Главная » Linux

Windows 2012 radius server cisco

Содержание
  1. CISCO + Radius на Windows 200812 NPS
  2. Steinkäfer
  3. вторник, 12 сентября 2017 г.
  4. 802.1X. Cisco Switch. Windows RADIUS (NSP).
  5. Настройка Network Policy Server Microsoft Windows 2012 R2
  6. Настройка коммутатора Cisco
  7. Базовые настройки порта.
  8. Настраиваем доменную аутентификацию на сетевом оборудовании
  9. Установка и настройка сервера с ролью Network Policy Server
  10. Настройка сетевого оборудования для работы с сервером RADUIS

CISCO + Radius на Windows 2008\2012 NPS

Настроим аутентификацию по доменным учеткам на оборудовании cisco:

На Доменконтроллере:
1. Создаем группу безопасности (например «radius»)
2. Помещаем туда нужные учетки пользователей
У учеток, которые будут в группе должно быть установлено разрешение, дающее право удалённого доступа
(Network Access Permission на закладке Dial-In)

На Windows 2012\2008 сервере для радиуса:

1. Устанавливаем роль Network Policy Server (все по дефолту)
В консоли Network Policy Server:
Правой кнопкой мыши по «NPS(local)» — Register Server in Active Directory

2. Добавление клиентов на RADIUS
В консоли Network Policy Server:
Radius Clients and Servers — Radius Clients — New ( указать имя(Friendly name), IP, ключ(Shared secret), vendor name — cisco )
В имени(Friendly name) делаем маску «cisco_» — пример cisco_CORBINA

3. Политика доступа на RADIUS
Свяжем записи о клиентах и доменных групп безопасности
Policies — Network Policies — New ( Указать имя, тип соединения — Unspecified )
В Specify conditions добавим условия применения политики RADIUS:
3.1 пользователь должен входить в определенную доменную группу безопасности
3.2 устройство должно иметь определённое «Friendly name» в шаге 2 — Add — добавить условия Windows Group и Client Friendly Name
Политика будет применяться к RADIUS клиентам, у которых свойство атрибута «Friendly name» = значение начинающееся с «cisco_»

4. Specify Access Permission – Access granted

5. Configure Authentication Methods:
5.1 удалим все методы аутентификации
5.2 включим — Unencrypted authentication (PAP, SPAP), т.к. наше устройство поддерживает только этот метод

6. Выйдет предупреждение, нажмем – No

7. Configure Constraints ничего не указываем, идем дальше

8. Configure Settings, раздел стандартных атрибутов (Radius Attributes Standard):
8.1 удалим два имеющихся по умолчанию атрибута
8.2 добавим новый — Add — в открывшемся окне выбора атрибутов — Service-Type — Add
8.3 Переключатель Attribute value — Others — выберем Login — ok
8.4 Ниже слева Radius Attributes Standard закладка Vendor Specific — Add
8.5 Тип атрибута — Vendor-Specific (RADIUS Standard) — Add — Add
8.6 Vendor: select from list — cisco, пункт — Yes. It conforms, жмем Configure Attribute
8.7 Значения атрибута – 1, формат строковый – String, значение — shell:priv-lvl=15 — ok
8.8 Ok — завершаем

9. Policies — Connection Request Policies — оставим по умолчанию

На CISCO:

Конфигурируем ssh второй версии:
configure terminal
crypto key generate rsa modulus 1024
ip ssh version 2

Если ругнулся:
% Please define a domain-name first.

Тогда (cisco_corb — заменить на имя оборудования):
ip domain name cisco_CORBINA.local

Аутентификация сначала на радиусе, если недоступен — локально:
aaa authentication login default group radius local
Авторизация достаточно локальной:
aaa authorization exec default local

Читайте также:  Астра линукс статический маршрут

Укажем сервер и ключ из шага «2. Добавление клиентов на RADIUS»:
radius-server host 192.168.10.2 key gh2@t#
service password-encryption

line vty 5 15
transport input ssh

Проверка:
Не разрывая установленного соединения проверяем:
1. Новое соединение с включенным NPS Radius
2. Новое соединение с выключенным NPS Radius

Сохраняемся:
wr

Логи пишутся в журнале windows, искать по ключевому слову «cisco» или ip адресу

Либо вариант с более новыми версиями IOS

Сначала Радиус (NPS)

На CISCO

ROUTER>enable
ROUTER#config terminal

ROUTER(config)#username Your_Name priv 15 secret Your_Pass

ROUTER(config)#aaa group server radius Your_NPS_SERVER
ROUTER(config-sg-radius)#server-private 192.168.10.10 auth-port 1812 acct-port 1813 key CISCO

ROUTER(config)#aaa authentication login default group Your_NPS_SERVER local
ROUTER(config)#aaa authorization exec default group Your_NPS_SERVER local if-authenticated
ROUTER(config)#aaa authorization console

Steinkäfer

вторник, 12 сентября 2017 г.

