Настройка Radius на Windows Server 2008 R2 и Cisco

Всем здравствуйте! В этой статье будет рассказано о настройке сервера централизованной аутентификации, авторизации и аккаутинга RADIUS на операционной системе  Windows Server 2008 R2 с последующим использованием для авторизации на сетевом оборудовании Cisco.

RADIUS (англ. Remote Authentication in Dial-In User Service) — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием.

Содержание:


Создание групп доступа в домене

Начнём с того, что создадим в домене две локальных группы безопасности с ограниченными и полными правами Radius.

Создаём группу с полными правами:

Windows Server 2008 RADIUS create group

Windows Server 2008 RADIUS create group adm

В первую группу включим пользователей которым нужно предоставить полный административный доступ на управление коммутаторами, во вторую соответственно, — доступ только на чтение текущей конфигурации и состояния устройств. При этом, стоит помнить, что для пользователей, которые будут включаться в эти группы должно быть установлено разрешение в домене, дающее право удалённого доступа (значение настройки Network Access Permission на закладке Dial-In свойств учетной записи пользователя)

Windows Server 2008 RADIUS user profile conf
Network Access Permission закладка Dial-In

Аналогично создаётся группа для пользователей с ограниченным доступом.

Установка ролей сетевой политики и служб доступа

В предыдущих версиях Windows Server функция RADIUS обеспечивалась службой Internet Authenticate Service (IAS). Начиная с Windows Server 2008, она обеспечивается сетевой политикой (Network Policy) и службами доступа (Access Services). Сюда входят предыдущие службы IAS наряду с новым компонентом NAP.

1) Перейдите Start> Server Manager, выберите Roles и нажмите Add Roles;
2) Выберите Network Policy and Access Services, и нажмите Далее:

Windows Server 2008 RADIUS add new role

3) Выберите только Network Policy Server:

Windows Server 2008 RADIUS add new role 2

Добавление клиентов на сервер RADIUS

4)  Перейдите Start > Admin Tools > Network Policy Server > RADIUS Clients and Servers

5)  Правый клик RADIUS Clients, New:

Windows Server 2008 RADIUS add new client

6) Вводит желаемое имя. Указываем Shared secret (это общий ключ для завязки устройства на RADIUS, для каждого клиента можно указать индивидуальный):

Windows Server 2008 RADIUS new client conf

Значение поля Friendly name может отличаться от DNS имени. Оно потребуется нам в дальнейшем для идентификации конкретного сетевого устройства при создании политик доступа – Remote Access Policy. Опираясь на это имя мы сможем задавать например маску по которой будут обрабатываться определённой политикой доступа несколько разных RADIUS клиентов.

7) На вкладке Advanced выбрать Vendor name: Cisco

Windows Server 2008 RADIUS vendor name

Создание политик доступа на сервере RADIUS

С помощью политик доступа NPS мы произведём связку созданных ранее записей о коммутаторах-клиентах RADIUS и доменных групп безопасности, определяющих уровень доступа к этим коммутаторам. То есть в нашем случае будет создано две политики доступа —  с полными правами и ограниченными.

8) Перейдите Start > Admin Tools > Network Policy Server:

9) Правый клик по Network Policies, New:

Windows Server 2008 RADIUS NPS new policie

10) Укажите имя для политики, и выберем тип соединения Unspecified:

Windows Server 2008 RADIUS connection type

11) Указываем условия

На следующем шаге Specify Conditions нам нужно добавить условия при которых будет применяться данная политика RADIUS. Добавим два условия, – чтобы пользователь, проходящий авторизацию, входил в определенную доменную группу безопасности (созданную ранее группу Radius), и устройство, к которому осуществляется доступ, имело определённое имя «Friendly name» (созданное ранее).

Здесь важно понимать, что для условия с Windows Group использование встроенных групп безопасности таких как, например, Domain Admins не является хорошей практикой с точки зрения безопасности.

Через кнопку Add добавим условия по типам Windows Group и Client Friendly Name.

Windows Server 2008 RADIUS add ruls

12) Выбираем Windows Group:

Windows Server 2008 RADIUS windows group

13) Указываем желаемую группу домена:

Windows Server 2008 RADIUS group

14) Ок.

Windows Server 2008 RADIUS add group

ВАЖНО! Далее информация представлена из другого источника, по этому имя доменной группы и Client Friendly Name отличаются от предыдущих!

Для условия Client Friendly Name в качестве значения можно использовать как конкретные «Friendly name» устройств так и их маску, например в нашем случае политика будет применяться ко всем клиентам RADIUS у которых в свойствах атрибута «Friendly name» указано значение начинающееся с “KOM-AD01-SW

В итоге, в нашем случае, список условий будет выглядеть так:

Windows Server 2008 RADIUS list of rule

На следующем шаге Specify Access Permission укажем, что данная политика является политикой, разрешающей доступ – Access granted

Windows Server 2008 RADIUS access permission

На следующем шаге Configure Authentication Methods можно отключить все методы аутентификации (я оставлял как есть) и включим метод Encrypted authentication (CHAP) и Unencrypted authentication (PAP, SPAP):

Windows Server 2008 RADIUS authentification methods

При этом мы получим предупреждение о том, что выбранный метод Unencrypted authentication (PAP, SPAP) является не безопасным и для того, чтобы оставить выбор в силе, нужно нажать – No.

Windows Server 2008 RADIUS no

На следующем шаге настройки дополнительных ограничений Configure Constraints можно ничего не изменять

Windows Server 2008 RADIUS configure constraints

Переходим к шагу конфигурационных настроек Configure Settings, где в разделе настроек стандартных атрибутов RADIUS удалим имеющиеся по умолчанию там два атрибута и добавим новый по кнопке Add.

Windows Server 2008 RADIUS add standarts

В открывшемся окне выбора стандартных атрибутов, выберем Service-Type и нажмём Add.

Windows Server 2008 RADIUS add service type

Переключатель значения атрибута Attribute value установим в положение Others и из выпадающего списка выбираем атрибут “Service-Type” = Login для пользовательского (уровень доступа 1) и Administrative – для привилегированного доступа (уровень доступа 15):

Windows Server 2008 RADIUS attribute value

Можно нажимать кнопку Next или установить уровень доступа вручную.

Чтобы установить уровень доступа вручную переключимся на закладку Vendor Specific и вызовем диалог добавления атрибута по кнопке Add

Windows Server 2008 RADIUS add vendor specific

В открывшемся списке выберем тип атрибута Vendor-Specific — RADIUS Standard (для Сisco можно указать вместо RADIUS Standard – Сisco-AVPair, будет описан после текущего метода) и вызовем диалог добавления атрибута по кнопке Add

Windows Server 2008 RADIUS add RADIUS Standard

В окне информации об атрибутах для добавления нового атрибута нажмём Add

Windows Server 2008 RADIUS add vendor value

В окне добавления атрибута из ниспадающего списка выберем вендора оборудования к которому мы настраиваем доступ, в нашем случае это Cisco , укажем что атрибут соответствует стандартам RADIUS RFC и нажмём кнопку Configure Attribute чтобы настроить значение атрибута

Windows Server 2008 RADIUS specific attribute information

В открывшемся окне конфигурации значения атрибута введём значение номера атрибута – 1, тип значения строковой – String и само значение:

Это значение будет означать что авторизованному пользователю данной политикой нужно предоставить максимальный 15 уровень административного доступа на коммутаторе Cisco

Windows Server 2008 RADIUS attribute value

В итоге список специфичных атрибутов в нашем случае будет иметь только одну позицию:

Windows Server 2008 RADIUS specific list

Выбираем тип атрибута Vendor-Specific – Сisco-AV-Pair

Windows Server 2008 RADIUS Vendor-Specific – Сisco-AV-Pair

В окне информации об атрибутах для добавления нового атрибута нажмём Add

Windows Server 2008 RADIUS add attribute

В появившемся окне Attribute Information в поле Attribute Value указываем значение для уровня доступа:

Windows Server 2008 RADIUS attribute value

После этого перейдём на шаг завершения создания новой политики доступа, получив сводную информацию о заданных нами настройках.

Windows Server 2008 RADIUS end conf

По аналогии создаём вторую политику для организации доступа на чтение.

33

При создании и планировании политик обратите внимание на то, что имеет значение их порядок. Политики обрабатываются сверху вниз, и когда получается, что все условия в очередной политике соблюдены, их дальнейшая обработка прекращается. То есть с точки зрения безопасности и разрешения конфликтов между политиками правильней будет располагать политики в порядке возрастания административных полномочий.

Настройка коммутатора Cisco

Настройка сетевого устройства Cisco на примере коммутатора Cisco Catalyst 2960.

1) Включаем шифрование паролей:

2) Задаем пароль для привилегированного режима:

!!! ВНИМАНИЕ!!!

AAA работает таким образом, что если не получен ответ от сервера, клиент предполагает аутентификацию неуспешной. Обязательно создаем локального пользователя на случай если RADIUS сервер недоступен по какой-либо причине, печатаем на листике, заворачиваем в конверт и прячем в сейф.

3) Создаём локального пользователя:

например пользователь будет loginRADIUS

4) Включаем ААА:

Необязательно! Баннер о том, что это закрытая система и делать здесь нечего.

Сообщение на случай не успешной аутентификации.

5) Создаем профиль аутентификации. Не забываем как резервный указать локальный способ аутентификации, где «login-RADIUS» локальный пользователь на маршрутизаторе.

6) Создаем профиль авторизации.  Exec – применяется для атрибутов, связанных с терминальной сессией пользователя EXEC. Установим название профиля авторизации – auth-RADIUS-exec.

7) По умолчанию клиент ААА трижды пытается авторизоваться через RADIUS. Дабы не блокировать учетные записи в AD, ставим 1 попытку:

8) Указываем наш RADUIS сервер и ключ для шифрования (Shared secret — общий секрет который мы указывали на сервере RADUIS):

9) Если серверов несколько добавляем их в группу:

10) Включаем созданные профили для виртуальных консолей:

11) Время ожидания ввода логина

12) Для входа на Web интерфейс через RADIUS.

Для разных версий http сервера cisco разные команды настройки. Подробнее можно посмотреть на официальном сайте Cisco.

Просмотр данных о web сервере:

В моём случае было 2 разные версии web сервера 1.001.001 и 1.001.002.

Для версии http 1.001.001:

Для версии http 1.001.002:

Отладка

Не всегда все идет хорошо. На этот случай следует воспользоваться командами отладки Cisco IOS:

А так же не забываем смотреть в Event log AD и IAS.

Вот и всё. Удачного пользования!

Перечень команд

Для версии http 1.001.001

Для версии http 1.001.002


1 комментарий к “Настройка Radius на Windows Server 2008 R2 и Cisco

  1. Спасибо за статью.
    Правда сделал по статье, не заработало.
    Авторизоваться удалось после изменения Vendor Specific на Radius standart, в Attribute Information нажимаем add, в Vendor-Specific Attribute Inforamtion выбираем Cisco указываем номер аттрибута 2 (user password), Attribute Format-String, Attribute Value-password пользователя домена.
    Минус, паспорт храниться в открытом виде.
    Главный плюс, рулить доступом на оборудование можно из AD, просто добавив или удалив человека из группы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *