суббота, 3 марта 2012 г.

Cisco - логин на роутере через Microsoft NPS сервер используя доменную учетную запись

В предыдущей статье я описывала как настроить аутентификацию для L2TP клиентов  через radius  сервер. В этой статье приведено пару рекомендаций по настройке аутентификации и авторизации для подключения к роутеру через ssh

Для настройки аутентификации необходимо:
1. Определить какой уровень привилегий будет получать сотрудник при успешном прохождении аутентификации
2. Необходимо ли передавать дополнительные атрибуты на сервер radius

Предположим что у нас  есть служба поддержки, которой необходимо мониторить работоспособность сервисов на роутере и группа администраторов, ответственных за настройку
маршрутизаторов.

Предварительная подготовка
Заведем две группы в домене. CiscoSupport и CiscoAdmin. Определим для себя что CiscoSupport при подключении к роутеру должны получать уровень привилегий 8,  а  Ciscoadmin 15.


Настройка NPS сервера
Создаем  две политики, первая для аутентификации и настройки уровня привилегий пользователей из группы CiscoSupport, вторая  для CiscoAdmin. Политики нужно расположить в правильном порядке, так как проверка работает по принципу - до первого вхождения.

Далее приведены в картинках настройки политики CiscoAdmin. Для группы CiscoSupport настройки выполняются аналогично, изменяется только передаваемый уровень привилегий.

 Определяем что всем пользователям группы Ciscoadmin предоставить доступ к роутерам


 Устанавливаем параметры шифрования при аутентификации.


 И самое главное добавляем атрибут для установки уровня привилегий 15.



Настройки cisco:
1. Настройка aaa
aaa authentication login default local group radius
! если не указать данные параметры, то аттрибу priv-lvl=15 обрабатываться не будет. И пользователь будет проваливаться в консоль с уровнем привилегий равных 1
aaa authorization exec default group radius if-authenticated

2. Настройки радиус сервера 
! принудительно передаем service-type
radius-server attribute 6 on-for-login-auth

radius-server host X.X.X.X auth-port 1812 acct-port 1813
radius-server key 1



Статьи по теме
Radius Attributes 
Cisco Radius VSA 




Комментариев нет: