Настройка Radius на Windows Server 2008 R2 и Cisco

Всем здравствуйте! В этой статье будет рассказано о настройке сервера централизованной аутентификации, авторизации и аккаутинга RADIUS на операционной системе  Windows Server 2008 R2 с последующим использованием для авторизации на сетевом оборудовании Cisco.

RADIUS (англ. Remote Authentication in Dial-In User Service) — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием.

Содержание:


Создание групп доступа в домене

Начнём с того, что создадим в домене две локальных группы безопасности с ограниченными и полными правами Radius.

Создаём группу с полными правами:

Windows Server 2008 RADIUS create group

Windows Server 2008 RADIUS create group adm

В первую группу включим пользователей которым нужно предоставить полный административный доступ на управление коммутаторами, во вторую соответственно, — доступ только на чтение текущей конфигурации и состояния устройств. При этом, стоит помнить, что для пользователей, которые будут включаться в эти группы должно быть установлено разрешение в домене, дающее право удалённого доступа (значение настройки Network Access Permission на закладке Dial-In свойств учетной записи пользователя)

Windows Server 2008 RADIUS user profile conf
Network Access Permission закладка Dial-In

Аналогично создаётся группа для пользователей с ограниченным доступом.

Установка ролей сетевой политики и служб доступа

В предыдущих версиях Windows Server функция RADIUS обеспечивалась службой Internet Authenticate Service (IAS). Начиная с Windows Server 2008, она обеспечивается сетевой политикой (Network Policy) и службами доступа (Access Services). Сюда входят предыдущие службы IAS наряду с новым компонентом NAP.

1) Перейдите Start> Server Manager, выберите Roles и нажмите Add Roles;
2) Выберите Network Policy and Access Services, и нажмите Далее:

Windows Server 2008 RADIUS add new role

3) Выберите только Network Policy Server:

Windows Server 2008 RADIUS add new role 2

Добавление клиентов на сервер RADIUS

4)  Перейдите Start > Admin Tools > Network Policy Server > RADIUS Clients and Servers

5)  Правый клик RADIUS Clients, New:

Windows Server 2008 RADIUS add new client

6) Вводит желаемое имя. Указываем Shared secret (это общий ключ для завязки устройства на RADIUS, для каждого клиента можно указать индивидуальный):

Windows Server 2008 RADIUS new client conf

Значение поля Friendly name может отличаться от DNS имени. Оно потребуется нам в дальнейшем для идентификации конкретного сетевого устройства при создании политик доступа – Remote Access Policy. Опираясь на это имя мы сможем задавать например маску по которой будут обрабатываться определённой политикой доступа несколько разных RADIUS клиентов.

7) На вкладке Advanced выбрать Vendor name: Cisco

Windows Server 2008 RADIUS vendor name

Создание политик доступа на сервере RADIUS

С помощью политик доступа NPS мы произведём связку созданных ранее записей о коммутаторах-клиентах RADIUS и доменных групп безопасности, определяющих уровень доступа к этим коммутаторам. То есть в нашем случае будет создано две политики доступа —  с полными правами и ограниченными.

8) Перейдите Start > Admin Tools > Network Policy Server:

9) Правый клик по Network Policies, New:

Windows Server 2008 RADIUS NPS new policie

10) Укажите имя для политики, и выберем тип соединения Unspecified:

Windows Server 2008 RADIUS connection type

11) Указываем условия

На следующем шаге Specify Conditions нам нужно добавить условия при которых будет применяться данная политика RADIUS. Добавим два условия, – чтобы пользователь, проходящий авторизацию, входил в определенную доменную группу безопасности (созданную ранее группу Radius), и устройство, к которому осуществляется доступ, имело определённое имя «Friendly name» (созданное ранее).

Здесь важно понимать, что для условия с Windows Group использование встроенных групп безопасности таких как, например, Domain Admins не является хорошей практикой с точки зрения безопасности.

Через кнопку Add добавим условия по типам Windows Group и Client Friendly Name.

Windows Server 2008 RADIUS add ruls

12) Выбираем Windows Group:

Windows Server 2008 RADIUS windows group

13) Указываем желаемую группу домена:

Windows Server 2008 RADIUS group

14) Ок.

Windows Server 2008 RADIUS add group

ВАЖНО! Далее информация представлена из другого источника, по этому имя доменной группы и Client Friendly Name отличаются от предыдущих!

Для условия Client Friendly Name в качестве значения можно использовать как конкретные «Friendly name» устройств так и их маску, например в нашем случае политика будет применяться ко всем клиентам RADIUS у которых в свойствах атрибута «Friendly name» указано значение начинающееся с “KOM-AD01-SW

В итоге, в нашем случае, список условий будет выглядеть так:

Windows Server 2008 RADIUS list of rule

На следующем шаге Specify Access Permission укажем, что данная политика является политикой, разрешающей доступ – Access granted

Windows Server 2008 RADIUS access permission

На следующем шаге Configure Authentication Methods можно отключить все методы аутентификации (я оставлял как есть) и включим метод Encrypted authentication (CHAP) и Unencrypted authentication (PAP, SPAP):

Windows Server 2008 RADIUS authentification methods

При этом мы получим предупреждение о том, что выбранный метод Unencrypted authentication (PAP, SPAP) является не безопасным и для того, чтобы оставить выбор в силе, нужно нажать – No.

Windows Server 2008 RADIUS no

На следующем шаге настройки дополнительных ограничений Configure Constraints можно ничего не изменять

Windows Server 2008 RADIUS configure constraints

Переходим к шагу конфигурационных настроек Configure Settings, где в разделе настроек стандартных атрибутов RADIUS удалим имеющиеся по умолчанию там два атрибута и добавим новый по кнопке Add.

