Конфигуришите аутентификацију домена на мрежној опреми

Приликом сервисирања великих мрежа, системски администратори често се сусрећу са проблемима аутентификације мрежне опреме. Конкретно, прилично је тешко организовати нормалан рад неколико мрежних администратора на појединачним рачунима на великој количини опреме (морате да одржавате и ажурирате базу података локалних рачуна на сваком уређају). Логично решење било би одобрити постојећу базу података налога - Ацтиве Дирецтори. У овом ћемо чланку сазнати како конфигурирати Аутентификација домена Ацтиве Дирецтори на активној мрежној опреми (прекидачи, рутери).

Није сва мрежна опрема популарних добављача (ЦИСЦО, ХП, Хуавеи) подржана функционалност за директан приступ ЛДАП директоријуму, а такво решење неће бити универзално. Протокол је погодан за решавање нашег проблема. ААА (Ауторизација и рачуноводство), заправо постају де фацто стандард за мрежну опрему. ААА клијент (мрежни уређај) шаље овлашћене корисничке податке серверу РАДИУС и на основу свог одговора одлучује о одобравању / ускраћивању приступа.

Протокол Удаљено бирање броја за аутентификацију у корисничкој служби (РАДИУС) у Виндовс Сервер 2012 Р2 је укључен у улогу НПС (Нетворк Полици Сервер). У првом делу чланка инсталираћемо и конфигуришемо улогу Нетворк Полици Сервер-а, а у другом ћемо приказати типичне конфигурације мрежних уређаја са подршком РАДУИС-а помоћу примера Прекидачи ХП Процурве и Цисцо опрема.

Садржај:

  • Инсталирајте и конфигуришите сервер са улогом Нетворк Полици Сервер
  • Конфигурисање мрежне опреме за рад са РАДУИС сервером

Инсталирајте и конфигуришите сервер са улогом Нетворк Полици Сервер

По правилу се препоручује инсталирање сервера са НПС улогом на наменски сервер (не препоручује се постављање ове улоге на контролер домена). У овом примеру ћемо инсталирати НПС улогу на сервер који покреће Виндовс Сервер 2012 Р2.

Отворите конзолу Сервер манагер и одредити улогу Сервер мрежних смерница (налази се у одељку Мрежне политике и услуге приступа).

По завршетку инсталације покрените ММЦ конзолу за управљање мрежном политиком. Занимају нас следећа три дела конзоле:

  1. Клијенти РАДИУС-а - садржи листу уређаја који се могу аутентификовати на серверу
  2. Правила о захтеву за везу - дефинише врсте уређаја који могу да потврде идентитет
  3. Мрежне политике - правила за аутентификацију

Додајте новог РАДИУС клијента (ово ће бити ХП ПроЦурве Свитцх 5400зл прекидач) тако што ћете десним тастером миша кликнути на одељак Клијенти РАДИУС-а и избор Ново. Означавамо:

  • Пријатељско име: св-ХП-5400-1
  • Адреса (ИП или ДНС): 10.10.10.2
  • Заједничка тајна (лозинка / тајни кључ): лозинка се може навести ручно (мора бити прилично сложена) или се генерише помоћу посебног дугмета (генерисана лозинка мора се копирати, јер ће се убудуће морати навести на мрежном уређају).

Онемогућите стандардну политику (Користите Виндовс аутентификацију за све кориснике) у одељку Захтеве за повезивање везе кликом на њега помоћу РМБ и избором Онемогући.

Креирајте нову политику са именом Мрежни прекидачи-ААА и кликните на. У одељку Услов створити нови услов. Тражимо одсек РАДИУС Цлиент Проперитес и изабери Цлиент Фриендли Наме.

Указујемо на вредност св-?. И.е. услов ће се применити на све клијенте РАДИУС-а почевши од знакова: „св-“. Кликните Нект-> Нект-> Нект, слажући се са свим стандардним подешавањима..

Даље у одељку Мрежне политике креирајте нову политику потврде идентитета. Наведите њено име, на пример Правила за ауторизацију мрежне склопке за мрежне администраторе. Креирајмо два услова: у првом стању Виндовс Групе, одредите групу домена чији се чланови могу аутентификовати (мрежни административни рачуни у нашем примеру су укључени у АД Админс групу) Други услов Тип аутентификације, одабиром ПАП-а као протокола за аутентификацију.

Затим, у прозору Цонфигуре Аутхентицатион Метходс, поништите све врсте аутентификације, осим Нешифрирана аутентификација (ПАП. СПАП).

У прозору Конфигуришите подешавања промените вредност атрибута Врста услуге на Административна.

У осталим случајевима се слажемо са стандардним подешавањима и завршавамо чаробњака.

И на крају, преместите нову политику на прво место на листи политика.

Конфигурисање мрежне опреме за рад са РАДУИС сервером

Остаје нам да конфигуришемо нашу мрежну опрему за рад са Радиус сервером. Повежите се са нашим ХП ПроЦурве Свитцх 5400 и извршите следеће промене у његовој конфигурацији (промените ИП адресу Радуис сервера и лозинку на своју).

ааа конзола за аутентификацију омогућује радијус локална ааа аутентификација телнет пријава радијус локална ааа аутентификација телнет омогућује радијус локална ааа провјера аутентичности ссх пријава радијус локална ааа провјера аутентичности ссх омогућују радијус локална ааа провјера аутентичности пријава привилегије-режим радијус-сервер кључ ВАШИ-СЕЦРЕТ-КЕИ радијус-сервер домаћин 10.10 .10.44 ВАШ-СЕЦРЕТ-КЕИ аутх-порт 1645 аццт-порт 1646 хост-сервер серверус 10.10.10.44 аутх-порт 1645 хост-сервер серверус 10.10.10.44 аццт-порт 1646

Савет. Ако сте из безбедносних разлога забранили повезивање на мрежну опрему путем телнета, ове линије морају бити избрисане из конфигурације:

ааа аутентификација телнет пријава радијус локална ааа аутентификација телнет омогућује радијус локални 

Без затварања прозора конзоле прекидача (ово је важно!, у супротном, ако нешто пође по злу, више се нећете моћи повезати на свој прекидач), отворите другу телнет сесију. Требао би се појавити нови прозор за ауторизацију у којем ће се од вас тражити да наведете име и лозинку налога. Покушајте да унесете информације о свом налогу у АД (то мора да је члан групе Нетворк Админс). Ако је веза успостављена - учинили сте све како треба!

За Цисцо преклопник, конфигурација која користи домене за аутентификацију и ауторизацију може изгледати овако:

Напомена. Конфигурација се може мало разликовати овисно о моделу мрежне опреме Цисцо и верзији ИОС-а..
ааа нови модел модел радиус-сервер хост 10.10.10.44 аутх-порт 1645 аццт-порт 1646 кључ ВАШЕ-ТАЈНО-КЉУЧНО ааа аутентификација пријава подразумевана група радијус локална ааа ауторизација екец задана група радијус локална ип радијус извор-сучеље Влан421 лине цон 0 лине вти 0 4 реда вти 5 15 
Напомена. У овој конфигурацији РАДИУС сервер се прво користи за аутентификацију, а ако није доступан, локални налог.

За Цисцо АСА ће конфигурација изгледати овако:

ааа-сервер РАДИУС протокол радијус ааа-сервер РАДИУС домаћин 10.10.10.44 кључ ВАШЕ-СЕЦРЕТ-КЕИ радијус-цоммон-пв ИОУР-СЕЦРЕТ-КЕИ ааа аутентификација телнет конзоле РАДИУС ЛОЦАЛ ааа аутентификација ссх цонсоле РАДИУС ЛОЦАЛ ааа аутентификација хттп а цонсоле РАДИУС ЛОЦАЛ хттп конзола РАДИУС ЛОЦАЛ 

Савет. Ако нешто не ради, проверите:

  • Поклапају ли се тајни тастери на НПС серверу и прекидачу (за тест можете користити једноставну лозинку).
  • Да ли је тачна адреса НПС сервера наведена у конфигурацији. Да ли пингује?
  • Да ли заштитни зидови блокирају портове 1645 и 1646 између комутатора и сервера?
  • Пажљиво проучите евиденцију НПС сервера