Categories: Windows Server 2012 R2

Настраиваем доменную аутентификацию на сетевом оборудовании

При обслуживании больших сетей системные администраторы часто сталкиваются с проблемами аутентификации на сетевом оборудовании. В частности, довольно сложно организовать нормальную работу нескольких сетевых администраторов под индивидуальными учетными записями на большом количестве оборудования (приходится вести и поддерживать в актуальном состоянии базу локальных учетных записей на каждом устройстве). Логичным решение было бы использовать для авторизации уже существующей базы учетных записей — Active Directory. В этой статье мы разберемся, как настроить доменную (Active Directory) аутентификацию на активном сетевом оборудовании (коммутаторы, маршрутизаторы).

Не все сетевое оборудование популярных вендоров (CISCO, HP, Huawei) поддерживает функционал для непосредственного обращения к каталогу LDAP, и такое решение не будет универсальным. Для решения нашей задачи подойдет протокол AAA (Authentication Authorization and Accounting) , фактически ставший стандартом де-факто для сетевого оборудования. Клиент AAA (сетевое устройство) отправляет данные авторизующегося пользователя на сервер RADIUS и на основе его ответа принимает решение о предоставлении / отказе доступа.

Протокол Remote Authentication Dial In User Service (RADIUS) в Windows Server 2012 R2 включен в роль NPS (Network Policy Server) . В первой части статьи мы установим и настроим роль Network Policy Server, а во второй покажем типовые конфигурации сетевого устройств с поддержкой RADUIS на примере коммутаторов HP Procurve и оборудования Cisco .

Содержание:

Установка и настройка сервера с ролью Network Policy Server
Настройка сетевого оборудования для работы с сервером RADUIS

Установка и настройка сервера с ролью Network Policy Server

Как правило, сервер с ролью NPS рекомендуется устанавливать на выделенном сервере (не рекомендуется размещать эту роль на контроллере домена). В данном примере роль NPS мы будем устанавливать на сервере с Windows Server 2012 R2.

Откройте консоль Server Manager и установите роль Network Policy Server (находится в разделе Network Policy and Access Services ).

После окончания установки запустите mmc-консоль управления Network Policy Server. Нас интересуют три следующих раздела консоли:

RADIUS Clients — содержит список устройств, которые могут аутентифицироваться на сервере
Connection Request Policies – определяет типы устройств, которые могут аутентифицироваться
Network Polices – правила аутентификации

Добавим нового клиента RADIUS (это будет коммутатор HP ProCurve Switch 5400zl), щелкнув ПКМ по разделу RADIUS Clients и выбрав New . Укажем:

Friendly Name :sw-HP-5400-1
Address (IP or DNS) : 10.10.10.2
Shared secret (пароль/секретный ключ): пароль можно указать вручную (он должен быть достаточно сложным), либо сгенерировать с помощью специальной кнопки (сгенерированный пароль необходимо скопировать, т.к. в дальнейшем его придется указать на сетевом устройстве).

Отключим стандартную политику ( Use Windows authentication for all users ) в разделе Connection Request Policies, щелкнув по ней ПКМ и выбрав Disable .

Создадим новую политику с именем Network-Switches-AAA и нажимаем далее. В разделе Сondition создадим новое условие. Ищем раздел RADIUS Client Properites и выбираем Client Friendly Name .

В качестве значения укажем sw-? . Т.е. условие будет применяться для всех клиентов RADIUS, начинающийся с символов :”sw-“. Жмем Next->Next-> Next, соглашаясь со всеми стандартными настройками.

Далее в разделе Network Policies создадим новую политику аутентификации. Укажите ее имя, например Network Switch Auth Policy for Network Admins . Создадим два условия: в первом условии Windows Groups , укажем доменную группу, члены которой могут аутентифицироваться (учетные записи сетевых администраторов в нашем примере включены в группу AD Network Admins) Второе условие Authentication Type , выбрав в качестве протокола аутентификации PAP.

Далее в окне Configure Authentication Methods снимаем галки со всех типов аутентификации, кроме Unencrypted authentication (PAP. SPAP) .

В окне Configure Settings изменим значение атрибута Service-Type на Administrative .

В остальных случаях соглашаемся со стандартными настройками и завершаем работу с мастером.

И, напоследок, переместим новую политику на первое место в списке политик.

Настройка сетевого оборудования для работы с сервером RADUIS

Осталось настроить наше сетевое оборудование для работы с сервером Radius. Подключимся к нашему коммутатору HP ProCurve Switch 5400 и внесем следующе изменение в его конфигурацию (измените ip адрес сервера Raduis и пароль на свои).

aaa authentication console enable radius local_x000D__x000D_aaa authentication telnet login radius local_x000D__x000D_ aaa authentication telnet enable radius local_x000D__x000D_aaa authentication ssh login radius local_x000D__x000D_aaa authentication ssh enable radius local_x000D__x000D_aaa authentication login privilege-mode_x000D__x000D_radius-server key YOUR-SECRET-KEY_x000D__x000D_radius-server host 10.10.10.44 YOUR-SECRET-KEY auth-port 1645 acct-port 1646_x000D__x000D_radius-server host 10.10.10.44 auth-port 1645_x000D__x000D_radius-server host 10.10.10.44 acct-port 1646

Совет . Если в целях безопасности вы запретили подключаться к сетевому оборудованию через telnet, эти строки нужно удалить из конфига:

aaa authentication telnet login radius local_x000D__x000D_aaa authentication telnet enable radius local_x000D_

Не закрывая консольное окно коммутатора ( это важно! , иначе, если что-то пойдет не так, вы более не сможете подключиться к своему коммутатору), откройте вторую telnet-сессию. Должно появиться новое окно авторизации, в котором будет предложено указать имя и пароль учетной записи. Попробуйте указать данные своей учетной записи в AD (она должна входить в группу Network Admins ). Если подключение установлено – вы все сделали правильно!

Для коммутатора Cisco конфигурация, предполагающая использование доменных учетных записей для аутентификации и авторизации, может выглядеть так:

Примечание . В зависимости от модели сетевого оборудования Cisco и версии IOS конфигурация может несколько отличаться.

aaa new-model_x000D_radius-server host 10.10.10.44 auth-port 1645 acct-port 1646 key YOUR-SECRET-KEY_x000D_aaa authentication login default group radius local_x000D_aaa authorization exec default group radius local_x000D_ip radius source-interface Vlan421_x000D_line con 0_x000D_line vty 0 4_x000D_line vty 5 15_x000D_

Примечание . В такой конфигурации для аутентификации сначала используется сервер RADIUS, а если он не доступен – локальная учетная запись.

Для Cisco ASA конфигурация будет выглядеть так:

aaa-server RADIUS protocol radius_x000D_aaa-server RADIUS host 10.10.10.44 key YOUR-SECRET-KEY_x000D_radius-common-pw YOUR-SECRET-KEY_x000D_aaa authentication telnet console RADIUS LOCAL_x000D_aaa authentication ssh console RADIUS LOCAL_x000D_aaa authentication http console RADIUS LOCAL_x000D_aaa authentication http console RADIUS LOCAL_x000D_

Совет . Если что то-не работает, проверьте:

Совпадают ли секретные ключи на сервере NPS и коммутаторе (для теста можно использоваться простой пароль).
Указан ли правильный адрес NPS сервера в конфигурации. Пингуется ли он?
Не блокируют ли межсетевые экраны порты 1645 и 1646 между коммутатором и сервером?
Внимательно изучите логи NPS сервера