 4080.11 seconds New IKE connection: [172.18.124.108]:1195:omar Debug 4080.15 seconds Sending RADIUS PAP challenge to omar at 172.18.124.108 Debug 4087.52 seconds Received RADIUS PAP response from omar at 172.18.124.108, contacting server Notice 4088.8 seconds VPN 0:3 opened for omar from 172.18.124.108. Debug 4088.8 seconds Client's local broadcast address = 172.18.124.255 Notice 4088.8 seconds User assigned IP address 10.1.1.1 Info 4094.49 seconds Command loop started from 10.1.1.1 on PTY2
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
07-Dec-2001 |
Erstveröffentlichung |