一般在管控Cisco網路設備,都只有設定enable的密碼,並透過Telnet方式進行遠端管理,一旦設備陸續增加,管理將愈來愈麻煩,主要是因為沒有集中的帳號密碼管理,而在現在資訊安全的要求愈來愈高,許多企業也因如此,開始導入ISO機制,將帳號權限進行管控,網管人員也分級管理,操作者僅限於有View的權限,相對管理者就有管控的權限。
本篇主要也是針對管控上的需求而作的紀錄的,相關的設定步驟如下:
ㄧ.Windows 2008 Network Policy Server 設定
1. 安裝RADIUS 服務:
1.1 Windows 2008的RADIUS 為 NPS (Network Policy Server),點選開始 > 系統管理工具 > 伺服器管理員,點選新增角色
1.2 選擇網路原則與存取服務,點選下一步
1.3 在角色服務部分,選擇網路原則伺服器,點選下一步後執行安裝到完成
2. 設定NPS
2.1 開啟NPS,點選開始 > 系統管理工具 > 網路原則伺服器,新增RADIUS用戶端,按滑鼠右鍵點選新增
2.2 輸入用戶端(Cisco設備)的資料及共用密碼
2.3 新增網路原則,為區分管理者與操作者,故要設定兩個網路原則,本例設定為為NetworkManager及NetworkOperator,先做NetworkManager設定
2.4 輸入原則名稱,設定為NetworkManager,網路存取伺服器類型使用預設直,執行下一步
2.5 指定條件部分,新增此原則的使用者群組,並授與存取權
2.6 此選項要選擇未加密驗證(PAP,SPAP),因Cisco IOS需求為未加密
2.7 此項目不需要調整,直接選擇下一步
2.8 RADIUS屬性部分,將預設的Framed-Protocol 移除,並修改Service-Type的值為Login
2.9 特定廠商部分,需增加特定屬性,如下設定
2.10 特定廠商選擇Cisco,並點選 “是,符合”即設定屬性
屬性號碼:1,格式為:字串,屬性值:shell:priv-lvl=15,設定後確定離開此設定
2.11 在依照精靈模式進行下一步到完成設定
以上即完成NetworkManager的網路原則設定,而NetworkOperator設定方式與NetworkManager相同,只有一個地方不一樣,就是在特定廠商的屬性值(2.9~2.10步驟)要改為 shell:priv-lvl=5
以上Windows RADIUS即完成設定,接下來就是Cisco 設備設定
———————————————————————————————————————————-
二.Cisco 設定設定
利用Console連接Cisco設備,開啓終端機登入,設定如下:
#config terminal
enable secret xxx –> 設定enable 密碼
username alex privilege 15 secret xxx –> 新增本機管理者帳號,權限15為最高權限
username op1 privilege 5 secret xxx –> 新增本機操作者,權限5
aaa new-model
radius-server host radius ip auth-port 1812 acct-port 1813 key xxx –>新增Radius Server 並設定共用密碼(與Windows設定同一個密碼)
aaa authentication login net-auth group radius local –> 新增login 驗證,先Radius,後Local
aaa authorization console –> 啟用Console 權限
aaa authorization exec net-auth group radius local –> 設定權限,先Radius,後Local—————————————————————————————————————————-
# 設定操作者 Privilege level 5 可使用的權限
privilege interface level 5 shutdown
privilege interface level 5 ip address
privilege interface level 5 ip
privilege interface level 5 bandwidth
privilege configure level 5 interface
privilege exec level 5 show interface
privilege exec level 5 show logging
privilege exec level 5 show running
privilege exec level 5 debug all—————————————————————————————————————————-
# 設定Console 及遠端登入驗證來源及權限
line con 0
exec-timeout 3 0
authorization exec net-auth
logging synchronous
login authentication net-auth
line vty 0 15
exec-timeout 3 0
authorization exec net-auth
logging synchronous
login authentication net-auth
transport input all# 存檔
write memory
以上即完成Cisco設定
三.測試驗證
使用Telnet 方式測試,如下:
從畫面中可看到,管理者與操作者登入後的權限是依據RADIUS上的定義的網路存取原則,此即可滿足管理的需求
呼~~終於完成這篇文章~
2 thoughts on “Cisco Privilege Level 結合 Windows RADIUS 設定”