Windows Server 2008 RADIUS add standarts

В открывшемся окне выбора стандартных атрибутов, выберем Service-Type и нажмём Add.

Windows Server 2008 RADIUS add service type

Переключатель значения атрибута Attribute value установим в положение Others и из выпадающего списка выбираем атрибут “Service-Type” = Login для пользовательского (уровень доступа 1) и Administrative – для привилегированного доступа (уровень доступа 15):

Windows Server 2008 RADIUS attribute value

Можно нажимать кнопку Next или установить уровень доступа вручную.

Чтобы установить уровень доступа вручную переключимся на закладку Vendor Specific и вызовем диалог добавления атрибута по кнопке Add

Windows Server 2008 RADIUS add vendor specific

В открывшемся списке выберем тип атрибута Vendor-Specific — RADIUS Standard (для Сisco можно указать вместо RADIUS Standard – Сisco-AVPair, будет описан после текущего метода) и вызовем диалог добавления атрибута по кнопке Add

Windows Server 2008 RADIUS add RADIUS Standard

В окне информации об атрибутах для добавления нового атрибута нажмём Add

Windows Server 2008 RADIUS add vendor value

В окне добавления атрибута из ниспадающего списка выберем вендора оборудования к которому мы настраиваем доступ, в нашем случае это Cisco , укажем что атрибут соответствует стандартам RADIUS RFC и нажмём кнопку Configure Attribute чтобы настроить значение атрибута

Windows Server 2008 RADIUS specific attribute information

В открывшемся окне конфигурации значения атрибута введём значение номера атрибута – 1, тип значения строковой – String и само значение:

Это значение будет означать что авторизованному пользователю данной политикой нужно предоставить максимальный 15 уровень административного доступа на коммутаторе Cisco

Windows Server 2008 RADIUS attribute value

В итоге список специфичных атрибутов в нашем случае будет иметь только одну позицию:

Windows Server 2008 RADIUS specific list

Выбираем тип атрибута Vendor-Specific – Сisco-AV-Pair

Windows Server 2008 RADIUS Vendor-Specific – Сisco-AV-Pair

В окне информации об атрибутах для добавления нового атрибута нажмём Add

Windows Server 2008 RADIUS add attribute

В появившемся окне Attribute Information в поле Attribute Value указываем значение для уровня доступа:

Windows Server 2008 RADIUS attribute value

После этого перейдём на шаг завершения создания новой политики доступа, получив сводную информацию о заданных нами настройках.

Windows Server 2008 RADIUS end conf

По аналогии создаём вторую политику для организации доступа на чтение.

33

При создании и планировании политик обратите внимание на то, что имеет значение их порядок. Политики обрабатываются сверху вниз, и когда получается, что все условия в очередной политике соблюдены, их дальнейшая обработка прекращается. То есть с точки зрения безопасности и разрешения конфликтов между политиками правильней будет располагать политики в порядке возрастания административных полномочий.

Настройка коммутатора Cisco

Настройка сетевого устройства Cisco на примере коммутатора Cisco Catalyst 2960.

1) Включаем шифрование паролей:

2) Задаем пароль для привилегированного режима:

!!! ВНИМАНИЕ!!!

AAA работает таким образом, что если не получен ответ от сервера, клиент предполагает аутентификацию неуспешной. Обязательно создаем локального пользователя на случай если RADIUS сервер недоступен по какой-либо причине, печатаем на листике, заворачиваем в конверт и прячем в сейф.

3) Создаём локального пользователя:

например пользователь будет loginRADIUS

4) Включаем ААА:

Необязательно! Баннер о том, что это закрытая система и делать здесь нечего.

Сообщение на случай не успешной аутентификации.

5) Создаем профиль аутентификации. Не забываем как резервный указать локальный способ аутентификации, где «login-RADIUS» локальный пользователь на маршрутизаторе.

6) Создаем профиль авторизации.  Exec – применяется для атрибутов, связанных с терминальной сессией пользователя EXEC. Установим название профиля авторизации – auth-RADIUS-exec.

7) По умолчанию клиент ААА трижды пытается авторизоваться через RADIUS. Дабы не блокировать учетные записи в AD, ставим 1 попытку:

8) Указываем наш RADUIS сервер и ключ для шифрования (Shared secret — общий секрет который мы указывали на сервере RADUIS):

9) Если серверов несколько добавляем их в группу:

10) Включаем созданные профили для виртуальных консолей:

11) Время ожидания ввода логина

12) Для входа на Web интерфейс через RADIUS.

Для разных версий http сервера cisco разные команды настройки. Подробнее можно посмотреть на официальном сайте Cisco.

Просмотр данных о web сервере:

В моём случае было 2 разные версии web сервера 1.001.001 и 1.001.002.

Для версии http 1.001.001:

Для версии http 1.001.002:

Отладка

Не всегда все идет хорошо. На этот случай следует воспользоваться командами отладки Cisco IOS:

А так же не забываем смотреть в Event log AD и IAS.

Вот и всё. Удачного пользования!

Перечень команд

Для версии http 1.001.001

Для версии http 1.001.002


1 комментарий к “Настройка Radius на Windows Server 2008 R2 и Cisco

  1. Спасибо за статью.
    Правда сделал по статье, не заработало.
    Авторизоваться удалось после изменения Vendor Specific на Radius standart, в Attribute Information нажимаем add, в Vendor-Specific Attribute Inforamtion выбираем Cisco указываем номер аттрибута 2 (user password), Attribute Format-String, Attribute Value-password пользователя домена.
    Минус, паспорт храниться в открытом виде.
    Главный плюс, рулить доступом на оборудование можно из AD, просто добавив или удалив человека из группы

Добавить комментарий для Игорь Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *