RSS
 

Настройка aaa на Cisco

17 Апр

Не помню где, но где-то в комментариях обещал, что расскажу как настроить aaa на активном сетевом оборудовании Cisco. Не буду здесь рассказывать о настройке 802.1x — об этом нужно писать отдельную статью. Расскажу о том, как настроить доступ к оборудованию через RADIUS сервер, то есть аутентификацию и авторизацию. Это базовая настройка aaa, но предполагается, что читатель знаком с aaa, а если это не так, то очень коротко можно об этом почитать в этой статье. Кроме того, уже должен быть настроен сам RADIUS сервер и на нем заведено оборудование. Как его настроить, я опишу в следующей статье. А пока настройка самого активного оборудования. Итак, заходим на коммутатор/маршрутизатор, переходим в режим конфигурирования и вводим:

aaa new-model

Команда означает включение сервиса ааа. Далее определяем RADIUS сервера. Их может быть несколько.

radius-server host 192.168.0.66 auth-port 1812 acct-port 1813 key my-key
radius-server host 192.168.0.21 auth-port 1812 acct-port 1813 key my-key

Где my-key — ключ для RADIUS сервера, который подтверждает, что это наше оборудование, а не чье-то, кто захотел воспользоваться нашим сервером для аутентификации. Как видите, для аутентификации и аккаунтинга по-умолчанию используются порты 1812 и 1813 соответственно. Вы можете указать любые другие порты. Но надо соответственно сконфигурировать и RADIUS.

После этого можно определить сервера в группу для дальнейшего использования в правилах настройки. То есть, одну группу можно использовать, например, для аутентификации через консоль COM/USB, другую для аутентификации через vty или еще как-нибудь извратиться 🙂 . Определим наших два сервера в одну группу.

aaa group server radius RADIUS-SERVER
    server 192.168.0.66 auth-port 1812 acct-port 1813
    server 192.168.0.21 auth-port 1812 acct-port 1813
exit

Теперь у нас есть группа, на которую можно дальше распространять свои политики — RADIUS-SERVER. А вот это определение метода аутентификация через нашу группу:

aaa authentication login RADIUS-METHOD group RADIUS-SERVER

и авторизация (если прошла аутентификация):

aaa authorization exec RADIUS-METHOD group RADIUS-SERVER if-authenticated

Здесь нужно понимать, что вы можете настроить просто аутентификацию без авторизации, тогда авторизация должна быть настроена локально. Ну, и применение метода на терминал:

line vty 0 4
    authorization exec RADIUS-METHOD
    login authentication RADIUS-METHOD
exit
exit
wr mem

Более подробно можно рассмотреть настройку aaa в официальной документации Cisco.

Удачи!

 

Комментарии facebook

Комментарии vkontakte

Нет комментариев

Опубликовано в Сети

 

Оставить комментарий