802.1X. Cisco Switch. Windows RADIUS (NSP).

Была поставлена следующая задача:
Есть доменный компьютер в зале совещаний. Он должен оставаться доменным. При заходе на него обычного пользователя домена, компьютер попадает в «Пользовательскую» сеть. Если на компьютер логинется работник ИТ-службы, компьютер попадает в «Админскую» сеть, с расширенными правами доступа. Если логин на компьютер происходит под гостевой учетной записью, то компьютер должен попасть в «Гостевую» сеть с доступом только в интернет. Также в «Гостевую» сеть должен попасть не корпоративный ноутбук, если его включить вместо компьютера. Компьютер может подключаться к коммутатору напрямую, так и через дополнительный порт IP-телефона Unify (Siemens).
Данную задачу решили с помощью технология 802.1x.

Что понадобилось?

  1. Домен Windows, как место централизованного хранения данных пользователя
  2. Сервер аутентификации, Network Policy Server (NPS) — Windows RADIUS
  3. DHCP server.
  4. Аутентификатор, Switch Cisco WS-C2960-24PC-L, IOS: c2960-lanbasek9-mz.150-2.SE6
  5. Суппликант (клиент) 802.1X, тестовый компьютер
  6. IP-телефон Unify (Siemens)
  7. Сервер сертификатов (в моем случае от отсутствовал)

Для начала описание схемы.
Были выделены следующие vlan-ы и сети:
vlan 168 — 192.168.168.0/24 — «Админская» сеть
vlan 170 — 192.168.170.0/24 — «Пользовательская» сеть
vlan 99 — 192.168.254.0/24 — «Гостевая» сеть
vlan 90 — 10.10.10.0/24 — voice vlan
vlan 9 — 10.10.9.0 — vlan управления коммутатором
В качестве DHCP сервера использовалась Cisco 1841. Настройки DHCP сервера описывать не буду, так как никаких особенностей нет, все стандартно.
Ставим адрес на vlan-е управления коммутатором:

interface Vlan9
ip address 10.10.9.22 255.255.255.0

By default, NPS uses UDP ports 1812 and 1645 for authentication messages and UDP ports 1813 and 1646 for accounting messages.

Настройка Network Policy Server Microsoft Windows 2012 R2

  • Tunnel-Medium-Type 802
  • Tunnel-Type Virtual VLANs
  • Tunnel-Pvt-Group-ID 168 (Это VLAN в который после авторизации коммутатор поместит клиента)

В «Vendor Specific» указываем Tunnel-Tag 168 (Так же номер VLAN)

Осталось повторить настройку для vlan 170.
На этом настройка сервера NAS закончена.

Настройка коммутатора Cisco

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
radius server RADIUS
address ipv4 10.10.10.73 auth-port 1645 acct-port 1646
key 12345 ! Ключ SharedSecret указанный ранее в шаблоне

Базовые настройки порта.

interface FastEthernet0/3
switchport mode access
switchport access vlan 5
authentication event fail action authorize vlan 99
authentication event no-response action authorize vlan 99
authentication port-control auto
dot1x pae authenticator
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
spanning-tree portfast

authentication port-control auto Enables 802.1X authentication on the interface (12.2.50 SE and later)
dot1x pae authenticator Enables 802.1X authentication on the port with default parameters.
Исправление предыдущих default parameters
dot1x timeout quiet-period 15 S econds to wait after failed attempt
dot1x timeout tx-period 3 T ime to resubmit request
authentication event fail action authorize vlan 99 в этот VLAN попадет устройство в случае неудачной авторизации
authentication event no-response action authorize vlan 99 в этот VLAN попадет устройство если оно не может\не хочет авторизоваться В моём случае это один и тот же VLAN.

Читайте также:  Linux проверить ip address

Настраиваем доменную аутентификацию на сетевом оборудовании

При обслуживании больших сетей системные администраторы часто сталкиваются с проблемами аутентификации на сетевом оборудовании. В частности, довольно сложно организовать нормальную работу нескольких сетевых администраторов под индивидуальными учетными записями на большом количестве оборудования (приходится вести и поддерживать в актуальном состоянии базу локальных учетных записей на каждом устройстве). Логичным решение было бы использовать для авторизации уже существующей базы учетных записей — Active Directory. В этой статье мы разберемся, как настроить доменную (Active Directory) аутентификацию на активном сетевом оборудовании (коммутаторы, маршрутизаторы).

Не все сетевое оборудование популярных вендоров (CISCO, HP, Huawei) поддерживает функционал для непосредственного обращения к каталогу LDAP, и такое решение не будет универсальным. Для решения нашей задачи подойдет протокол AAA (Authentication Authorization and Accounting), фактически ставший стандартом де-факто для сетевого оборудования. Клиент AAA (сетевое устройство) отправляет данные авторизующегося пользователя на сервер RADIUS и на основе его ответа принимает решение о предоставлении / отказе доступа.

Протокол Remote Authentication Dial In User Service (RADIUS) в Windows Server 2012 R2 включен в роль NPS (Network Policy Server). В первой части статьи мы установим и настроим роль Network Policy Server, а во второй покажем типовые конфигурации сетевого устройств с поддержкой RADUIS на примере коммутаторов HP Procurve и оборудования Cisco.

Установка и настройка сервера с ролью Network Policy Server

Как правило, сервер с ролью NPS рекомендуется устанавливать на выделенном сервере (не рекомендуется размещать эту роль на контроллере домена). В данном примере роль NPS мы будем устанавливать на сервере с Windows Server 2012 R2.

Откройте консоль Server Manager и установите роль Network Policy Server (находится в разделе Network Policy and Access Services).

После окончания установки запустите mmc-консоль управления Network Policy Server. Нас интересуют три следующих раздела консоли:

  1. RADIUS Clients — содержит список устройств, которые могут аутентифицироваться на сервере
  2. Connection Request Policies – определяет типы устройств, которые могут аутентифицироваться
  3. Network Polices – правила аутентификации
Читайте также:  Windows 10 не удается установить связь со сканером

Добавим нового клиента RADIUS (это будет коммутатор HP ProCurve Switch 5400zl), щелкнув ПКМ по разделу RADIUS Clients и выбрав New. Укажем:

  • Friendly Name:sw-HP-5400-1
  • Address (IP or DNS): 10.10.10.2
  • Shared secret (пароль/секретный ключ): пароль можно указать вручную (он должен быть достаточно сложным), либо сгенерировать с помощью специальной кнопки (сгенерированный пароль необходимо скопировать, т.к. в дальнейшем его придется указать на сетевом устройстве).

Отключим стандартную политику (Use Windows authentication for all users) в разделе Connection Request Policies, щелкнув по ней ПКМ и выбрав Disable.

Создадим новую политику с именем Network-Switches-AAA и нажимаем далее. В разделе Сondition создадим новое условие. Ищем раздел RADIUS Client Properites и выбираем Client Friendly Name.

В качестве значения укажем sw-?. Т.е. условие будет применяться для всех клиентов RADIUS, начинающийся с символов :”sw-“. Жмем Next->Next-> Next, соглашаясь со всеми стандартными настройками.

Далее в разделе Network Policies создадим новую политику аутентификации. Укажите ее имя, например Network Switch Auth Policy for Network Admins. Создадим два условия: в первом условии Windows Groups, укажем доменную группу, члены которой могут аутентифицироваться (учетные записи сетевых администраторов в нашем примере включены в группу AD Network Admins) Второе условие Authentication Type, выбрав в качестве протокола аутентификации PAP.

Далее в окне Configure Authentication Methods снимаем галки со всех типов аутентификации, кроме Unencrypted authentication (PAP. SPAP).

В окне Configure Settings изменим значение атрибута Service-Type на Administrative.

В остальных случаях соглашаемся со стандартными настройками и завершаем работу с мастером.

И, напоследок, переместим новую политику на первое место в списке политик.

Настройка сетевого оборудования для работы с сервером RADUIS

Осталось настроить наше сетевое оборудование для работы с сервером Radius. Подключимся к нашему коммутатору HP ProCurve Switch 5400 и внесем следующе изменение в его конфигурацию (измените ip адрес сервера Raduis и пароль на свои).

Совет. Если в целях безопасности вы запретили подключаться к сетевому оборудованию через telnet, эти строки нужно удалить из конфига:

Не закрывая консольное окно коммутатора (это важно!, иначе, если что-то пойдет не так, вы более не сможете подключиться к своему коммутатору), откройте вторую telnet-сессию. Должно появиться новое окно авторизации, в котором будет предложено указать имя и пароль учетной записи. Попробуйте указать данные своей учетной записи в AD (она должна входить в группу Network Admins ). Если подключение установлено – вы все сделали правильно!

Для коммутатора Cisco конфигурация, предполагающая использование доменных учетных записей для аутентификации и авторизации, может выглядеть так:

Для Cisco ASA конфигурация будет выглядеть так:

Совет. Если что то-не работает, проверьте:

  • Совпадают ли секретные ключи на сервере NPS и коммутаторе (для теста можно использоваться простой пароль).
  • Указан ли правильный адрес NPS сервера в конфигурации. Пингуется ли он?
  • Не блокируют ли межсетевые экраны порты 1645 и 1646 между коммутатором и сервером?
  • Внимательно изучите логи NPS сервера
Оцените статью
© 2024 Советы по настройке компьютера