Проект «SnakeProject» Михаила КозловаРегистрация

Навигация
⇒CISCO⇒

⇒ORACLE SQL \ JAVA⇒

⇐Voice(Asterisk\Cisco)
⇐Microsoft
⇐Powershell
⇐Python
⇐SQL\T-SQL
⇐FreeBSD and Nix
⇐1С
⇐Общая
⇐WEB Разработка
⇐Мото

CISCO + Radius на Windows 2008\2012 NPS


Настроим аутентификацию по доменным учеткам на оборудовании cisco:


На Доменконтроллере:
1. Создаем группу безопасности (например "radius")
2. Помещаем туда нужные учетки пользователей
У учеток, которые будут в группе должно быть установлено разрешение, дающее право удалённого доступа
(Network Access Permission на закладке Dial-In)

На Windows 2012\2008 сервере для радиуса:

1. Устанавливаем роль Network Policy Server (все по дефолту)
В консоли Network Policy Server:
Правой кнопкой мыши по "NPS(local)" - Register Server in Active Directory

2. Добавление клиентов на RADIUS
В консоли Network Policy Server:
Radius Clients and Servers - Radius Clients - New ( указать имя(Friendly name), IP, ключ(Shared secret), vendor name - cisco )
В имени(Friendly name) делаем маску "cisco_" - пример cisco_CORBINA

3. Политика доступа на RADIUS
Свяжем записи о клиентах и доменных групп безопасности
Policies - Network Policies - New ( Указать имя, тип соединения - Unspecified )
В Specify conditions добавим условия применения политики RADIUS:
3.1 пользователь должен входить в определенную доменную группу безопасности 
3.2 устройство должно иметь определённое "Friendly name" в шаге 2 - Add - добавить условия Windows Group и Client Friendly Name 
Политика будет применяться к RADIUS клиентам, у которых свойство атрибута "Friendly name" = значение начинающееся с "cisco_"

4. Specify Access Permission – Access granted

5. Configure Authentication Methods: 
5.1 удалим все методы аутентификации
5.2 включим - Unencrypted authentication (PAP, SPAP), т.к. наше устройство поддерживает только этот метод

6. Выйдет предупреждение, нажмем – No

7. Configure Constraints ничего не указываем, идем дальше

8. Configure Settings, раздел стандартных атрибутов (Radius Attributes Standard):
8.1 удалим два имеющихся по умолчанию атрибута
8.2 добавим новый - Add - в открывшемся окне выбора атрибутов - Service-Type - Add
8.3 Переключатель Attribute value - Others - выберем Login - ok
8.4 Ниже слева Radius Attributes Standard закладка Vendor Specific - Add
8.5 Тип атрибута - Vendor-Specific (RADIUS Standard) - Add - Add
8.6 Vendor: select from list - cisco, пункт - Yes. It conforms, жмем Configure Attribute
8.7 Значения атрибута – 1, формат строковый – String, значение - shell:priv-lvl=15 - ok
8.8 Ok - завершаем

9. Policies - Connection Request Policies - оставим по умолчанию


На CISCO:

Конфигурируем ssh второй версии:
configure terminal 
crypto key generate rsa modulus 1024 
ip ssh version 2

Если ругнулся:
% Please define a domain-name first.

Тогда (cisco_corb - заменить на имя оборудования):
ip domain name cisco_CORBINA.local

Аутентификация сначала на радиусе, если недоступен - локально:
aaa authentication login default group radius local 
Авторизация достаточно локальной:
aaa authorization exec default local

Укажем сервер и ключ из шага "2. Добавление клиентов на RADIUS":
radius-server host 192.168.10.2 key gh2@t#
service password-encryption

line vty 5 15
transport input ssh

Проверка:
Не разрывая установленного соединения проверяем:
1. Новое соединение с включенным NPS Radius
2. Новое соединение с выключенным NPS Radius

Сохраняемся:
wr

Логи пишутся в журнале windows, искать по ключевому слову "cisco" или ip адресу

 

Либо вариант с более новыми версиями IOS

Сначала Радиус (NPS)

На CISCO


ROUTER>enable
ROUTER#config terminal

ROUTER(config)#username Your_Name priv 15 secret Your_Pass

ROUTER(config)#aaa group server radius Your_NPS_SERVER
ROUTER(config-sg-radius)#server-private 192.168.10.10 auth-port 1812 acct-port 1813 key CISCO

ROUTER(config)#aaa authentication login default group Your_NPS_SERVER local
ROUTER(config)#aaa authorization exec default group Your_NPS_SERVER local if-authenticated
ROUTER(config)#aaa authorization console

 


Комментарии пользователей

Эту новость ещё не комментировалиНаписать комментарий
Анонимам нельзя оставоять комментарии, зарегистрируйтесь!

© Snakeproject.ru создан в 2013 году. При копировании материала с сайта - оставьте ссылку.


Яндекс.Метрика

Goon Каталог сайтов Рейтинг@Mail.ru