Configure los Cisco VPN 3000 Series Concentrators para Soportar la Función NT Password Expiration con el Servidor RADIUS

Opciones de descarga

  • PDF     (866.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de enero de 2006
ID del documento:12086

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento incluye instrucciones paso a paso sobre cómo configurar los Cisco VPN 3000 Series Concentrators para soportar la función NT Password Expiration usando el servidor RADIUS.

Consulte Función RADIUS VPN 3000 con vencimiento mediante Microsoft Internet Authentication Server para obtener más información sobre el mismo escenario con Internet Authentication Server (IAS).

Prerequisites

Requirements

  • Si el servidor RADIUS y el servidor de autenticación de dominio NT están en dos equipos independientes, asegúrese de que ha establecido la conectividad IP entre los dos equipos.

  • Asegúrese de que ha establecido la conectividad IP del concentrador al servidor RADIUS. Si el servidor RADIUS se dirige a la interfaz pública, no olvide abrir el puerto RADIUS en el filtro público.

  • Asegúrese de que puede conectarse al concentrador desde el cliente VPN mediante la base de datos de usuario interna. Si esto no está configurado, consulte Configuración de IPSec - Cisco 3000 VPN Client a VPN 3000 Concentrator.

Nota: La función de caducidad de la contraseña no se puede utilizar con clientes VPN Web o SSL.

Componentes Utilizados

Esta configuración fue desarrollada y probada utilizando las versiones de software y hardware indicadas a continuación.

  • Versión 4.7 del software del concentrador VPN 3000

  • Versión 3.5 de VPN Client

  • Cisco Secure para NT (CSNT) versión 3.0 Microsoft Windows 2000 Active Directory Server para autenticación de usuario

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

vpn3k-ntpwexp-01.gif

Notas de diagrama

  1. El servidor RADIUS en esta configuración está en la interfaz pública. Si este es el caso con su configuración específica, cree dos reglas en su filtro público para permitir que el tráfico RADIUS entre y salga del concentrador.

  2. Esta configuración muestra el software CSNT y los Servicios de autenticación de dominio NT ejecutándose en la misma máquina. Estos elementos se pueden ejecutar en dos máquinas independientes si así lo requiere la configuración.

Configuración del concentrador VPN 3000

Configuración del grupo

  1. Para configurar el grupo para que acepte los Parámetros de Vencimiento de Contraseña NT del Servidor RADIUS, vaya a Configuración > Administración de Usuario > Grupos, seleccione su grupo de la lista y haga clic en Modificar Grupo. El siguiente ejemplo muestra cómo modificar un grupo denominado "ipsecgroup".

    vpn3k-ntpwexp-02.gif

  2. Vaya a la pestaña IPSec, asegúrese de que RADIUS con vencimiento esté seleccionado para el atributo Authentication.

    vpn3k-ntpwexp-03.gif

  3. Si desea que esta función se habilite en los clientes de hardware VPN 3002, vaya a la pestaña HW Client, asegúrese de que Require Interactive Hardware Client Authentication esté habilitado y haga clic en Apply.

    vpn3k-ntpwexp-04.gif

Configuración RADIUS

  1. Para configurar la configuración del servidor RADIUS en el concentrador, vaya a Configuration > System > Servers > Authentication > Add.

    vpn3k-ntpwexp-05.gif

  2. En la pantalla Add, escriba los valores que corresponden al servidor RADIUS y haga clic en Add.

    El ejemplo siguiente utiliza los valores siguientes.

    Server Type: RADIUS

    Authentication Server: 172.18.124.96

    Server Port = 0 (for default of 1645)
    Timeout = 4

    Reties = 2

    Server Secret = cisco123

    Verify: cisco123

vpn3k-ntpwexp-06.gif

Configuración del servidor de Cisco Secure NT RADIUS

Configuración de una entrada para el concentrador VPN 3000

  1. Inicie sesión en CSNT y haga clic en Configuración de red en el panel izquierdo. En "Clientes AAA", haga clic en Agregar entrada.

    vpn3k-ntpwexp-07.gif

  2. En la pantalla "Add AAA Client" (Agregar cliente AAA), escriba los valores adecuados para agregar el concentrador como RADIUS Client y, a continuación, haga clic en Submit + Restart.

    El ejemplo siguiente utiliza los valores siguientes.

    AAA Client Hostname = 133_3000_conc

    AAA Client IP Address = 172.18.124.133

    Key = cisco123

    Authenticate using = RADIUS (Cisco VPN 3000)

    vpn3k-ntpwexp-08.gif

    Aparecerá una entrada para su concentrador 3000 en la sección "Clientes AAA".

    vpn3k-ntpwexp-09.gif

Configuración de la política de usuario desconocido para la autenticación de dominio NT

  1. Para configurar la autenticación de usuario en el servidor RADIUS como parte de la política de usuario desconocida, haga clic en Base de datos de usuario externa en el panel izquierdo y luego haga clic en el enlace Configuración de base de datos.

    vpn3k-ntpwexp-10.gif

  2. En "Configuración de base de datos de usuario externa", haga clic en Windows NT/2000.

    vpn3k-ntpwexp-11.gif

  3. En la pantalla "Database Configuration Creation" (Creación de la configuración de la base de datos), haga clic en Create New Configuration (Crear nueva configuración).

    vpn3k-ntpwexp-12.gif

  4. Cuando se le solicite, escriba un nombre para la autenticación NT/2000 y haga clic en Enviar. El siguiente ejemplo muestra el nombre "Expiración de contraseña de Radius/NT".

    vpn3k-ntpwexp-13.gif

  5. Haga clic en Configurar para configurar el nombre de dominio para la autenticación de usuario.

    vpn3k-ntpwexp-14.gif

  6. Seleccione su dominio NT en "Available Domains" (Dominios disponibles) y, a continuación, haga clic en el botón de flecha derecha para agregarlo a la "Domain List" (Lista de dominios). En "MS-CHAP Settings," asegúrese de que las opciones para Permit password changes using MS-CHAP version 1 y version 2 estén seleccionadas. Haga clic en Enviar cuando haya terminado.

    vpn3k-ntpwexp-15.gif

  7. Haga clic en Base de datos de usuario externa en el panel izquierdo y, a continuación, haga clic en el vínculo para Asignaciones de grupo de base de datos (como se muestra en este ejemplo). Debería ver una entrada para su base de datos externa configurada previamente. El siguiente ejemplo muestra una entrada para "Expiración de contraseña de RADIUS/NT", la base de datos que acabamos de configurar.

    vpn3k-ntpwexp-16.gif

  8. En la pantalla "Domain Configurations" (Configuraciones de dominio), haga clic en New configuration para agregar las configuraciones de dominio.

    vpn3k-ntpwexp-17.gif

  9. Seleccione su dominio de la lista de "Dominios detectados" y haga clic en Enviar. El siguiente ejemplo muestra un dominio llamado "JAZIB-ADS".

    vpn3k-ntpwexp-18.gif

  10. Haga clic en su nombre de dominio para configurar las asignaciones de grupo. Este ejemplo muestra el dominio "JAZIB-ADS".

    vpn3k-ntpwexp-19.gif

  11. Haga clic en Agregar asignación para definir las asignaciones de grupo.

    vpn3k-ntpwexp-20.gif

  12. En la pantalla "Crear asignación de grupo nuevo", asigne el grupo en el dominio NT a un grupo en el servidor RADIUS CSNT y, a continuación, haga clic en Enviar. El siguiente ejemplo asigna el grupo NT "Users" al grupo RADIUS "Group 1".

    vpn3k-ntpwexp-21.gif

  13. Haga clic en Base de datos de usuario externa en el panel izquierdo y, a continuación, haga clic en el vínculo Política de usuario desconocida (como se muestra en este ejemplo). Asegúrese de que la opción para Verificar las siguientes bases de datos de usuario externas esté seleccionada. Haga clic en el botón de flecha hacia la derecha para mover la base de datos externa configurada previamente de la lista "Bases de datos externas" a la lista "Bases de datos seleccionadas".

    vpn3k-ntpwexp-22.gif

Prueba de la característica de vencimiento de contraseña de NT/RADIUS

El concentrador ofrece una función para probar la autenticación RADIUS. Para probar esta función correctamente, asegúrese de seguir estos pasos con cuidado.

Prueba de autenticación de RADIUS.

  1. Vaya a Configuration > System > Servers > Authentication. Seleccione su servidor RADIUS y haga clic en Test.

    vpn3k-ntpwexp-23.gif

  2. Cuando se le solicite, escriba su nombre de usuario y contraseña de dominio NT y, a continuación, haga clic en Aceptar. El siguiente ejemplo muestra el nombre de usuario "jfrahim" configurado en el servidor de dominio NT con "cisco123" como contraseña.

    vpn3k-ntpwexp-24.gif

  3. Si la autenticación está configurada correctamente, debe recibir un mensaje que diga "Autenticación correcta".

    vpn3k-ntpwexp-25.gif

    Si recibe algún mensaje que no sea el que se muestra arriba, hay algún problema de configuración o conexión. Repita los pasos de configuración y prueba descritos en este documento para asegurarse de que todos los parámetros se hayan realizado correctamente. Compruebe también la conectividad IP entre los dispositivos.

Autenticación de dominio NT real mediante el proxy de RADIUS para probar la característica de vencimiento de contraseña

  1. Si el usuario ya está definido en el servidor de dominio, modifique las propiedades para que se le pida al usuario que cambie la contraseña en el próximo inicio de sesión. Vaya a la ficha "Cuenta" del cuadro de diálogo de propiedades del usuario, seleccione la opción para El usuario debe cambiar la contraseña en el siguiente inicio de sesión y haga clic en Aceptar.

    vpn3k-ntpwexp-26.gif

  2. Inicie el cliente VPN y luego intente establecer el túnel al concentrador.

    vpn3k-ntpwexp-27.gif

  3. Durante la autenticación de usuario, se le solicitará que cambie la contraseña.

    vpn3k-ntpwexp-28.gif

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
19-Jan-2006
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco