交换机上配置RADIUS登录认证

 

        我们可以以Telnet,SSH,Web或者console口等不同的方式登录交换机,获得普通或者特权模式的访问权限. 在网络设备众多,对网络安全要求较高的企业里,仅仅使用交换机本地数据库的帐号,密码认证功能已经满足不了用户的要求,客户往往希望能够采用集中,多重的认证方式. 这样也能在提高安全度的前提下减轻IT管理负担。RADIUS服务就是其中之一。

       这里我们以一个客户的需求作为例子：客户原来的WIN2003域控制器同时也是RADIUS认证服务器，启用了WIN2003自带的IAS（Internet Authentication Service）服务，对LAN里所有思科交换机作统一的登录认证。现在新购买了DELL34XX交换机，希望实现以下功能：

1．无论是通过console口还是通过telnet,登录用户必须首先通过IAS认证，只有该域中的成员才能有权限访问交换机；

 

2．登录的用户只能获得普通模式的访问权限，客户会针对telnet或console登录在交换机上设置特权模式的密码，通过IAS认证的用户还必须输入正确密码才能获得查看、修改配置的权限。

 

我们根据客户的要求搭建如下一个简单的环境，以全新安装的方式作测试：

 

 

 

 

 

 

第一部分：配置交换机

1.给交换机配置管理IP：

interface vlan 1

ip address 192.168.2.1 255.255.255.0

 

2.在全局配置模式下，配置radius 服务器IP地址及key,注意，这个密钥用于RADIUS Client和Server之间的通信验证，“key”的设置必须和IAS上“share secret”的设置完全相同。然后配置用户登录及进入特权模式的认证方式，我们定义了“login“的认证方式为：先尝试radius,如果radius server down,再尝试Local；进入特权模式“enable”的认证方式为本地交换机上设置的密码认证。“priv”及“test”是自定义的文件名，以便下一步将其绑定在对应的接口上：

radius-server host 192.168.2.100 auth-port  1812     

radius-server key abcdabcd

aaa authentication enable priv line

aaa authentication login test radius local

 

3.进入接口配置模式，将相应的配置文件绑定在对应接口上，并且设置好进入特权模式的密码：

line telnet

login authentication test

enable authentication priv

password e10adc3949ba59abbe56e057f20f883e encrypted

 

line console

login authentication test

enable authentication priv

password 50ec7f0e57fcc436db275c710a5ef127 encrypted

 

最后别忘记设置一个本地的管理员帐号及密码,以便在RADIUS服务器Down后也能管理交换机：

username admin password 21232f297a57a5a743894a0e4a801fc3 level 15 encrypted

 

#如果需要在登录WEB页面进行RADIUS认证，使用下面命令:

console(config)# ip https authentication radius local

 

 

 

 

 

 

 

 

 

 

 

 

 

 

第二部分：在WIN2003域控制器上安装配置IAS服务：

1．打开控制面板――》添加删除程序――》添加删除windows组件，找到networking services,点击“details”,选择”internet authentication services”,确定，插入WIN2003源盘进行安装：

 

 

2. 完成后安装后，我们需要将其注册到AD中（如果是工作组环境，则IAS认证本地用户或组）。打开IAS,点击Action，选择“register server in Active Directory”:

 

 

 

 

3.系统提示为了启用IAS认证，必须允许IAS Server读取AD里用户的Dial－In属性，点击OK：

 

4．系统必须将该IAS注册到RAS/IAS servers group里，点击OK，打开域控的AD用户计算机控制台，在Users里我们可以看到这台名为DELL的IAS已经是其成员了：

 

 

5．同时，我们必须开启那些需要通过IAS认证的域中用户的“remote access”权限，这里的用户$enab15$是一个需要手工建立的特殊帐号，用于需要通过IAS进行进入特权模式认证时，使用该默认帐号：

6．完成后打开IAS，鼠标右击”RADIUS Client”，选择新建一个client,这个Client指的是申请认证服务的设备，这里即是5324交换机，输入一个名称及其管理IP：

 

 

7．Client－Vendor选择“RADIUS Standard”,再输入“share secret”,这个密钥用于RADIUS Client和Server之间的通信验证，所以必须和在交换机上用“radius-server key XXXXXXXX”设置的密码完全相同，然后点击完成：

 

8.右击“remote access policy”,给5324新建一个访问策略,这里需要注意，可以建立多个策略，系统会按顺序匹配，一旦发现满足条件的，则将忽略掉其以下的策略：

 

 

9．选择“setup a custom policy”, 输入policy的名称，下一步：

 

 

10．接下来定义访问策略的条件，点击“add”，这里选择“NAS－IP－Address”，即该策略只给满足设定的IP地址的设备使用，我们输入5324的IP地址，下一步：

 

 

 

11．选择“grant remote access” ,下一步：

 

 

 

 

 

12．点击下一步完成。

 

13．鼠标右击刚刚建立的策略，打开属性：

 

14．点击“edit profile”,从中我们可以选择认证方式，这里选择不加密认证：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

15．选择“Encryption”,确保所有选项均已选上：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

16．点击“advanced”选项，点击“add”，添加认证过程中的“属性“值，注意如果其中已经有了其他不需要的属性设置，请全部删除后再添加所需的值，否则可能达不到预定效果：

 

17．如果我们需要赋予经过认证的客户以“管理员（即特权模式）”权限登录交换机，有两种方法：第一，可以添加“service-type”,Attribute value选择“administrative”：

 

第二，添加“Cisco-AV-Pair”,再点击”add”,设置属性值：

 

 

在“Attribute value”栏里输入“shell:priv-lvl=15”, “15”即代表了管理员权限，这里因为我们只能赋予登录的用户普通模式的访问权限，所以设为“1”，点击OK完成设置：

 

 

18．这样完成所有配置，接下来用Telnet登录交换机测试即可.如果认证失败，需要查看系统日志及交换机的日志，看看具体原因：