外部認証を使用する Cisco VPN 5000 コンセントレータを Microsoft Windows 2000 IAS RADIUS サーバに設定する方法

ダウンロード オプション

  • PDF     (719.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (490.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (513.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2008 年 5 月 2 日
Document ID:12491

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、外部認証を使用する Cisco VPN 5000 コンセントレータを RADIUS を使用する Microsoft Windows 2000 Internet Authentication Server(IAS)に設定する手順について説明します。

注:Challenge Handshake Authentication Protocol(CHAP)は機能しません。パスワード認証プロトコル(PAP)のみを使用します。詳細は、Cisco Bug ID CSCdt96941(登録ユーザ専用)を参照してください。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。

  • Cisco VPN 5000 コンセントレータ ソフトウェア バージョン 6.0.16.0001

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

Cisco VPN 5000 Concentrator 設定

VPN5001_4B9CBA80 
VPN5001_4B9CBA80> show config
Enter Password:

Edited Configuration not Present, using Running

[ General ]
EthernetAddress          = 00:02:4b:9c:ba:80
DeviceType               = VPN 5001 Concentrator
ConfiguredOn             = Timeserver not configured
ConfiguredFrom           = Command Line, from Console
EnablePassword           =
Password                 =
 
[ IP Ethernet 0 ]
Mode                     = Routed
SubnetMask               = 255.255.255.0
IPAddress                = 172.18.124.223
 
[ IP Ethernet 1 ]
Mode                     = Off
 
[ IKE Policy ]
Protection               = MD5_DES_G1

[ VPN Group "rtp-group" ]
BindTo                   = "ethernet0"
Transform                = esp(md5,des)
LocalIPNet               = 10.1.1.0/24
MaxConnections           = 10
IPNet                    = 0.0.0.0/0
 
[ RADIUS ]
BindTo                   = "ethernet0"
ChallengeType            = PAP
PAPAuthSecret            = "pappassword"
PrimAddress              = "172.18.124.108"
Secret                   = "radiuspassword"
UseChap16                = Off
Authentication           = On

[ Logging ]
Level                    = 7
Enabled                  = On
 
Configuration size is 1065 out of 65500 bytes.
VPN5001_4B9CBA80#

Microsoft Windows 2000 IAS RADIUSサーバの設定

次の手順では、Microsoft Windows 2000 IAS RADIUSサーバの簡単な設定について説明します。

  1. Microsoft Windows 2000 IAS propertiesの下でClientsを選択し、新しいクライアントを作成します。

    この例では、VPN5000という名前のエントリが作成されます。Cisco VPN 5000コンセントレータのIPアドレスは172.18.124.223です。Client-Vendorドロップダウンボックスで、Ciscoを選択します。共有秘密は、VPNコンセントレータ設定の[ RADIUS ]セクションの秘密です。

    vpn5k-msias-a.gif

  2. リモートアクセスポリシーのプロパティで、[If a user matches the conditions]セクションの下の[Grant remote access permission]を選択し、[Edit Profile]をクリックします。

    vpn5k-msias-b.gif

  3. Authenticationタブをクリックし、Unencrypted Authentication (PAP, SPAP)のみが選択されていることを確認します。

    vpn5k-msias-c.gif

  4. Advancedタブを選択し、Addをクリックして、Vendor-Specificを選択します。

    vpn5k-msias-d.gif

  5. Vendor-Specific属性のMultivalued Attribute Informationダイアログボックスで、AddをクリックしてVendor-Specific Attribute Informationダイアログボックスに移動します。Enter Vendor Codeを選択し、横のボックスに255と入力します。次に、Yesを選択します。適合し、Configure Attributeをクリックします。

    vpn5k-msias-e.gif

  6. Configure VSA (RFC compliant)ダイアログボックスで、Vendor-assigned attribute numberに4、Attribute formatにString、Attribute valueにrtp-group(Cisco VPN 5000コンセントレータのVPNグループの名前)と入力します。OKをクリックして、ステップ5を繰り返します。

    vpn5k-msias-f.gif

  7. Configure VSA (RFC compliant)ダイアログボックスで、Vendor-assigned attribute numberに4、Attribute formatにString、Attribute valueにcisco123(クライアント共有秘密)を入力します。[OK] をクリックします。

    vpn5k-msias-g.gif

  8. Vendor-Specific属性に2つの値(グループとVPNパスワード)が含まれていることがわかります。

    vpn5k-msias-h.gif

  9. ユーザのプロパティでDial-inタブをクリックし、Control access through Remote Access Policyが選択されていることを確認します。

    vpn5k-msias-i.gif

結果の確認

このセクションでは、設定が正しく動作していることを確認するために使用できる情報を提供しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

  • show radius statistics:VPNコンセントレータと、RADIUSセクションで識別されるデフォルトのRADIUSサーバとの間の通信に関するパケット統計情報を表示します。

  • show radius config:RADIUSパラメータの現在の設定を表示します。

show radius statisticsコマンドの出力を次に示します。

VPN5001_4B9CBA80>show radius statistics

RADIUS Stats

Accounting            Primary       Secondary
Requests                 0             na
Responses                0             na
Retransmissions          0             na
Bad Authenticators       0             na
Malformed Responses      0             na
Packets Dropped          0             na
Pending Requests         0             na
Timeouts                 0             na
Unknown Types            0             na


Authentication        Primary       Secondary
Requests                 3             na
Accepts                  3             na
Rejects                  0             na
Challenges               0             na
Retransmissions          0             na
Bad Authenticators       0             na
Malformed Responses      0             na
Packets Dropped          0             na
Pending Requests         0             na
Timeouts                 0             na
Unknown Types            0             na

 

VPN5001_4B9CBA80>

show radius configコマンドの出力を次に示します。

RADIUS           State    UDP  CHAP16
Authentication   On      1812  No
Accounting       Off     1813  n/a
Secret           'radiuspassword'

Server     IP address      Attempts  AcctSecret
Primary    172.18.124.108         5  n/a
Secondary  Off

VPN クライアントの設定

この手順では、VPN Clientの設定について説明します。

  1. VPN Clientダイアログボックスで、Configurationタブを選択します。次に、VPN Client-Prompt for Secretダイアログボックスで、VPN Serverの下に共有秘密を入力します。VPN Client shared secretは、VPNコンセントレータで属性5のVPNパスワードとして入力される値です。

    vpn5k-msias-j.gif

  2. 共有秘密を入力すると、パスワードと認証秘密の入力を求められます。パスワードはそのユーザのRADIUSパスワードで、認証シークレットはVPNコンセントレータ[ RADIUS ]セクションのPAP認証シークレットです。

    vpn5k-msias-k.gif

コンセントレータ ログ 

Notice   4080.11 seconds New IKE connection: [172.18.124.108]:1195:omar
Debug    4080.15 seconds Sending RADIUS PAP challenge to omar at 172.18.124.108
Debug    4087.52 seconds Received RADIUS PAP response from omar at 172.18.124.108, contacting server
Notice   4088.8 seconds VPN 0:3 opened for omar from 172.18.124.108.
Debug    4088.8 seconds Client's local broadcast address = 172.18.124.255
Notice   4088.8 seconds User assigned IP address 10.1.1.1
Info     4094.49 seconds Command loop started from 10.1.1.1 on PTY2

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

関連情報

更新履歴

改定 発行日 コメント
1.0
07-Dec-2001
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