Настройка Radius аутентификации с Windows Server 2012 NPS (Network Policy Server) на Cisco IOS

Рассмотрим настройку Radius аутентификации на Cisco устройствах, посредством службы Политики сети и доступа (Network Policy Server) на Windows Server 2012 R2.

 

Добавление роли, настройка Active Directory

Добавляем роль , переходим в Диспетчер серверовУправлениеДобавить роли и компоненты.

 

Выбираем роль (Службы политики сети и доступа):

 

 

Выбираем службу ролей (Сервер политики сети):

 

Для завершения установки роли, нажимаем Установить и дожидаемся установки компонента, после чего нажимаем Завершить.

 

В  Active Directory необходимо создать группу безопасности (прим. NPS_Cisco) и включить в нее пользователей кому будет разрешена аутентификации на маршрутизаторах и коммутаторах Cisco.

 

Настройка Network Policy Server

Открываем оснастку Сервер политики сети (Network Policy Server).

 

Для полноценного использования функций NPS-сервера в домене, выполним регистрацию его в Active Directory. В оснастке на NPS (Локально), нажимаем правой кнопкой мыши и выбираем Зарегистрировать сервер в Active Directory (Register server in Active Directory):

 

Подтверждаем регистрацию сервера в Active Directory:

 

После регистрации NPS в Active Directory, добавим клиента RADIUS. На строке RADIUS-клиенты и серверы (RADIUS Clients and Servers) щелкаем правой кнопкой мыши и выбираем Новый документ (NEW):

 

Во вкладке «Параметры» вводим Понятное имя (Friendly name), IP-адрес (Address) и Общий секрет (Shared Secret). Во вкладке «Дополнительно» указываем Имя поставщика (Vendor name) — Cisco

Значение в поле Понятное имя (Friendly name) может отличаться от DNS имени. Оно потребуется нам в дальнейшем для идентификации конкретного сетевого устройства при создании политик доступа. Опираясь на это имя мы сможем задавать например маску по которой будут обрабатываться определённой политикой доступа несколько разных RADIUS клиентов.

 

Раскрываем ветку Политики (Policies) — Сетевые политики (Network Policies) и щелкаем правой кнопкой мыши и выбираем Новый документ (NEW):

 

Задаем Имя политики (Policy name), Тип сервера доступа к сети (Type of network access server) оставляем без изменения:

 

Задаем условия, которые должны соответствовать для успешной аутентификации. Создадим два условия:

  • Группы пользователей (указываем ранее созданную в Active Directory группу безопастности)
  • Понятное имя клиента (указываем дружественные имена, начинающиеся с префикса CISCO_)

Результат добавления условий:

 

 

Указываем разрешение доступа, оставляем значение Доступ разрешен (Access Granted).

 

Cisco поддерживает только методы Проверка открытым текстом (PAP, SPAP) (Unencrypted authentication (PAP, SPAP)). Снимите все флажки и отмечаем только Проверка открытым текстом (PAP, SPAP):

 

После настройки методов проверки подлинности вам будет предложено настроить Ограничения (Constraints), пропускаем этот раздел и переходим к следующему шагу.

 

Настройка параметров (Configure Settings), переходим в Атрибуты RADIUS (RADIUS Attributes) — Стандарт (Standard). Удаляем имеющиеся там атрибуты и нажимаем Добавить… (Add…)

 

Тип доступа выбираем Service-Type, нажимаем Добавить, выставляем значение атрибута Login 

переходим в Атрибуты RADIUS (RADIUS Attributes) — Зависящие от поставщика (Vendor Specific), добавляем новый атрибут, и нажимаем Добавить… (Add…)

 

В пункте Поставщик (Vendor), указываем Cisco и нажимаем Добавить… (Add…). Будет предложено добавить сведения об атрибуте, нажимаем Добавить… (Add…) и устанавливаем значение атрибута:

shell: priv-lvl = 15


В итоге должно получится как изображено ниже. Нажимаем Далее (Next).

 

Представление сводки новой политики, которая была сформирована. Нажимаем Готово (Finish):

 

После создания политики, можно переходить к настройке маршрутизаторов и коммутаторов Cisco для аутентификации на сервере Radius NPS.

 

Настройка Cisco IOS AAA

Сперва настроим локальную учетную запись (прим. admin), на случай выхода из строя RADIUS-сервера, выполняем команды:

cisco>enable
cisco#config terminal

cisco(config)#username admin priv 15 secret Aa1234567

 

Выполняем последовательность действий по добавлению RADIUS-сервера:

  • Включаем AAA
  • Создаем группу серверов RADIUS (На случай если будет их несколько)
  • Добавляем RADIUS-сервер
  • Настраиваем профиль аутентификации (сперва RADIUS-сервер, если он не доступен, то тогда локальные учетные записи)
  • Настраиваем профиль авторизации (сперва RADIUS-сервер, если он не доступен, то тогда локальные учетные записи)
  • Включаем аутентификацию
cisco(config)#aaa new-model
cisco(config)#aaa group server radius NPS-SRV
cisco(config-sg-radius)#server-private 10.10.10.1 key CISCO
cisco(config-sg-radius)#exit
cisco(config)#aaa authentication login NPS group NPS-SRV local
cisco(config)#aaa authorization exec NPS group NPS-SRV local
cisco(config)#aaa authorization console
cisco(config)#line console 0
cisco(config)#login authentication NPS
cisco(config)#line vty 0 4
cisco(config)#login authentication NPS
cisco(config)#line vty 5 15
cisco(config)#login authentication NPS

Это минимальная настройка аутентификации/авторизации на маршрутизаторах/коммутаторов Cisco.

 

Понравилась или оказалась полезной статья, поблагодари автора

 

БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
Загрузка...

Оставить ответ

1 × 1 =