Cychin Net

a Chin's 生活雜記!

Cisco Privilege Level 結合 Windows RADIUS 設定

by Alex on 2013 年 03 月 20 日

一般在管控Cisco網路設備,都只有設定enable的密碼,並透過Telnet方式進行遠端管理,一旦設備陸續增加,管理將愈來愈麻煩,主要是因為沒有集中的帳號密碼管理,而在現在資訊安全的要求愈來愈高,許多企業也因如此,開始導入ISO機制,將帳號權限進行管控,網管人員也分級管理,操作者僅限於有View的權限,相對管理者就有管控的權限。

本篇主要也是針對管控上的需求而作的紀錄的,相關的設定步驟如下:

ㄧ.Windows 2008 Network Policy Server 設定

1. 安裝RADIUS 服務:

1.1 Windows 2008的RADIUS 為 NPS (Network Policy Server),點選開始 > 系統管理工具 > 伺服器管理員,點選新增角色

nps-1

1.2 選擇網路原則與存取服務,點選下一步

nps-2

1.3 在角色服務部分,選擇網路原則伺服器,點選下一步後執行安裝到完成

nps-3

2. 設定NPS

2.1 開啟NPS,點選開始 > 系統管理工具 > 網路原則伺服器,新增RADIUS用戶端,按滑鼠右鍵點選新增

nps-4

2.2 輸入用戶端(Cisco設備)的資料及共用密碼

nps-5

2.3 新增網路原則,為區分管理者與操作者,故要設定兩個網路原則,本例設定為為NetworkManager及NetworkOperator,先做NetworkManager設定

nps-6

2.4 輸入原則名稱,設定為NetworkManager,網路存取伺服器類型使用預設直,執行下一步

nps-7

2.5 指定條件部分,新增此原則的使用者群組,並授與存取權

 

nps-8

nps-9

nps-10

nps-11

2.6 此選項要選擇未加密驗證(PAP,SPAP),因Cisco IOS需求為未加密

nps-12

2.7 此項目不需要調整,直接選擇下一步

nps-13

2.8 RADIUS屬性部分,將預設的Framed-Protocol 移除,並修改Service-Type的值為Login

nps-14

nps-15

2.9 特定廠商部分,需增加特定屬性,如下設定

nps-16

nps-17

nps-18

2.10 特定廠商選擇Cisco,並點選 “是,符合”即設定屬性

nps-19

屬性號碼:1,格式為:字串,屬性值:shell:priv-lvl=15,設定後確定離開此設定

nps-20

nps-21

2.11 在依照精靈模式進行下一步到完成設定

nps-22

nps-23

以上即完成NetworkManager的網路原則設定,而NetworkOperator設定方式與NetworkManager相同,只有一個地方不一樣,就是在特定廠商的屬性值(2.9~2.10步驟)要改為 shell:priv-lvl=5

以上Windows RADIUS即完成設定,接下來就是Cisco 設備設定

———————————————————————————————————————————-

二.Cisco 設定設定

利用Console連接Cisco設備,開啓終端機登入,設定如下:

#config terminal

enable secret xxx  –> 設定enable 密碼

username alex privilege 15 secret xxx  –> 新增本機管理者帳號,權限15為最高權限

username op1 privilege 5 secret xxx  –> 新增本機操作者,權限5

aaa new-model

radius-server host radius ip auth-port 1812 acct-port 1813 key xxx –>新增Radius Server 並設定共用密碼(與Windows設定同一個密碼)

aaa authentication login net-auth group radius local  –> 新增login 驗證,先Radius,後Local
aaa authorization console  –> 啟用Console 權限
aaa authorization exec net-auth group radius local  –> 設定權限,先Radius,後Local

—————————————————————————————————————————-

# 設定操作者 Privilege level 5 可使用的權限

privilege interface level 5 shutdown
privilege interface level 5 ip address
privilege interface level 5 ip
privilege interface level 5 bandwidth
privilege configure level 5 interface
privilege exec level 5 show interface
privilege exec level 5 show logging
privilege exec level 5 show running
privilege exec level 5 debug all

—————————————————————————————————————————-

# 設定Console 及遠端登入驗證來源及權限

line con 0
exec-timeout 3 0
authorization exec net-auth
logging synchronous
login authentication net-auth
line vty 0 15
exec-timeout 3 0
authorization exec net-auth
logging synchronous
login authentication net-auth
transport input all

# 存檔

write memory

以上即完成Cisco設定

三.測試驗證

使用Telnet 方式測試,如下:

test

從畫面中可看到,管理者與操作者登入後的權限是依據RADIUS上的定義的網路存取原則,此即可滿足管理的需求

 

呼~~終於完成這篇文章~

2 thoughts on “Cisco Privilege Level 結合 Windows RADIUS 設定

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

* Copy This Password *

* Type Or Paste Password Here *