在VPN 3000產品中使用RADIUS伺服器

本檔案介紹將某些RADIUS伺服器與VPN 3000集中器和VPN使用者端一起使用時發現的一些警告。

• Windows 2000 伺服器 is 需要 需要 密碼 驗證 ( Cisco VPN客 戶端 。 （ IPSec客 戶端 ）

• 使用不支援Microsoft質詢握手身份 is 驗證 協定(MSCHAP)的RADIUS伺服器要求在VPN 3000集中器上禁用MSCHAP選項。（點對點通道通訊協定[PPTP]使用者端）

• 在PPTP中使用加密需要從RADIUS返回屬性MSCHAP-MPPE-Keys。（PPTP客戶端）

• 在 Windows 中 ， 可以 使用 MS – CHAP ， 但 「 A DIUS with Expiry 」 。

其中一些註釋出現在產品發行說明中。

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

本文件沒有特定先決條件。

本文中的資訊係根據以下軟體和硬體版本：

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

您 is 使用 可以 使用 Windows 2000 VPN客 戶端 。 在 以下 中 （ VPN客 戶端 請求 身份 is 驗證 ） ， 3000 集中 VPN客 戶端 戶端 的 和 的 。 在 將 / 密碼傳 is 送到 專用 中 的 Windows 2000 之前 ， 使用 HMAC/MD 對 其 。

Windows 2000 RADIUS伺服器需要PAP來驗證VPN客戶端會話。要啟用RADIUS伺服器對VPN客戶端使用者進行身份 is 驗證 ，請檢查編輯撥入配置檔案視窗上的未加密身份 is 驗證 (PAP， SPAP)引數（預設情況下，不檢查此引數）。 要設定此引數，請選擇正在使用的遠端 ， 屬性，然後選擇身份 is 驗證 頁籤。

請注意，此引數名稱上的Unencrypted字詞具有誤導性。使用此引數不會引起安全漏洞，因為VPN集中器向RADIUS伺服器傳送身份 is 驗證 資料包時，不會以明文形式傳送密碼（如果使用VPN集中器，則不會以明文形式傳送密碼）。VPN集中器從VPN客戶端接收使用者名稱/密碼和加密資料包，並在向伺服器傳送身份 is 驗證 資料包之前對密碼執行HMAC/MD5雜湊。

某些RADIUS伺服器不支援MSCHAPv1或MSCHAPv2使用者驗證。如果使用不支援MSCHAP（v1或v2）的RADIUS伺服器，則必須將基本組的PPTP身份 is 驗證 協定配置為使用PAP和/或CHAP，同時禁用MSCHAP選項。不支援MSCHAP的RADIUS伺服器的示例包括Livingston v1.61 RADIUS伺服器或基於Livingston代碼的任何RADIUS伺服器。

注意：如果沒有MSCHAP，PPTP客戶端之間的資料包將不會被加密。

要對PPTP使用加密，RADIUS伺服器必須支援MSCHAP身份 is 驗證 ，並且必須為每個使用者身份 is 驗證 傳送返回屬性MSCHAP-MPPE-Keys。支援此屬性的RADIUS伺服器示例如下所示。

• Cisco Secure ACS for Windows – 2 . 6版 或 更

• Funk軟體鋼帶式RADIUS

• Micros of on NT 0 選項 is 包

• Microsoft商業網際網路系統(MCIS 2.0)

• Microsoft Windows 2000 Server — Internet身份 is 驗證 伺服器