背景:
被审计查了一番,说没有Radius或TACACS+来管理交换机,存在风险之类的云..老大说:改!便开始查资料,之前没有接触过,后来明白,Radius是AAA使用的协议,进一步学习中,我找到了三种方案:
A.Cisco ACS.这种适用于使用cisco设备并且,愿意出钱买cisco的这个软件或者使用不要钱版本(你们懂的)的用户。
B.FreeRadius+Mysql,这二者都是开源软件,适合于不愿出钱的用户,但技术要求稍高。mysql存储密码也有好几种选择,数据库,本地..但是本地的话,好想是明文存储,不太安全。
C.就是本文的主要内容:IAS+AD,这个方案适用于适用window server的用户,且也不再增加开销。
1.启用IAS服务
打开控制面板,添加删除windows程序,选择networking services,点击 Details.
选中Internet Authentication Service(IAS),点击OK,至此IAS的程序安装完成。
2.配置IAS服务
A.在administrator tools中找到IAS的Icon,打开如下页面,选中如图选项,右键,选择register server in active directory.在AD域控中注册该服务,此操作的实质是把域控作为IAS的账号数据库,
B.配置Radius Clients,这里的Clients指的是需要使用该服务的交换机或者路由器,配置结果如下:
Friendly name可以随便取,主要是用于便于识别,IPaddress必须正确,如果添加的是Cisco交换机,Vendor,选项就要选择Cisco,(我有试过选择standard Radius,没能成功,深层次的原理还不知道)
Shared secret 是IAS 和交换机之间的共享密钥,这里的输入和交换机上的配置必须相同。不然,不会成功。
C.配置Remote accesslogging.这里配置的是记录日志的方式,存在本地还远程,要记录什么,默认情况下是存在本地的system日志里面的。下图可以看到,source是IAS的条目就是关于它的日志。
D.配置远程访问策略,Remoteaccess policies.下面是配置登录可用的用户账户,这里配置的是IT XXXX。
还需要配置profile,点击Edit Profile,选择Advanced ,service-Type 的值需要设置成Login,(这个值好像代表的是字符方式登录,如SSH,telnet等)
E,配置connection requestpolicies.下面配置的是允许这些账户可以进行登录的时间,
完成这些配置后基本完成了IAS的配置,其他相关配置与以上配置基本相似。
3.配置交换机
aaa new-model
---启用AAA服务
aaa authentication login defaultgroup radius local
---创建登录验证列表,来验证登录服务,验证的方式是优先使用radius,如果失败再使用本地用户名和密码进行验证。
ip radius source-interface Vlan60/Vlan50/loopback0
---指定radius报文的源地址,根据交换机的配置不同,使用不同的命令。
radius-server host10.2xx.xx.xx auth-port 1645 acct-port 1646 key manulife
---指定radius服务器的地址,认证所需端口,审计所需端口,以及Radius服务器和交换机之间的共享密钥。密钥必须与服务器上的一致。
line vty 0 15
login authdefault
---在vty端口应用上面创建的认证列表,其实没必要使用这两条命令,因为,default的列表会默认应用到所有端口。
end
wr
原文:http://mintank.blog.51cto.com/2544524/1240570
