Guide d'authentification et de connexion à distance à l'aide des routeurs Active Directory et RV34x

Options de téléchargement

  • PDF     (572.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (744.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.4 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:18 mai 2020
ID du document:1589840093423196

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Objectif

Cet article explique comment configurer l'authentification à distance à l'aide de Windows Active Directory (AD) sur les routeurs de la gamme Cisco RV34x. En outre, des informations seront fournies pour éviter une erreur de connexion potentielle.

Introduction

Lorsque vous configurez les paramètres d'authentification de service sur le routeur RV34x, vous devez sélectionner une méthode d'authentification externe.

Par défaut, la priorité de base de données externe sur le routeur de la gamme RV34x est RADIUS/LDAP/AD/Local. Si vous ajoutez le serveur RADIUS sur le routeur, le service de connexion Web et d'autres services utiliseront la base de données externe RADIUS pour authentifier l'utilisateur. Il n'existe aucune option permettant d'activer une base de données externe pour le service de connexion Web seul et de configurer une autre base de données pour un autre service. Une fois RADIUS créé et activé sur le routeur, le routeur utilise le service RADIUS comme base de données externe pour la connexion Web, le VPN site à site, le VPN EzVPN/tiers, le VPN SSL, le VPN PPTP/L2TP et 802.1x.

Si vous utilisez Windows, Microsoft fournit un service AD interne. AD stocke toutes les informations essentielles pour le réseau, y compris les utilisateurs, les périphériques et les politiques. Les administrateurs utilisent AD en tant qu'emplacement unique pour créer et gérer le réseau. Il facilite l'utilisation de ressources réseau interconnectées, complexes et différentes de manière unifiée.

Une fois configuré, toute personne autorisée peut s'authentifier à l'aide de l'option AD externe (présente dans le système d'exploitation Windows Server) pour utiliser n'importe quel service spécifique sur le routeur RV34x. Les utilisateurs autorisés peuvent utiliser les fonctionnalités fournies, à condition qu'ils disposent du matériel et du logiciel nécessaires pour utiliser ce type d'authentification.

Périphériques pertinents | Version du logiciel

  • RV340 |1.0.03.16
  • RV340W |1.0.03.16
  • RV345 |1.0.03.16
  • RV345P |1.0.03.16

Table des matières

Identifier la valeur du nom distinctif

Accédez à l'interface de gestion Utilisateurs et ordinateurs Active Directory sur le serveur Windows 2016. Sélectionnez le dossier du conteneur Utilisateurs, cliquez avec le bouton droit de la souris et ouvrez Propriétés. Prenez note de la valeur DistinguishedName qui sera utilisée ultérieurement dans le champ User Container Path du routeur RV34x.

Access the Active Directory Users and Computers management interface on the Windows 2016 server. Select the Users container folder, right-click the mouse and open Properties. Take note of the DistinguishedName value that will be used later in RV34x router User Container Path field.

Créer un groupe d'utilisateurs pour Active Directory

Étape 1

Connectez-vous au routeur de la gamme RV34x. Accédez à Configuration système > Groupes d'utilisateurs.

Log into the RV34x series router. Navigate to System Configuration > User Groups.

Étape 2

Cliquez sur l'icône plus.

Click on the plus icon.

Étape 3

Entrez un nom de groupe. Cliquez sur Apply.

Enter a Group Name. Click Apply.

Dans cet exemple, un groupe d'utilisateurs RemoteAdmin a été créé.

Étape 4

Cochez la case en regard du nouveau groupe d'utilisateurs. Cliquez sur l'icône de modification.

Click the checkbox next to the new User Group. Click the edit icon.

Étape 5

Faites défiler la page vers le bas jusqu'à Services. Cliquez sur la case d'option Administrateur.

Scroll down the page to Services. Click the Administrator radio button.

Étape 6

Cliquez sur Apply.

Click Apply.

Étape 7

Le nouveau groupe d'utilisateurs s'affiche avec les privilèges d'administrateur.

You will now see the new User Group showing with Admin privileges.

Ajouter des détails Active Directory sur le routeur RV34x

Étape 1

Accédez à Configuration système > Comptes d'utilisateurs. Sélectionnez l'option AD et cliquez sur l'icône de modification pour ajouter les détails du serveur AD.

Navigate to System Configuration > User Accounts. Select the AD option and click the edit icon to add the details for the AD server.

Étape 2

Entrez les détails AD Domain Name, Primary Server, Port et User Container Path. Cliquez sur Apply.

Enter the AD Domain Name, Primary Server, Port and User Container Path details. Click Apply.

Note: Vous devez entrer les détails du chemin du conteneur utilisateur capturés à partir du serveur Windows dans la section Identifier la valeur du nom distinctif de cet article.

Dans cet exemple, les détails sont Cn=user, dc=sbcslab, dc=local. Le port d'écoute par défaut du serveur LDAP (Lightweight Directory Access Protocol) est 389.

Étape 3

Dans l'AD, vérifiez que le groupe d'utilisateurs est configuré et qu'il correspond au nom du groupe d'utilisateurs du routeur.

In the AD, verify that the User Group is configured, and it matches router’s User Group name.

Étape 4

Sous New Object - User, entrez First name, Initials and Last name, le Full name sera automatiquement renseigné, indiquant un espace entre le prénom et le nom.

L'espace entre le prénom et le nom dans la zone Nom complet doit être supprimé ou il ne se connectera pas correctement.

Cette image montre l'espace dans le nom complet qui doit être supprimé :

This image shows the space in the Full name that must be deleted:

Étape 5

Répétez les étapes pour créer un autre utilisateur. Une fois de plus, vous devez modifier le champ Nom complet en supprimant les espaces créés automatiquement. Cliquez sur Suivant pour configurer le mot de passe et terminer la création de l'utilisateur.

Cette image montre que l'espace du nom complet a été supprimé. Voici la bonne façon d'ajouter l'utilisateur :

This image shows that the space in the Full name was deleted. This is the correct way to add the user:

Étape 6

La liste Utilisateurs affiche les deux détails des utilisateurs nouvellement ajoutés.

The Users list will show both of the newly added user details.

Étape 7

Vous remarquerez que l'ad admin1 affiche un espace entre le prénom et le nom de famille, si ce n'est pas corrigé, la connexion échouera. Cette erreur est laissée à des fins de démonstration, ne laissez pas l'espace là! L'exemple admin2 est correct.

Pour afficher, cliquez avec le bouton droit de la souris sur le nom d'utilisateur admin 1 de l'annonce et sélectionnez l'option Propriétés. Ensuite, accédez à l'onglet Objet pour afficher le nom canonique des détails de l'objet.

You will notice that the ad admin1 shows a space between the first and last name, if this is not fixed, login will fail. This error is being left in for demonstration purposes, do not leave the space there! The adadmin2 example is correct. Note: To view, right-click on the ad admin 1 username and select the Properties option. Then navigate to the Object tab to see the Canonical name of Object details.

Vous pouvez également vérifier les détails Domain Users et RemoteAdmin pour ces noms d'utilisateur en accédant à l'onglet Member Of sous l'option Properties.

Also, you can verify the Domain Users and RemoteAdmin details for those usernames by navigating to the Member Of tab under the Properties option.

Accédez à l'onglet Éditeur d'attributs pour vérifier les valeurs DistinguishedName pour ces noms d'utilisateur.

Navigate to Attribute Editor tab to verify the DistinguishedName values for those usernames.

Étape 8

Connectez-vous avec le nom de connexion de l'utilisateur, dans ce cas, admin2, vous verrez que la connexion a réussi.

Étape 9

Vous pouvez voir les détails de la capture de paquets comme indiqué dans la capture d'écran suivante.

You can see the details on the packet capture as shown on the following screenshot.

Que se passe-t-il si vous ne retirez pas l'espace du champ de nom complet ?

Si vous essayez d'utiliser le nom de connexion utilisateur, dans ce cas admin, vous verrez que la connexion échoue car le serveur LDAP (Lightweight Directory Access Protocol) ne peut pas renvoyer d'objet car Full name, dans ce cas, ad admin1, a un espace. Vous pourrez voir ces détails lors de la capture des paquets, comme indiqué sur la capture d'écran suivante.

If you try using the User logon name, in this case adadmin, you will see that login fails as Lightweight Directory Access Protocol (LDAP) server cannot return object because Full name, in this case ad admin1, has a space. You will be able to see that details upon capturing the packets as shown on the following screenshot.

Conclusion

Vous avez maintenant réussi et évité une connexion échouée pour l'authentification à distance via Active Directory sur le routeur RV34x.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco