Konfigurácia overovania domény v sieťovom zariadení

Pri údržbe veľkých sietí sa správcovia systému často stretávajú s problémami s overením sieťového zariadenia. Predovšetkým je dosť ťažké zorganizovať normálnu prácu viacerých správcov siete pod jednotlivými účtami na veľkom množstve zariadení (musíte na každom zariadení udržiavať a aktualizovať databázu miestnych účtov). Logickým riešením by bolo autorizovať existujúcu databázu účtov - Active Directory. V tomto článku si ukážeme, ako nakonfigurovať Autentifikácia domény Active Directory na sieťových zariadeniach (prepínače, smerovače).

Nie všetky sieťové vybavenie populárnych dodávateľov (CISCO, HP, Huawei) podporuje funkcie na priamy prístup k adresáru LDAP a takéto riešenie nebude univerzálne. Protokol je vhodný na riešenie nášho problému. AAA (autorizácia a účtovníctvo), sa skutočne stali de facto štandardom pre sieťové zariadenia. Klient AAA (sieťové zariadenie) odošle autorizované užívateľské údaje na server RADIUS a na základe svojej odpovede rozhodne o udelení / zamietnutí prístupu.

protokol Služba Remote Authentication Dial v používateľskej službe (RADIUS) v systéme Windows Server 2012 R2 je súčasťou role NPS (Network Policy Server). V prvej časti článku nainštalujeme a nakonfigurujeme rolu servera Network Policy Server av druhej ukážeme typické konfigurácie sieťových zariadení s podporou RADUIS pomocou príkladu. Prepínače HP Procurve a Zariadenia Cisco.

obsah:

  • Nainštalujte a nakonfigurujte server pomocou role Network Policy Server
  • Konfigurácia sieťového zariadenia pre prácu so serverom RADUIS

Nainštalujte a nakonfigurujte server pomocou role Network Policy Server

Spravidla sa odporúča nainštalovať server s rolou NPS na vyhradený server (neodporúča sa umiestňovať túto rolu do radiča domény). V tomto príklade nainštalujeme rolu NPS na server so systémom Windows Server 2012 R2.

Otvorte konzolu Správca servera a nastaviť rolu Server sieťových politík (nachádza sa v časti Sieťová politika a prístupové služby).

Po dokončení inštalácie spustite konzolu MMC pre správu serverov politiky siete. Zaujímajú nás tieto tri sekcie konzoly:

  1. Klienti RADIUS - obsahuje zoznam zariadení, ktoré sa môžu autentifikovať na server
  2. Pravidlá žiadosti o pripojenie - definuje typy zariadení, ktoré sa môžu autentifikovať
  3. Sieťové politiky - autentifikačné pravidlá

Kliknutím pravým tlačidlom myši na časť pridajte nového klienta RADIUS (bude to prepínač HP ProCurve Switch 5400zl) Klienti RADIUS a výber nový. Uvádzame:

  • Priateľské meno: sw-HP-5400-1
  • Adresa (IP alebo DNS): 10.10.10.2
  • Zdieľané tajomstvo (heslo / tajný kľúč): heslo je možné zadať ručne (musí byť dosť komplikované) alebo vygenerované pomocou špeciálneho tlačidla (vygenerované heslo sa musí skopírovať, pretože v budúcnosti bude musieť byť zadané na sieťovom zariadení).

Zakázať štandardnú politiku (Používajte autentifikáciu Windows pre všetkých používateľov) v sekcii Zásady žiadosti o pripojenie kliknutím na ňu pomocou RMB a výberom zakázať.

Vytvorte novú politiku s názvom Sieťové spínače-AAA a kliknite na. V časti Sondition vytvoriť novú podmienku. Hľadáme sekciu Vlastnosti klienta RADIUS a vyberte si Príjemné meno pre klienta.

Uvádzame hodnotu sw-?. tj podmienka sa bude vzťahovať na všetkých klientov RADIUS začínajúcich znakmi: „sw-“. Kliknite na Ďalej-> Ďalej-> Ďalej a súhlasíte so všetkými štandardnými nastaveniami..

Ďalej v časti Sieťové politiky vytvoriť novú politiku autentifikácie. Uveďte napríklad jej meno Pravidlá autorizácie sieťových prepínačov pre sieťových administrátorov. Vytvorme dve podmienky: v prvom stave Skupiny Windows, zadajte skupinu domén, ktorých členovia môžu byť overení (účty správcu siete v našom príklade sú zahrnuté do skupiny AD Network Admins) Druhá podmienka Typ overenia, výber PAP ako autentifikačného protokolu.

