Configurando o Cisco VPN 3000 Concentrator com o Microsoft RADIUS

Opções de download

  • PDF     (495.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (382.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Atualizado:24 de março de 2008
ID do documento:20585

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

O Microsoft Internet Authentication Server (IAS) e o Microsoft Commercial Internet System (MCIS 2.0) estão disponíveis no momento. O servidor Microsoft RADIUS é conveniente porque usa o Ative Diretory no Controlador de Domínio Primário para seu banco de dados de usuário. Você não precisa mais manter um banco de dados separado. Ele também suporta criptografia de 40 bits e 128 bits para conexões VPN PPTP (Point-to-Point Tunneling Protocol). Consulte a documentação Microsoft Checklist: Configuring IAS for dial-up and VPN accessleavingcisco.com para obter mais informações.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Instalar e Configurar o Servidor RADIUS no Windows 2000 e Windows 2003

Instalar o servidor RADIUS

Se você não tiver o servidor RADIUS (IAS) já instalado, execute estas etapas para instalar o. Se você já tiver o servidor RADIUS instalado, continue com as etapas de configuração.

  1. Insira o CD do Windows Server e inicie o programa de instalação.

  2. Clique em Instalar Componentes Suplementares e, em seguida, clique em Adicionar/Remover Componentes do Windows.

  3. Em Components (Componentes), clique em Networking Services (mas não marque ou desmarque a caixa de seleção) e clique em Details.

  4. Marque Internet Authentication Service e clique em OK.

  5. Clique em Next.

Configurar o Microsoft Windows 2000 Server com IAS

Conclua estas etapas para configurar o servidor RADIUS (IAS) e iniciar o serviço para disponibilizá-lo para autenticar usuários no VPN Concentrator.

  1. Escolha Start > Programs > Administrative Tools > Internet Authentication Service.

  2. Clique com o botão direito do mouse em Internet Authentication Service e clique em Properties no submenu exibido.

  3. Vá até a guia RADIUS para examinar as configurações de portas.

    Se a autenticação RADIUS e as portas UDP (User Datagram Protocol) de contabilização RADIUS diferirem dos valores padrão fornecidos (1812 e 1645 para autenticação, 1813 e 1646 para contabilização) em Authentication and Accounting, digite suas configurações de porta. Clique em OK quando terminar.

    Observação: não altere as portas padrão. Separe as portas usando vírgulas para usar várias configurações de porta para solicitações de autenticação ou contabilização.

  4. Clique com o botão direito do mouse em Clients e escolha New Client para adicionar o VPN Concentrator como um cliente de autenticação, autorização e contabilização (AAA) ao servidor RADIUS (IAS).

    Observação: se a redundância for configurada entre dois Cisco VPN 3000 Concentrators, o Cisco VPN 3000 Concentrator de backup também deverá ser adicionado ao servidor RADIUS como um cliente RADIUS.

  5. Insira um nome amigável e selecione Protocol Radius.

  6. Defina o VPN Concentrator com um endereço IP ou nome DNS na próxima janela.

  7. Escolha Cisco na barra de rolagem Cliente-Fornecedor.

  8. Insira um segredo compartilhado.

    Observação: você deve se lembrar do segredo exato que usa. Você precisa destas informações para configurar o VPN Concentrator.

  9. Clique em Finish.

  10. Clique duas vezes em Remote Access Policies e clique duas vezes na política que aparece no lado direito da janela.

    Observação: após a instalação do IAS, uma política de acesso remoto já deverá existir.

    No Windows 2000, a autorização é concedida com base nas propriedades de discagem de uma conta de usuário e nas políticas de acesso remoto. As políticas de acesso remoto são um conjunto de condições e configurações de conexão que dão aos administradores de rede mais flexibilidade na autorização de tentativas de conexão. O serviço de Roteamento e Acesso Remoto do Windows 2000 e o IAS do Windows 2000 usam políticas de acesso remoto para determinar se aceitam ou rejeitam tentativas de conexão. Em ambos os casos, as políticas de acesso remoto são armazenadas localmente. Consulte a documentação do IAS do Windows 2000 para obter mais informações sobre como as tentativas de conexão são processadas.

    cisco_vpn_msradius.gif

  11. Escolha Grant remote access permission e clique em Edit Profile para configurar as propriedades de discagem.

  12. Selecione o protocolo a ser usado para autenticação na guia Autenticação. Marque Microsoft Encrypted Authentication version 2 e desmarque todos os outros protocolos de autenticação.

