このドキュメントでは、外部認証を使用する Cisco VPN 5000 コンセントレータを RADIUS を使用する Microsoft Windows 2000 Internet Authentication Server(IAS)に設定する手順について説明します。
注:Challenge Handshake Authentication Protocol(CHAP)は機能しません。パスワード認証プロトコル(PAP)のみを使用します。詳細は、Cisco Bug ID CSCdt96941(登録ユーザ専用)を参照してください。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。
Cisco VPN 5000 コンセントレータ ソフトウェア バージョン 6.0.16.0001
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
VPN5001_4B9CBA80 |
---|
VPN5001_4B9CBA80> show config Enter Password: Edited Configuration not Present, using Running [ General ] EthernetAddress = 00:02:4b:9c:ba:80 DeviceType = VPN 5001 Concentrator ConfiguredOn = Timeserver not configured ConfiguredFrom = Command Line, from Console EnablePassword = Password = [ IP Ethernet 0 ] Mode = Routed SubnetMask = 255.255.255.0 IPAddress = 172.18.124.223 [ IP Ethernet 1 ] Mode = Off [ IKE Policy ] Protection = MD5_DES_G1 [ VPN Group "rtp-group" ] BindTo = "ethernet0" Transform = esp(md5,des) LocalIPNet = 10.1.1.0/24 MaxConnections = 10 IPNet = 0.0.0.0/0 [ RADIUS ] BindTo = "ethernet0" ChallengeType = PAP PAPAuthSecret = "pappassword" PrimAddress = "172.18.124.108" Secret = "radiuspassword" UseChap16 = Off Authentication = On [ Logging ] Level = 7 Enabled = On Configuration size is 1065 out of 65500 bytes. VPN5001_4B9CBA80# |
次の手順では、Microsoft Windows 2000 IAS RADIUSサーバの簡単な設定について説明します。
Microsoft Windows 2000 IAS propertiesの下でClientsを選択し、新しいクライアントを作成します。
この例では、VPN5000という名前のエントリが作成されます。Cisco VPN 5000コンセントレータのIPアドレスは172.18.124.223です。Client-Vendorドロップダウンボックスで、Ciscoを選択します。共有秘密は、VPNコンセントレータ設定の[ RADIUS ]セクションの秘密です。
リモートアクセスポリシーのプロパティで、[If a user matches the conditions]セクションの下の[Grant remote access permission]を選択し、[Edit Profile]をクリックします。
Authenticationタブをクリックし、Unencrypted Authentication (PAP, SPAP)のみが選択されていることを確認します。
Advancedタブを選択し、Addをクリックして、Vendor-Specificを選択します。
Vendor-Specific属性のMultivalued Attribute Informationダイアログボックスで、AddをクリックしてVendor-Specific Attribute Informationダイアログボックスに移動します。Enter Vendor Codeを選択し、横のボックスに255と入力します。次に、Yesを選択します。適合し、Configure Attributeをクリックします。
Configure VSA (RFC compliant)ダイアログボックスで、Vendor-assigned attribute numberに4、Attribute formatにString、Attribute valueにrtp-group(Cisco VPN 5000コンセントレータのVPNグループの名前)と入力します。OKをクリックして、ステップ5を繰り返します。
Configure VSA (RFC compliant)ダイアログボックスで、Vendor-assigned attribute numberに4、Attribute formatにString、Attribute valueにcisco123(クライアント共有秘密)を入力します。[OK] をクリックします。
Vendor-Specific属性に2つの値(グループとVPNパスワード)が含まれていることがわかります。
ユーザのプロパティでDial-inタブをクリックし、Control access through Remote Access Policyが選択されていることを確認します。
このセクションでは、設定が正しく動作していることを確認するために使用できる情報を提供しています。
特定の show コマンドは、Output Interpreter Tool(登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。
show radius statistics:VPNコンセントレータと、RADIUSセクションで識別されるデフォルトのRADIUSサーバとの間の通信に関するパケット統計情報を表示します。
show radius config:RADIUSパラメータの現在の設定を表示します。
show radius statisticsコマンドの出力を次に示します。
VPN5001_4B9CBA80>show radius statistics RADIUS Stats Accounting Primary Secondary Requests 0 na Responses 0 na Retransmissions 0 na Bad Authenticators 0 na Malformed Responses 0 na Packets Dropped 0 na Pending Requests 0 na Timeouts 0 na Unknown Types 0 na Authentication Primary Secondary Requests 3 na Accepts 3 na Rejects 0 na Challenges 0 na Retransmissions 0 na Bad Authenticators 0 na Malformed Responses 0 na Packets Dropped 0 na Pending Requests 0 na Timeouts 0 na Unknown Types 0 na VPN5001_4B9CBA80>
show radius configコマンドの出力を次に示します。
RADIUS State UDP CHAP16 Authentication On 1812 No Accounting Off 1813 n/a Secret 'radiuspassword' Server IP address Attempts AcctSecret Primary 172.18.124.108 5 n/a Secondary Off
この手順では、VPN Clientの設定について説明します。
VPN Clientダイアログボックスで、Configurationタブを選択します。次に、VPN Client-Prompt for Secretダイアログボックスで、VPN Serverの下に共有秘密を入力します。VPN Client shared secretは、VPNコンセントレータで属性5のVPNパスワードとして入力される値です。
共有秘密を入力すると、パスワードと認証秘密の入力を求められます。パスワードはそのユーザのRADIUSパスワードで、認証シークレットはVPNコンセントレータの[ RADIUS ]セクションのPAP認証シークレットです。
Notice 4080.11 seconds New IKE connection: [172.18.124.108]:1195:omar Debug 4080.15 seconds Sending RADIUS PAP challenge to omar at 172.18.124.108 Debug 4087.52 seconds Received RADIUS PAP response from omar at 172.18.124.108, contacting server Notice 4088.8 seconds VPN 0:3 opened for omar from 172.18.124.108. Debug 4088.8 seconds Client's local broadcast address = 172.18.124.255 Notice 4088.8 seconds User assigned IP address 10.1.1.1 Info 4094.49 seconds Command loop started from 10.1.1.1 on PTY2
現在、この設定に関する特定のトラブルシューティング情報はありません。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
07-Dec-2001 |
初版 |