Ďalej v okne Konfigurovať metódy overenia zrušte začiarknutie všetkých typov overenia okrem Nešifrované overenie (PAP. SPAP).

V okne Konfigurovať nastavenia zmeniť hodnotu atribútu Druh služby na administratívne.

V ostatných prípadoch súhlasíme so štandardnými nastaveniami a sprievodcu ukončíme.

A nakoniec presuňte novú politiku na prvé miesto v zozname politík.

Konfigurácia sieťového zariadenia pre prácu so serverom RADUIS

Zostáva nakonfigurovať naše sieťové zariadenie tak, aby pracovalo so serverom Radius. Pripojte sa k nášmu prepínaču HP ProCurve Switch 5400 a vykonajte nasledujúcu zmenu jeho konfigurácie (zmeňte svoju IP adresu servera Raduis a heslo)..

aaa autentifikačná konzola umožňuje polomer lokálna aaa autentifikácia telnet prihlasovací polomer lokálna aaa autentifikácia telnet umožňuje polomer lokálna aaa autentifikácia ssh prihlasovací polomer lokálna aaa autentifikácia ssh umožňuje polomer lokálna aaa autentifikácia prihlasovacie privilégium-režim rádius-server kľúč VÁŠ-SECRET-KEY hostiteľ rádius-server 10.10 .10.44 VÁŠ-SECRET-KEY auth-port 1645 hostiteľ rádiového servera 1646 acct-port 10.10.10.44 auth-port 1645 hostiteľ rádiového servera 10.10.10.44 acct-port 1646

rada. Ak je z bezpečnostných dôvodov zakázané pripájať sa k sieťovému zariadeniu prostredníctvom telnetu, musia byť tieto linky z konfigurácie vymazané:

aaa autentifikácia telnet prihlasovací polomer lokálny aaa autentifikačný telnet umožňuje polomer lokálny 

Bez zatvorenia okna konzoly prepínača (to je dôležité!, v opačnom prípade sa už viac nebudete môcť pripojiť k prepínaču), otvorte druhú reláciu telnetu. Malo by sa objaviť nové autorizačné okno, v ktorom budete požiadaní o zadanie názvu účtu a hesla. Pokúste sa zadať informácie o svojom účte do služby AD (musí byť členom skupiny Network Admins group). Ak je spojenie nadviazané - urobili ste všetko správne!

V prípade prepínača Cisco môže konfigurácia používajúca účty domény na autentifikáciu a autorizáciu vyzerať takto:

poznámka. Konfigurácia sa môže mierne líšiť v závislosti od modelu sieťového zariadenia Cisco a verzie IOS..
aaa hostiteľ nového rádiového servera 10.10.10.44 auth-port 1645 acct-port 1646 kľúč VÁŠ-SECRET-KEY aaa autentifikácia prihlásenie predvolená skupina polomer polomer lokálne aaa autorizácia spustenie predvolená skupina polomer lokálny ip polomer zdrojové rozhranie Vlan421 riadok kon 0 riadok vty 0 4 riadky 5 5 
poznámka. V tejto konfigurácii sa server RADIUS najskôr použije na autentifikáciu, a ak nie je k dispozícii, lokálny účet.

V prípade aplikácie Cisco ASA bude táto konfigurácia vyzerať takto:

polomer protokolu aaa-server RADIUS protokol aaa-server RADIUS host 10.10.10.44 kľúč YOUR-SECRET-KEY rádius-common-pw YOUR-SECRET-KEY aaa autentifikácia telnet konzola RADIUS LOCAL aaa autentifikácia ssh konzola RADIUS LOCAL aaa autentifikácia http konzola RADIUS LOCAL autentifikácia aaa http konzola RADIUS LOCAL 

rada. Ak niečo nefunguje, skontrolujte:

  • Zhodujú sa tajné kľúče na serveri NPS a prepínači (na test môžete použiť jednoduché heslo).
  • Či je v konfigurácii zadaná správna adresa servera NPS. Ping?
  • Brány firewall blokujú porty 1645 a 1646 medzi prepínačom a serverom?
  • Starostlivo si preštudujte protokoly servera NPS