    Observação: as configurações neste perfil de discagem devem corresponder às configurações no VPN 3000 Concentrator e no cliente de discagem. Neste exemplo, a autenticação MS-CHAPv2 sem criptografia PTP é usada.

  13. Na guia Encryption (Criptografia), marque No Encryption only (Sem criptografia).

  14. Clique em OK para fechar o perfil de discagem e clique em OK para fechar a janela da política de acesso remoto.

  15. Clique com o botão direito do mouse em Internet Authentication Service e clique em Start Service na árvore do console.

    Observação: Você também pode usar essa função para interromper o serviço.

  16. Conclua estas etapas para modificar os usuários para permitir a conexão.

    1. Escolha Console > Add/Remove Snap-in.

    2. Clique em Adicionar e escolha Snap-in de usuários e grupos locais.

    3. Clique em Add.

    4. Certifique-se de selecionar Computador Local

    5. Clique em Finish e em OK.

  17. Expanda Usuário e grupos locais e clique na pasta Usuários no painel esquerdo. No painel direito, clique duas vezes no usuário (VPN User) que deseja permitir acesso.

  18. Vá até a guia Dial-in e escolha Allow Access em Remote Access Permission (Dial-in ou VPN).

    cvpn3k_pix_ias-k.gif

  19. Clique em Aplicar e em OK para concluir a ação. Você pode fechar a janela Gerenciamento da Console e salvar a sessão, se desejar.

    Os usuários que você modificou agora podem acessar o VPN Concentrator com o VPN Client. Lembre-se de que o servidor IAS autentica somente as informações do usuário. O VPN Concentrator ainda faz a autenticação do grupo.

Configurar o Microsoft Windows 2003 Server com IAS

Conclua estas etapas para configurar o servidor Microsoft Windows 2003 com IAS.

Observação: essas etapas supõem que o IAS já esteja instalado na máquina local. Caso contrário, adicione-o por meio de Painel de controle > Adicionar ou remover programas.

  1. Selecione Administrative Tools > Internet Authentication Service e clique com o botão direito do mouse em RADIUS Client para adicionar um novo cliente RADIUS. Depois de digitar as informações do cliente, clique em OK.

  2. Insira um nome amigável.

  3. Defina o VPN Concentrator com um endereço IP ou nome DNS na próxima janela.

  4. Escolha Cisco na barra de rolagem Cliente-Fornecedor.

  5. Insira um segredo compartilhado.

    Observação: você deve se lembrar do segredo exato que usa. Você precisa destas informações para configurar o VPN Concentrator.

  6. Clique em OK para concluir.

  7. Vá para Remote Access Policies, clique com o botão direito do mouse em Connections to Other Access Servers e escolha Properties.

  8. Escolha Grant remote access permission e clique em Edit Profile para configurar as propriedades de discagem.

  9. Selecione o protocolo a ser usado para autenticação na guia Autenticação. Marque Microsoft Encrypted Authentication version 2 e desmarque todos os outros protocolos de autenticação.

    Observação: as configurações neste perfil de discagem devem corresponder às configurações no VPN 3000 Concentrator e no cliente de discagem. Neste exemplo, a autenticação MS-CHAPv2 sem criptografia PTP é usada.

  10. Na guia Encryption (Criptografia), marque No Encryption only (Sem criptografia).

  11. Clique em OK quando terminar.

    cvpn3k_pix_ias-m.jpg

  12. Clique com o botão direito do mouse em Internet Authentication Service e clique em Start Service na árvore do console.

    Observação: Você também pode usar essa função para interromper o serviço.

  13. Selecione Administrative Tools > Computer Management > System Tools > Local Users and Groups, clique com o botão direito do mouse em Users e escolha New Users para adicionar um usuário na conta do computador local.

  14. Adicione o usuário com a senha "vpnpassword" da Cisco e verifique as informações deste perfil.

    • Na guia Geral, certifique-se de que a opção para Senha nunca expirada esteja selecionada em vez da opção para Usuário deve alterar senha.

    • Na guia Discar, escolha a opção Permitir acesso (ou deixe a configuração padrão Controlar acesso por meio da Política de acesso remoto).

    Clique em OK quando terminar.

    cvpn3k_pix_ias-n.jpg

Configurar o Cisco VPN 3000 Concentrator para autenticação RADIUS

Conclua estas etapas para configurar o Cisco VPN 3000 Concentrator para autenticação RADIUS.

  1. Conecte-se ao VPN Concentrator com seu navegador da Web e escolha Configuration > System > Servers > Authentication no menu do quadro esquerdo.

    cisco_vpn_msradius_1.gif

  2. Clique em Add e defina essas configurações.

    • Tipo de servidor = RADIUS

    • Servidor de autenticação = endereço IP ou nome de host do seu servidor RADIUS (IAS)

    • Porta do servidor = 0 (0=padrão=1645)

    • Segredo do servidor = o mesmo da etapa 8 na seção Configurar o servidor RADIUS

    cisco_vpn_msradius_2.gif

  3. Clique em Add para adicionar as alterações à configuração atual.

  4. Clique em Adicionar, escolha Servidor interno para Tipo de servidor e clique em Aplicar.

    Isso será necessário mais tarde para configurar um grupo IPsec (Você só precisa de Tipo de servidor = Servidor interno).

    cisco_vpn_msradius_3.gif

  5. Configure o VPN Concentrator para usuários de PPTP ou para usuários de VPN Client.

      PPTP

      Conclua estas etapas para configurar o para usuários PPTP.

    1. Escolha Configuration > User Management > Base Group e clique na guia PPTP/L2TP.

    2. Escolha MSCHAPv2 e desmarque outros protocolos de autenticação na seção PPTP Authentication Protocols.

      cisco_vpn_msradius_4.gif

    3. Clique em Apply na parte inferior da página para adicionar as alterações à configuração atual.

      Agora, quando os usuários PPTP se conectam, eles são autenticados pelo servidor RADIUS (IAS).

      Cliente de VPN

      Conclua estas etapas para configurar usuários do VPN Client.

    1. Escolha Configuration > User Management > Groups e clique em Add para adicionar um novo grupo.cisco_vpn_msradius_5.gif

    2. Digite um nome de grupo (por exemplo, IPsecUsers) e uma senha.

      cisco_vpn_msradius_6.gif

      Essa senha é usada como a chave pré-compartilhada para a negociação do túnel.

    3. Vá até a guia IPSec e defina Authentication como RADIUS.

      cisco_vpn_msradius_7.gif

      Isso permite que os clientes IPsec sejam autenticados através do servidor de autenticação RADIUS.

    4. Clique em Add na parte inferior da página para adicionar as alterações à configuração atual.

      Agora, quando os clientes IPsec se conectam e usam o grupo que você configurou, eles são autenticados pelo servidor RADIUS.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Falha na autenticação do WebVPN

Estas seções fornecem informações que você pode usar para solucionar problemas da sua configuração.

  • Problema: Os usuários do WebVPN não conseguem se autenticar no servidor RADIUS, mas podem se autenticar com êxito no banco de dados local do VPN Concentrator. Eles recebem erros como "Falha de login" e esta mensagem.

    cisco_vpn_msradius_8.gif

    Causa: esses tipos de problemas geralmente ocorrem quando qualquer banco de dados diferente do banco de dados interno do Concentrador é usado. Os usuários do WebVPN atingem o grupo base quando se conectam pela primeira vez ao concentrador e devem usar o método de autenticação padrão. Frequentemente, esse método é definido como o banco de dados interno do concentrador e não é um RADIUS configurado ou outro servidor.

    Solução: quando um usuário do WebVPN se autentica, o Concentrador verifica a lista de servidores definida em Configuration > System > Servers > Authentication e usa o principal. Certifique-se de mover o servidor com o qual deseja que os usuários do WebVPN se autentiquem para o início desta lista. Por exemplo, se o RADIUS for o método de autenticação, você precisará mover o servidor RADIUS para o início da lista para enviar a autenticação para ele.

    Observação: o fato de os usuários do WebVPN atingirem inicialmente o grupo base não significa que eles estejam confinados ao grupo base. Grupos WebVPN adicionais podem ser configurados no concentrador, e usuários podem ser atribuídos a eles pelo servidor RADIUS com a população do atributo 25 com OU=groupname . Consulte Locking Users into a VPN 3000 Concentrator Group Using a RADIUS Server para obter uma explicação mais detalhada.

A autenticação do usuário falha no Ative Diretory

No servidor do Ative Diretory, na guia Conta das Propriedades do Usuário do usuário com falha, você pode ver esta caixa de seleção:

[x] Não exigir pré-autenticação

Se essa caixa de seleção estiver desmarcada, marque-a e tente se autenticar novamente com esse usuário.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
25-Feb-2002
Versão inicial

Colaboração de

  • pqiu
    ddunlap

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos