Настроим аутентификацию по доменным учеткам на оборудовании cisco:
На Доменконтроллере:
1. Создаем группу безопасности (например "radius")
2. Помещаем туда нужные учетки пользователей
У учеток, которые будут в группе должно быть установлено разрешение, дающее право удалённого доступа
(Network Access Permission на закладке Dial-In)
На Windows 2012\2008 сервере для радиуса:
1. Устанавливаем роль Network Policy Server (все по дефолту)
В консоли Network Policy Server:
Правой кнопкой мыши по "NPS(local)" - Register Server in Active Directory
2. Добавление клиентов на RADIUS
В консоли Network Policy Server:
Radius Clients and Servers - Radius Clients - New ( указать имя(Friendly name), IP, ключ(Shared secret), vendor name - cisco )
В имени(Friendly name) делаем маску "cisco_" - пример cisco_CORBINA
3. Политика доступа на RADIUS
Свяжем записи о клиентах и доменных групп безопасности
Policies - Network Policies - New ( Указать имя, тип соединения - Unspecified )
В Specify conditions добавим условия применения политики RADIUS:
3.1 пользователь должен входить в определенную доменную группу безопасности
3.2 устройство должно иметь определённое "Friendly name" в шаге 2 - Add - добавить условия Windows Group и Client Friendly Name
Политика будет применяться к RADIUS клиентам, у которых свойство атрибута "Friendly name" = значение начинающееся с "cisco_"
4. Specify Access Permission – Access granted
5. Configure Authentication Methods:
5.1 удалим все методы аутентификации
5.2 включим - Unencrypted authentication (PAP, SPAP), т.к. наше устройство поддерживает только этот метод
6. Выйдет предупреждение, нажмем – No
7. Configure Constraints ничего не указываем, идем дальше
8. Configure Settings, раздел стандартных атрибутов (Radius Attributes Standard):
8.1 удалим два имеющихся по умолчанию атрибута
8.2 добавим новый - Add - в открывшемся окне выбора атрибутов - Service-Type - Add
8.3 Переключатель Attribute value - Others - выберем Login - ok
8.4 Ниже слева Radius Attributes Standard закладка Vendor Specific - Add
8.5 Тип атрибута - Vendor-Specific (RADIUS Standard) - Add - Add
8.6 Vendor: select from list - cisco, пункт - Yes. It conforms, жмем Configure Attribute
8.7 Значения атрибута – 1, формат строковый – String, значение - shell:priv-lvl=15 - ok
8.8 Ok - завершаем
9. Policies - Connection Request Policies - оставим по умолчанию
На CISCO:
Конфигурируем ssh второй версии:
configure terminal
crypto key generate rsa modulus 1024
ip ssh version 2
Если ругнулся:
% Please define a domain-name first.
Тогда (cisco_corb - заменить на имя оборудования):
ip domain name cisco_CORBINA.local
Аутентификация сначала на радиусе, если недоступен - локально:
aaa authentication login default group radius local
Авторизация достаточно локальной:
aaa authorization exec default local
Укажем сервер и ключ из шага "2. Добавление клиентов на RADIUS":
radius-server host 192.168.10.2 key gh2@t#
service password-encryption
line vty 5 15
transport input ssh
Проверка: Не разрывая установленного соединения проверяем:
1. Новое соединение с включенным NPS Radius
2. Новое соединение с выключенным NPS Radius
Сохраняемся:
wr
Логи пишутся в журнале windows, искать по ключевому слову "cisco" или ip адресу
ROUTER(config)#aaa group server radius Your_NPS_SERVER
ROUTER(config-sg-radius)#server-private 192.168.10.10 auth-port 1812 acct-port 1813 key CISCO
ROUTER(config)#aaa authentication login default group Your_NPS_SERVER local
ROUTER(config)#aaa authorization exec default group Your_NPS_SERVER local if-authenticated
ROUTER(config)#aaa authorization console
Комментарии пользователей
Эту новость ещё не комментировалиНаписать комментарий
Анонимам нельзя оставоять комментарии, зарегистрируйтесь!
Код обмена баннерами
