Cisco交换机上配置RADIUS登录认证(Security)_Uncle cisco ap radius

我们可以以Telnet,SSH,Web或者console口等不同的方式登录交换机,获得普通或者特权模式的访问权限.在网络设备众多,对网络安全要求较高的企业里,仅仅使用交换机本地数
据库的帐号,密码认证功能已经满足不了用户的要求,客户往往希望能够采用集中,多重的认证方式.这样也能在提高安全度的前提下减轻IT管理负担。RADIUS服务就是其中之一。
这里我们以一个客户的需求作为例子:客户原来的WIN2003域控制器同时也是RADIUS认证服务器,启用了WIN2003自带的IAS(InternetAuthentication Service)服务,对LAN里
所有思科交换机作统一的登录认证。现在新购买了DELL34XX交换机,希望实现以下功能:
1.无论是通过console口还是通过telnet,登录用户必须首先通过IAS认证,只有该域中的成员才能有权限访问交换机;
2.登录的用户只能获得普通模式的访问权限,客户会针对telnet或console登录在交换机上设置特权模式的密码,通过IAS认证的用户还必须输入正确密码才能获得查看、修改配
置的权限。
我们根据客户的要求搭建如下一个简单的环境,以全新安装的方式作测试:


第一部分:配置交换机
1.给交换机配置管理IP:
interfacevlan 1
ipaddress 192.168.2.1 255.255.255.0


2.在全局配置模式下,配置radius 服务器IP地址及key,注意,这个密钥用于RADIUSClient和Server之间的通信验证,“key”的设置必须和IAS上“sharesecret”的设置完全相
同。然后配置用户登录及进入特权模式的认证方式,我们定义了“login“的认证方式为:先尝试radius,如果radiusserver down,再尝试Local;进入特权模式“enable”的认证
方式为本地交换机上设置的密码认证。“priv”及“test”是自定义的文件名,以便下一步将其绑定在对应的接口上:
radius-server host 192.168.2.100auth-port1812
radius-server key abcdabcd
aaaauthentication enable priv line
aaaauthentication login test radius local


3.进入接口配置模式,将相应的配置文件绑定在对应接口上,并且设置好进入特权模式的密码:
linetelnet
loginauthentication test
enableauthentication priv
passworde10adc3949ba59abbe56e057f20f883e encrypted


lineconsole
loginauthentication test
enableauthentication priv
password50ec7f0e57fcc436db275c710a5ef127 encrypted


最后别忘记设置一个本地的管理员帐号及密码,以便在RADIUS服务器Down后也能管理交换机:
usernameadmin password 21232f297a57a5a743894a0e4a801fc3 level 15encrypted


#如果需要在登录WEB页面进行RADIUS认证,使用下面命令:
console(config)# ip https authentication radiuslocal
第二部分:在WIN2003域控制器上安装配置IAS服务:
1.打开控制面板――》添加删除程序――》添加删除windows组件,找到networkingservices,点击“details”,选择”internet authenticationservices”,确定,插入
WIN2003源盘进行安装:
2.完成后安装后,我们需要将其注册到AD中(如果是工作组环境,则IAS认证本地用户或组)。打开IAS,点击Action,选择“registerserver in Active Directory”:
3.系统提示为了启用IAS认证,必须允许IASServer读取AD里用户的Dial-In属性,点击OK:
4.系统必须将该IAS注册到RAS/IAS serversgroup里,点击OK,打开域控的AD用户计算机控制台,在Users里我们可以看到这台名为DELL的IAS已经是其成员了:
5.同时,我们必须开启那些需要通过IAS认证的域中用户的“remoteaccess”权限,这里的用户$enab15$是一个需要手工建立的特殊帐号,用于需要通过IAS进行进入特权模式认
证时,使用该默认帐号:
6.完成后打开IAS,鼠标右击”RADIUSClient”,选择新建一个client,这个Client指的是申请认证服务的设备,这里即是5324交换机,输入一个名称及其管理IP:
7.Client-Vendor选择“RADIUS Standard”,再输入“sharesecret”,这个密钥用于RADIUS Client和Server之间的通信验证,所以必须和在交换机上用“radius-serverkey
XXXXXXXX”设置的密码完全相同,然后点击完成:
8.右击“remote accesspolicy”,给5324新建一个访问策略,这里需要注意,可以建立多个策略,系统会按顺序匹配,一旦发现满足条件的,则将忽略掉其以下的策略:
9.选择“setup a custom policy”,输入policy的名称,下一步:
10.接下来定义访问策略的条件,点击“add”,这里选择“NAS-IP-Address”,即该策略只给满足设定的IP地址的设备使用,我们输入5324的IP地址,下一步:
11.选择“grant remote access”,下一步:
12.点击下一步完成。
13.鼠标右击刚刚建立的策略,打开属性:
14.点击“editprofile”,从中我们可以选择认证方式,这里选择不加密认证:
15.选择“Encryption”,确保所有选项均已选上:
16.点击“advanced”选项,点击“add”,添加认证过程中的“属性“值,注意如果其中已经有了其他不需要的属性设置,请全部删除后再添加所需的值,否则可能达不到预定效
果:
17.如果我们需要赋予经过认证的客户以“管理员(即特权模式)”权限登录交换机,有两种方法:第一,可以添加“service-type”,Attributevalue选择“administrative”

Cisco交换机上配置RADIUS登录认证(Security)_Uncle cisco ap radius
第二,添加“Cisco-AV-Pair”,再点击”add”,设置属性值:
在“Attribute value”栏里输入“shell:priv-lvl=15”,“15”即代表了管理员权限,这里因为我们只能赋予登录的用户普通模式的访问权限,所以设为“1”,点击OK完成设置

18.这样完成所有配置,接下来用Telnet登录交换机测试即可.如果认证失败,需要查看系统日志及交换机的日志,看看具体原因:

  

爱华网本文地址 » http://www.413yy.cn/a/25101017/331578.html

更多阅读

双网卡内外网同时使用的方法 双网卡内外网同时使用

双网卡内外网同时使用的要领不少公司的网管试图解决双网卡问题,底下我就给大家具体的讲解一下双网卡同时使用的要领,这样便可保障内网的安全,又能解决pc访问外网的问题,一举两得。希望大家喜欢。首先你的呆板需要有两块网卡,别离接

cisco ios 升级方法和TFTP的用法 cisco ap ios升级

cisco ios 升级方法和TFTP的用法升级方法:现总结归纳出CISCO路由器IOS映像升级的几种方法,供广大网络爱好者或同仁参考。在介绍CISCO路由器IOS升级方法前,有必要对Cisco路由器的存

声明:《Cisco交换机上配置RADIUS登录认证(Security)_Uncle cisco ap radius》为网友空气吻分享!如侵犯到您的合法权益请联系我们删除