Dit document bevat stap-voor-stap instructies voor het configureren van de Cisco VPN 3000 Series Concentrators om de NT Password Expiration-functie te ondersteunen via de RADIUS-server.
Raadpleeg VPN 3000 RADIUS met verloopfunctie met Microsoft Internet Authentication Server om meer te weten te komen over hetzelfde scenario bij de Internet Verificatie Server (IAS).
Als uw RADIUS-server en NT-domeinverificatieserver op twee afzonderlijke machines staan, zorg er dan voor dat u IP-connectiviteit tussen de twee machines hebt gerealiseerd.
Zorg dat u IP-connectiviteit hebt ingesteld van de concentrator naar de RADIUS-server. Als de RADIUS-server naar de openbare interface is gericht, vergeet dan niet de RADIUS-poort op het openbare filter te openen.
Verzeker dat u met de concentrator van de VPN client kunt verbinden met behulp van de interne gebruikersdatabase. Als dit niet is ingesteld, raadpleegt u IPSec - Cisco 3000 VPN-client configureren naar VPN 3000 Concentrator.
N.B.: De wachtwoordverloopfunctie kan niet worden gebruikt voor VPN-clients van Web of SSL VPN.
Deze configuratie is ontwikkeld en getest met behulp van de onderstaande software- en hardwareversies.
Software voor VPN 3000 Concentrator, versie 4.7
VPN-clientrelease 3.5
Cisco Secure voor NT (CSNT) versie 3.0 Microsoft Windows 2000 Active Directory Server voor gebruikersverificatie
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Het netwerk in dit document is als volgt opgebouwd:
Opmerkingen bij diagrammen
De RADIUS-server in deze configuratie bevindt zich in de openbare interface. Als dit met uw specifieke instelling het geval is, maakt u twee regels in uw openbare filter zodat RADIUS-verkeer de concentrator kan binnengaan en verlaten.
Deze configuratie toont CSNT-software en NT-domeinverificatieservices op dezelfde machine. Deze elementen kunnen indien nodig op twee afzonderlijke machines worden uitgevoerd.
Om de groep te configureren die de NT Password EXpiration parameters accepteert vanaf de RADIUS-server, gaat u naar Configuration > User Management > Group, selecteert u uw groep in de lijst en klikt u op Wijzigen. Het onderstaande voorbeeld toont hoe u een groep met de naam "ipsecgroup" kunt wijzigen.
Ga naar het tabblad IPSec, zorg ervoor dat RADIUS met Verlopen is geselecteerd voor de eigenschap Verificatie.
Als u wilt dat deze optie ingeschakeld is op de VPN 3002-hardwareclients, gaat u naar het tabblad HW-client, zorg er dan voor dat de verificatie van interactieve hardware is ingeschakeld en klik vervolgens op Toepassen.
Om de RADIUS-serverinstellingen op de concentrator te configureren gaat u naar Configuration > System > Server > Verificatie > Add.
Typ in het scherm Add de waarden die overeenkomen met de RADIUS-server en klik op Add.
Het onderstaande voorbeeld gebruikt de volgende waarden.
Server Type: RADIUS
Authentication Server: 172.18.124.96
Server Port = 0 (for default of 1645)
Timeout = 4
Reties = 2
Server Secret = cisco123
Verify: cisco123
Log in op CSNT en klik op Netwerkconfiguratie in het linker paneel. Klik onder "AAA-clients" op Toevoegen.
Typ in het scherm "AAA-client toevoegen" de juiste waarden om de concentrator aan de RADIUS-client toe te voegen en klik vervolgens op Inzenden + Herstarten.
Het onderstaande voorbeeld gebruikt de volgende waarden.
AAA Client Hostname = 133_3000_conc
AAA Client IP Address = 172.18.124.133
Key = cisco123
Authenticate using = RADIUS (Cisco VPN 3000)
Een punt voor uw 3000 concentrator verschijnt onder het gedeelte "AAA-clients".
Om gebruikersverificatie op de RADIUS-server te configureren als onderdeel van het Onbekende gebruikersbeleid, klikt u op Externe gebruikersdatabase in het linker paneel en vervolgens klikt u op de link voor Databaseconconfiguratie.
