Konfiguracja AAA dla Radius

Technologia: Zarządzanie & Monitoring
Obszar: AAA
Title: Logowanie do urządzenia przez radius / konfiguracja AAA
Vendor: Cisco
Software: 12.X , 15.X, IP Base, IP Services, LAN Base, LAN Light
Platforma: Catalyst 2960-X, Catalyst 3560

Dla większego bezpieczeństwa samego urządzenia sieciowego można ograniczyć dostęp do sesji zdalnego zarządzania (VTY – SSH / TELNET) i dostępu do konsoli. Generalnie są dwie opcje:

• podłącz urządzenie do serwera Radius
• podłącz urządzenie do serwera TACACS+.

Pierwsza metoda wykorzystuje protokół Radius do uwierzytelniania administratorów sieci, co oznacza, że każdy pakiet uwierzytelniania i autoryzacji jest łączony i dlatego nie ma możliwości rozróżnienia pomiędzy uwierzytelnianiem a następującymi po sobie żądaniami autoryzacji, gdy użytkownik jest już uwierzytelniony. Oznacza to, że w przypadku Radiusa nie można zweryfikować każdego polecenia wpisywanego przez administratora. Jest to dozwolone, gdy w grze znajduje się TACACS+. TACACS+ oddziela pakiety uwierzytelniania i autoryzacji, dlatego możesz szczegółowo autoryzować każde polecenie wpisane przez administratora w konsoli urządzenia i na tej podstawie udzielić lub odmówić konkretnego polecenia konkretnemu administratorowi.

Jakkolwiek Radius jest protokołem dedykowanym dla mechanizmów 802.1X i innych zastosowań, takich jak przekierowania URL, uwierzytelnianie VPN itp. i jest nadal używany w większości organizacji. Aby skonfigurować Radius do pracy z logowaniem i uwierzytelnianiem administratora:

Włącz metody AAA (uwierzytelnianie, autoryzacja, logowanie):

Router(config)# aaa new-model

Zdefiniuj serwery Radius:


Router(config)#aaa group server radius RADIUS-SERVERS
server-private 10.10.10.1 timeout 2 key 7 KEY
server-private 10.10.10.2 timeout 2 key 7 KEY
!

Zdefiniuj serwery Radius do uwierzytelniania konsoli. Jeśli wystąpi błąd komunikacji pomiędzy serwerem Radia a urządzeniem, użyj lokalnego użytkownika i hasła:


aaa authentication login console RADIUS-SERVERS local
! authentication method for vty ssh / telnet auth by our radius servers
aaa authentication login RADIUS-ADMIN-ACCESS group RADIUS-SERVERS local
! authentication method for vty ssh / telnet auth by our radius servers
aaa authentication enable default group RADIUS-SERVERS enable
aaa authorization config-commands
aaa authorization exec default group RADIUS-SERVERS local if-authenticated
aaa authorization commands 1 default group RADIUS-SERVERS local if-authenticated
aaa authorization commands 15 default group RADIUS-SERVERS local if-authenticated
aaa accounting exec default start-stop group RADIUS-SERVERS
aaa accounting commands 1 default start-stop group RADIUS-SERVERS
aaa accounting commands 15 default start-stop group RADIUS-SERVERS
aaa accounting network default start-stop group RADIUS-SERVERS
aaa accounting connection default start-stop group RADIUS-SERVERS
aaa accounting system default start-stop group RADIUS-SERVERS