配置Cisco VPN 3000系列集中器以支援RADIUS伺服器的NT密碼過期功能

簡介

本文檔包含有關如何使用RADIUS伺服器配置Cisco VPN 3000系列集中器以支援NT密碼到期功能的逐步說明。

請參閱使用Microsoft Internet Authentication Server的VPN 3000 RADIUS到期功能，以瞭解有關Internet Authentication Server(IAS)相同方案的詳細資訊。

必要條件

需求

• 如果您的RADIUS伺服器和NT域身份驗證伺服器位於兩台單獨的電腦上，請確保您已在兩個電腦之間建立IP連線。

• 確保已建立從集中器到RADIUS伺服器的IP連線。如果RADIUS伺服器朝向公共介面，不要忘記開啟公共過濾器上的RADIUS埠。

• 確保可以使用內部使用者資料庫從VPN客戶端連線到集中器。如果尚未配置，請參閱將IPSec - Cisco 3000 VPN客戶端配置為VPN 3000集中器。

注意：密碼過期功能不能用於Web VPN或SSL VPN客戶端。

採用元件

此配置是使用下面的軟體和硬體版本開發和測試的。

• VPN 3000集中器軟體版本4.7

• VPN使用者端版本3.5

• Cisco Secure for NT(CSNT)3.0版Microsoft Windows 2000 Active Directory Server，用於使用者身份驗證

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

網路圖表

本檔案會使用以下網路設定：

圖說明

1. 此配置中的RADIUS伺服器位於公共介面上。如果您的特定設定發生這種情況，請在公共過濾器中建立兩個規則，以允許RADIUS流量進入並離開集中器。

2. 此配置顯示CSNT軟體和NT域身份驗證服務在同一台電腦上運行。如果配置需要，可以在兩台單獨的電腦上運行這些元素。

配置VPN 3000集中器

組配置

1. 要將組配置為接受來自RADIUS伺服器的NT密碼到期引數，請轉到Configuration > User Management > Groups，從清單中選擇您的組，然後按一下Modify Group。以下示例顯示如何修改名為「ipsecgroup」的組。

   

2. 轉到IPSec頁籤，確保已為Authentication屬性選擇了Expiry的RADIUS。

   

3. 如果您希望在VPN 3002硬體客戶端上啟用此功能，請轉到HW Client頁籤，確保已啟用Require Interactive Hardware Client Authentication，然後按一下Apply。

   

RADIUS組態

1. 要在集中器上配置RADIUS伺服器設定，請轉到Configuration > System > Servers > Authentication > Add。

   

2. 在「Add」螢幕上，鍵入與RADIUS伺服器對應的值，然後按一下Add。

   以下示例使用以下值。

   Server Type: RADIUS
   

   Authentication Server: 172.18.124.96
   

   Server Port = 0 (for default of 1645)

   Timeout = 4
   

   Reties = 2
   

   Server Secret = cisco123
   

   Verify: cisco123
   

配置Cisco Secure NT RADIUS伺服器

配置VPN 3000集中器的條目

1. 登入到CSNT，然後按一下左側面板中的Network Configuration。在「AAA Clients」下，按一下Add Entry。

   

2. 在「新增AAA客戶端」螢幕上，鍵入相應的值以新增集中器作為RADIUS客戶端，然後按一下提交+重新啟動。

   以下示例使用以下值。

   AAA Client Hostname = 133_3000_conc
   

   AAA Client IP Address = 172.18.124.133
   

   Key = cisco123
   

   Authenticate using = RADIUS (Cisco VPN 3000)
   

   

   您的3000集中器的條目將出現在「AAA客戶端」部分下。

   

為NT域身份驗證配置未知使用者策略

1. 要將RADIUS伺服器上的使用者身份驗證配置為未知使用者策略的一部分，請在左側面板中按一下External User Database，然後按一下Database Configuration的連結。

   

2. 在「外部使用者資料庫配置」下，按一下Windows NT/2000。

   

3. 在「資料庫配置建立」螢幕上，按一下建立新配置。

   

4. 出現提示時，鍵入NT/2000身份驗證的名稱，然後按一下Submit。以下範例顯示名稱「Radius/NT Password Expiration」。

   

5. 按一下Configure以配置用於使用者身份驗證的域名。

   

6. 從「可用域」中選擇您的NT域，然後按一下右箭頭按鈕將其新增到「域清單」。 在「MS-CHAP設定」下，確保已選中允許使用MS-CHAP版本1和版本2更改密碼的選項。完成後按一下Submit。

   

7. 在左面板中按一下外部使用者資料庫，然後按一下Database Group Mappings的連結(如本例所示)。 您應該看到以前配置的外部資料庫的條目。以下範例顯示我們剛設定的資料庫「Radius/NT密碼過期」的專案。

   

8. 在「域配置」螢幕上，按一下New configuration以新增域配置。

   

9. 從「檢測到的域」清單中選擇您的域，然後按一下提交。以下示例顯示名為「JAZIB-ADS」的域。

   

10. 按一下您的域名以配置組對映。此示例顯示域「JAZIB-ADS」。

    

11. 按一下Add mapping以定義組對映。

    

12. 在「建立新組對映」螢幕上，將NT域上的組對映到CSNT RADIUS伺服器上的組，然後按一下提交。以下示例將NT組「Users」對映到RADIUS組「Group 1」。

    

13. 在左側面板中按一下External User Database，然後按一下Unknown User Policy的連結(如本示例所示)。 確保選中Check the following external user databases選項。按一下右箭頭按鈕將以前配置的外部資料庫從「外部資料庫」清單移動到「所選資料庫」清單。

    

測試NT/RADIUS密碼到期功能

集中器提供測試RADIUS身份驗證的功能。要正確測試此功能，請確保您仔細執行這些步驟。

測試RADIUS驗證

1. 前往Configuration > System > Servers > Authentication。選擇您的RADIUS伺服器，然後按一下測試。

   

2. 出現提示時，鍵入您的NT域使用者名稱和密碼，然後按一下OK。以下示例顯示在NT域伺服器上配置的使用者名稱「jfrahim」，密碼為「cisco123」。

   

3. 如果身份驗證設定正確，您應該收到一條消息「Authentication Successful」（身份驗證成功）。

   

   如果您收到的消息不是上面顯示的消息，則表明存在某些配置或連線問題。請重複本文檔中概述的配置和測試步驟，以確保正確設定所有設定。還要檢查裝置之間的IP連線。

使用RADIUS代理測試密碼到期功能的實際NT域身份驗證

1. 如果已在域伺服器上定義使用者，請修改屬性，以便在下次登入時提示使用者更改密碼。轉至使用者屬性對話方塊的「帳戶」頁籤，選擇User must change password at next logon（使用者下次登入時必須更改密碼）選項，然後單擊「OK」(確定)。

   

2. 啟動VPN客戶端，然後嘗試建立到集中器的隧道。

   

3. 在使用者身份驗證期間，系統應提示您更改密碼。

   

相關資訊

• Cisco VPN 3000系列集中器
• IPSec
• 思科安全存取控制伺服器（Windows專用）
• RADIUS
• 要求建議 (RFC)