Klik onder "Externe gebruikersdatabase Configuration" op Windows NT/2000.
Klik in het scherm "Database Configuration Creation" op New Configuration.
Typ desgevraagd een naam voor de NT/2000-verificatie en klik vervolgens op Indienen. Het voorbeeld hieronder toont de naam "Straal/NT Wachtwoord Verlopen."
Klik op Configureren om de domeinnaam voor gebruikersverificatie te configureren.
Selecteer uw NT-domein van de "Beschikbare domeinen" en klik vervolgens op de knop naar rechts om het toe te voegen aan de "Domain List". Zorg er onder "MS-CHAP Settings" voor dat de opties voor wachtwoordwijzigingen met behulp van MS-CHAP versie 1 en versie 2 zijn geselecteerd. Klik op Inzenden als u klaar bent.
Klik op Externe gebruikersdatabase in het linker paneel en klik vervolgens op de link voor Databasegroep Mappingen (zoals in dit voorbeeld wordt gezien). U dient een bestandsindeling te zien voor de eerder ingestelde externe database. Het voorbeeld hieronder toont een ingang voor "Straal/NT Wachtwoord Verlopen", de gegevensbestand dat wij net vormden.
Klik op het scherm "Domain Configuration" op New Configuration om de domeinconfiguraties toe te voegen.
Selecteer uw domein in de lijst met "Geheime velden" en klik op Indienen. Het voorbeeld hieronder toont een domein genaamd "JAZIB-ADS".
Klik op de naam van uw domein om de groepstoewijzing te configureren. Dit voorbeeld toont het domein "JAZIB-ADS".
Klik op Add mapping om de groepstoewijzing te definiëren.
Stel in het scherm "Create new group mapping" de groep op het NT-domein in op een groep op de CSNT RADIUS-server en klik vervolgens op Inzenden. Het voorbeeld hieronder brengt de NT-groep "Gebruikers" in kaart aan de RADIUS-groep "Groep 1".
Klik op Externe gebruikersdatabase in het linker paneel en klik vervolgens op de link voor Onbekend gebruikersbeleid (zoals in dit voorbeeld wordt gezien). Zorg ervoor dat de optie voor de volgende externe gebruikersdatabases is geselecteerd. Klik op de knop pijl-rechts om de eerder ingesteld externe database van de lijst van "Externe databases" te verplaatsen naar de lijst van "Geselecteerde databases".
De concentrator biedt een functie om de RADIUS-verificatie te testen. Om deze optie goed te testen, moet u deze stappen voorzichtig uitvoeren.
Ga naar Configuratie > Systeem > servers > Verificatie. Selecteer uw RADIUS-server en klik op Test.
Typ desgevraagd uw NT-naam en -wachtwoord en klik vervolgens op OK. Het onderstaande voorbeeld toont de gebruikersnaam "jfrahim" ingesteld op de NT-domeinserver met "cisco123" als het wachtwoord.
Als uw authenticatie goed is ingesteld, dient u een bericht te krijgen met de titel "Verificatie succesvol".
Als u een ander bericht ontvangt dan het bericht dat hierboven wordt getoond, is er een probleem met de configuratie of verbinding. Herhaal de configuratie- en teststappen die in dit document zijn beschreven om er zeker van te zijn dat alle instellingen correct zijn uitgevoerd. Controleer ook de IP-connectiviteit tussen uw apparaten.
Als de gebruiker al op de domeinserver is gedefinieerd, kunt u de eigenschappen wijzigen, zodat de gebruiker wordt gevraagd het wachtwoord bij de volgende aanmelding te wijzigen. Ga naar het tabblad "Account" van het dialoogvenster eigenschappen van de gebruiker, selecteer de optie voor gebruiker om wachtwoord te wijzigen bij de volgende aanmelding en klik vervolgens op OK.
Start de VPN-client en probeer dan de tunnel in te stellen naar de concentrator.
Tijdens de gebruikersverificatie moet u worden gevraagd het wachtwoord te wijzigen.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
19-Jan-2006 |
Eerste vrijgave |