Configuratie van Cisco VPN 3000 Series Concentrators om de NT Password Expiration-functie met de RADIUS-server te ondersteunen

Downloadopties

  • PDF     (865.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:19 januari 2006
Document-id:12086

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document bevat stap-voor-stap instructies voor het configureren van de Cisco VPN 3000 Series Concentrators om de NT Password Expiration-functie te ondersteunen via de RADIUS-server.

Raadpleeg VPN 3000 RADIUS met verloopfunctie met Microsoft Internet Authentication Server om meer te weten te komen over hetzelfde scenario bij de Internet Verificatie Server (IAS).

Voorwaarden

Vereisten

  • Als uw RADIUS-server en NT-domeinverificatieserver op twee afzonderlijke machines staan, zorg er dan voor dat u IP-connectiviteit tussen de twee machines hebt gerealiseerd.

  • Zorg dat u IP-connectiviteit hebt ingesteld van de concentrator naar de RADIUS-server. Als de RADIUS-server naar de openbare interface is gericht, vergeet dan niet de RADIUS-poort op het openbare filter te openen.

  • Verzeker dat u met de concentrator van de VPN client kunt verbinden met behulp van de interne gebruikersdatabase. Als dit niet is ingesteld, raadpleegt u IPSec - Cisco 3000 VPN-client configureren naar VPN 3000 Concentrator.

N.B.: De wachtwoordverloopfunctie kan niet worden gebruikt voor VPN-clients van Web of SSL VPN.

Gebruikte componenten

Deze configuratie is ontwikkeld en getest met behulp van de onderstaande software- en hardwareversies.

  • Software voor VPN 3000 Concentrator, versie 4.7

  • VPN-clientrelease 3.5

  • Cisco Secure voor NT (CSNT) versie 3.0 Microsoft Windows 2000 Active Directory Server voor gebruikersverificatie

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

vpn3k-ntpwexp-01.gif

Opmerkingen bij diagrammen

  1. De RADIUS-server in deze configuratie bevindt zich in de openbare interface. Als dit met uw specifieke instelling het geval is, maakt u twee regels in uw openbare filter zodat RADIUS-verkeer de concentrator kan binnengaan en verlaten.

  2. Deze configuratie toont CSNT-software en NT-domeinverificatieservices op dezelfde machine. Deze elementen kunnen indien nodig op twee afzonderlijke machines worden uitgevoerd.

De VPN-concentratie configureren 3000

Configuratie van groepen

  1. Om de groep te configureren die de NT Password EXpiration parameters accepteert vanaf de RADIUS-server, gaat u naar Configuration > User Management > Group, selecteert u uw groep in de lijst en klikt u op Wijzigen. Het onderstaande voorbeeld toont hoe u een groep met de naam "ipsecgroup" kunt wijzigen.

    vpn3k-ntpwexp-02.gif

  2. Ga naar het tabblad IPSec, zorg ervoor dat RADIUS met Verlopen is geselecteerd voor de eigenschap Verificatie.

    vpn3k-ntpwexp-03.gif

  3. Als u wilt dat deze optie ingeschakeld is op de VPN 3002-hardwareclients, gaat u naar het tabblad HW-client, zorg er dan voor dat de verificatie van interactieve hardware is ingeschakeld en klik vervolgens op Toepassen.

    vpn3k-ntpwexp-04.gif

RADIUS-configuratie

  1. Om de RADIUS-serverinstellingen op de concentrator te configureren gaat u naar Configuration > System > Server > Verificatie > Add.

    vpn3k-ntpwexp-05.gif

  2. Typ in het scherm Add de waarden die overeenkomen met de RADIUS-server en klik op Add.

    Het onderstaande voorbeeld gebruikt de volgende waarden.

    Server Type: RADIUS

    Authentication Server: 172.18.124.96

    Server Port = 0 (for default of 1645)
    Timeout = 4

    Reties = 2

    Server Secret = cisco123

    Verify: cisco123

vpn3k-ntpwexp-06.gif

De Cisco Secure NT RADIUS-server configureren

Een ingang voor VPN 3000 Concentrator configureren

  1. Log in op CSNT en klik op Netwerkconfiguratie in het linker paneel. Klik onder "AAA-clients" op Toevoegen.

    vpn3k-ntpwexp-07.gif

  2. Typ in het scherm "AAA-client toevoegen" de juiste waarden om de concentrator aan de RADIUS-client toe te voegen en klik vervolgens op Inzenden + Herstarten.

    Het onderstaande voorbeeld gebruikt de volgende waarden.

    AAA Client Hostname = 133_3000_conc

    AAA Client IP Address = 172.18.124.133

    Key = cisco123

    Authenticate using = RADIUS (Cisco VPN 3000)

    vpn3k-ntpwexp-08.gif

    Een punt voor uw 3000 concentrator verschijnt onder het gedeelte "AAA-clients".

    vpn3k-ntpwexp-09.gif

Het onbekende gebruikersbeleid voor NT Domain Authentication configureren

  1. Om gebruikersverificatie op de RADIUS-server te configureren als onderdeel van het Onbekende gebruikersbeleid, klikt u op Externe gebruikersdatabase in het linker paneel en vervolgens klikt u op de link voor Databaseconconfiguratie.

    vpn3k-ntpwexp-10.gif

  2. Klik onder "Externe gebruikersdatabase Configuration" op Windows NT/2000.

    vpn3k-ntpwexp-11.gif

  3. Klik in het scherm "Database Configuration Creation" op New Configuration.

    vpn3k-ntpwexp-12.gif

  4. Typ desgevraagd een naam voor de NT/2000-verificatie en klik vervolgens op Indienen. Het voorbeeld hieronder toont de naam "Straal/NT Wachtwoord Verlopen."

    vpn3k-ntpwexp-13.gif

  5. Klik op Configureren om de domeinnaam voor gebruikersverificatie te configureren.

    vpn3k-ntpwexp-14.gif

  6. Selecteer uw NT-domein van de "Beschikbare domeinen" en klik vervolgens op de knop naar rechts om het toe te voegen aan de "Domain List". Zorg er onder "MS-CHAP Settings" voor dat de opties voor wachtwoordwijzigingen met behulp van MS-CHAP versie 1 en versie 2 zijn geselecteerd. Klik op Inzenden als u klaar bent.

    vpn3k-ntpwexp-15.gif

  7. Klik op Externe gebruikersdatabase in het linker paneel en klik vervolgens op de link voor Databasegroep Mappingen (zoals in dit voorbeeld wordt gezien). U dient een bestandsindeling te zien voor de eerder ingestelde externe database. Het voorbeeld hieronder toont een ingang voor "Straal/NT Wachtwoord Verlopen", de gegevensbestand dat wij net vormden.

    vpn3k-ntpwexp-16.gif

  8. Klik op het scherm "Domain Configuration" op New Configuration om de domeinconfiguraties toe te voegen.

    vpn3k-ntpwexp-17.gif

  9. Selecteer uw domein in de lijst met "Geheime velden" en klik op Indienen. Het voorbeeld hieronder toont een domein genaamd "JAZIB-ADS".

    vpn3k-ntpwexp-18.gif

  10. Klik op de naam van uw domein om de groepstoewijzing te configureren. Dit voorbeeld toont het domein "JAZIB-ADS".

    vpn3k-ntpwexp-19.gif

  11. Klik op Add mapping om de groepstoewijzing te definiëren.

    vpn3k-ntpwexp-20.gif

  12. Stel in het scherm "Create new group mapping" de groep op het NT-domein in op een groep op de CSNT RADIUS-server en klik vervolgens op Inzenden. Het voorbeeld hieronder brengt de NT-groep "Gebruikers" in kaart aan de RADIUS-groep "Groep 1".

    vpn3k-ntpwexp-21.gif

  13. Klik op Externe gebruikersdatabase in het linker paneel en klik vervolgens op de link voor Onbekend gebruikersbeleid (zoals in dit voorbeeld wordt gezien). Zorg ervoor dat de optie voor de volgende externe gebruikersdatabases is geselecteerd. Klik op de knop pijl-rechts om de eerder ingesteld externe database van de lijst van "Externe databases" te verplaatsen naar de lijst van "Geselecteerde databases".

    vpn3k-ntpwexp-22.gif

De NT/RADIUS-wachtwoordverloopfunctie testen

De concentrator biedt een functie om de RADIUS-verificatie te testen. Om deze optie goed te testen, moet u deze stappen voorzichtig uitvoeren.

RADIUS-verificatie testen

  1. Ga naar Configuratie > Systeem > servers > Verificatie. Selecteer uw RADIUS-server en klik op Test.

    vpn3k-ntpwexp-23.gif

  2. Typ desgevraagd uw NT-naam en -wachtwoord en klik vervolgens op OK. Het onderstaande voorbeeld toont de gebruikersnaam "jfrahim" ingesteld op de NT-domeinserver met "cisco123" als het wachtwoord.

    vpn3k-ntpwexp-24.gif

  3. Als uw authenticatie goed is ingesteld, dient u een bericht te krijgen met de titel "Verificatie succesvol".

    vpn3k-ntpwexp-25.gif

    Als u een ander bericht ontvangt dan het bericht dat hierboven wordt getoond, is er een probleem met de configuratie of verbinding. Herhaal de configuratie- en teststappen die in dit document zijn beschreven om er zeker van te zijn dat alle instellingen correct zijn uitgevoerd. Controleer ook de IP-connectiviteit tussen uw apparaten.

Feitelijke NT-domeinverificatie met RADIUS-proxy om de wachtwoordverloopfunctie te testen

  1. Als de gebruiker al op de domeinserver is gedefinieerd, kunt u de eigenschappen wijzigen, zodat de gebruiker wordt gevraagd het wachtwoord bij de volgende aanmelding te wijzigen. Ga naar het tabblad "Account" van het dialoogvenster eigenschappen van de gebruiker, selecteer de optie voor gebruiker om wachtwoord te wijzigen bij de volgende aanmelding en klik vervolgens op OK.

    vpn3k-ntpwexp-26.gif

  2. Start de VPN-client en probeer dan de tunnel in te stellen naar de concentrator.

    vpn3k-ntpwexp-27.gif

  3. Tijdens de gebruikersverificatie moet u worden gevraagd het wachtwoord te wijzigen.

    vpn3k-ntpwexp-28.gif

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
19-Jan-2006
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco