Аутентификация на сетевых устройствах CISCO средствами Active Directory

Интеграция CISCO AAA и Microsoft Active Directory

Наверняка многие системные администраторы рано или поздно сталкиваются с проблемой аутентификации на сетевых устройствах. Если руководствоваться best-practices, то учетные записи должны быть персонифицированными, пароли должны отвечать критериям устойчивости, время жизни паролей должно быть ограничено. Также не будем забывать о разграничении уровней доступа в соответствии с выполняемыми задачами и поддержке актуальности базы пользователей, связанной с изменениями в штате сотрудников. При соблюдении этих требований ведении базы пользователей на каждом устройстве становится трудоемкой и нетривиальной задачей, а на практике часто просто игнорируется, администраторы ограничиваются заданием паролей на физическую и виртуальную консоль и заданием пароля суперпользователя (enable). Логичным решением этой проблемы является ведение единой базы пользователей с контролем выдвигаемых к учетным записям требований. Если у нас есть Active Directory, почему бы не использовать его?

Cisco - Radius - LDAP
Рис.1 Топология системы

Все не так просто – устройства Cisco не предоставляют механизма для аутентификации средствами LDAP, коим является MS ActiveDirectory, напрямую. Для решения этой задачи CISCO в своих решениях предоставляет механизм AAA(Authentication Authorization Accounting). Дабы не растягивать статью, за деталями отсылаю к первоисточнику [1], также вот неплохая статься описывает основные возможности [2]. Вкратце, клиент AAA отправляет ученые данные к серверу аутентификации, и основываясь на его ответе (либо отсутствии ответа) принимает решении об отказе или предоставлении запрашиваемого доступа.
В качестве сервера аутентификации AAA позволяет использовать RADIUS либо TACAS+ сервер. На первый взгляд по описанию возможностей предпочтительней TACAS+, но основной его недостаток в том, что это закрытое решение от CISCO и его реализация существует только для *nix систем [3]. Протокол же RADIUS является открытым промышленным стандартом, для которого существует множество реализаций, в том числе и встроенная в Windows Server 2000/2003 служба IAS (Internet Authentication Service). В Windows Server 2008 вместо службы IAS поставляется служба Network Policy Server [4].

Топология

Система аутентификации сетевых устройств Cisco средствами LDAP домена Active Directory в простейшем случае имеет топологию изображенную на рисунке 1. Администратор со своего рабочего места подключается к виртуальному терминалу сетевого устройства. Согласно настроенным политикам ААА, устройство запрашивает логин и пароль, после чего передает логин и хеш пароля RADIUS серверу. RADIUS сервер средствами Active Directory аутентифицирует пользователя и проверяет, является ли он членом административной группы. Если пользователь успешно прошел аутентификацию, сетевое устройство Cisco получает от RADIUS сервера подтверждение об успешном прохождении аутентификации и авторизации, и разрешает пользователю подключение, в противном случае сообщает о неуспешной аутентификации и закрывает соединение.
Аутентификация пользователей на сетевом оборудовании будет происходить средствами ActiveDirectory посредством RADIUS, авторизация доступа — на основе принадлежности к одной из двух групп, соответственно разрешающих непривилегированный (User exec mode) и привилегированный (Privilege exec mode) доступ к устройству. В дальнейшем, можно разделить доступ по ролям, сконфигурировав на устройствах профили с разрешением запускать необходимые команды и связав каждый профиль с соответствующей группой AD.

Настройка MS ActiveDirectory

Предполагаем, что политики безопасности для длины, сложности паролей, времени их жизни и пр. уже внедрены. И так, для начала создадим две группы безопасности (Security group) gsgrCiscoUserEXEC иgsgrCiscoPrivEXEC:
Теперь создадим учетные записи администраторов PetrovI и IvanovP, сделав их членами групп gsgrCiscoUserEXEC и gsgrCiscoPrivEXEC соответственно. Таким образом видим что PetrovI будет непривилигированным пользователем, а IvanovP — привилегированным.
На этом с AD все.

Настройка MS Internet Authentication Service

Если на сервере еще не установлена служба IAS, то ее необходимо джоустановить. Для этого необходимо в панели управления выбрать “Add/remove programs” -> “Add/remove Windows components”, выбрать пункт “Network Services”, нажать кнопку Deteils (Дополнительно), выбрать пункт “Internet Information Service (IIS)” и еще раз нажать Deteils (Дополнительно), выбрать Internet Authentication Serviceю
Открываем оснастку Internet Authentication Service и создаем новую политику удаленного доступа (Remote Access Policies -> RClick -> New Remote Access Policy) с названием CiscoAAA_AD. В открывшемся окне Select Attribute выбираем Authentication Type и добавляем CHAP,
критерий – принадлежность пользователей к ранее созданной группе gsgrCiscoUserEXEC. Выбираем пункт Windows-Groups, добавляем gsgrCiscoUserEXEC.
И самое главное – выбираем атрибут “Service-Type” = Login для пользовательского и Administrative – для привилегированного доступа:

Настройка MS Internet Authentication Service
Рис.2. Выбираем атрибут Service Type

В завершение мастера, выбираем пункт “Grant remote access permission”
Теперь необходимо создать учетные записи для устройств, к которым будет выдаваться доступ. Для этого в оснастке IAS выбираем пункт RADIUS Clients -> RClick -> New RADIUS Client,

RADIUS Clients -> RClick -> New RADIUS Client
Рис.3. Создаем учетную запись устройства

в появившемся окне вводим дружественное имя, например Switch1 и IP адрес устройства, жмем Next, выбираем “Client-Vendor” = “Cisco”, вводим ключ для аутентификации RADIUS сервера и клиента (рис. 4).

Данные для аутентификации RADUIS сесии
Рис. 4. Данные для аутентификации RADUIS сесии 

Настройка со стороны IAS завершена, переходим к настройке сетевых устройств.

Настройка Cisco на примере коммутатора Catalyst 2960

!включаем шифрование паролей
service password-encryption
!задаем пароль для привилегированного режима
enable secret *******
!!! ВНИМАНИЕ!!!
! AAA работает таким образом, что если не получен ответ от сервера, клиент
! предполагает аутентификацию неуспешной
! Обязательно создаем локального пользователя на случай
! если RADIUS сервер недоступен по какой-либо причине,
! печатаем на листике, заворачиваем в конверт и прячем в сейф.
username recover password *********
! Включаем ААА
aaa new-model
!Необязательно. Баннер о том, что это закрытая система и делать здесь нечего
aaa authentication banner ^ Access only for persons explicitly authorized. All rights reserved.
^
!Сообщение на случай неуспешной аутентификации. Полезно при отладке
aaa authentication fail-message ^ Authentication failed
^
!Создаем профиль аутентификации
!Не забываем как резервный указать локальный способ аутентификации
aaa authentication login login-RADIUS group radius local
!Создаем профиль авторизации.
aaa authorization exec auth-RADIUS-exec group radius local
!По умолчанию клиент ААА трижды пытается авторизоваться через RADIUS.
!Дабы не блокировать учетные записи в AD, ставим 1 попытку
radius-server retransmit 1
!Указываем наш RADUIS сервер
radius-server host 10.0.0.2
!Задаем ключ для шифрования
radius-server key SupErkEy
!
! Включаем созданные профили для виртуальных консолей
line vty 0 15
exec-timeout 15 0
login authentication login-RADIUS
authorization exec auth-RADIUS-exec
timeout login response 180
no password

Настройка завершена, перехолим к тестированию.

Проверяем работу

Проверка работы
Рис. 5. Проверка работы

Отладка

Не всегда все идет хорошо. На этот случай следует воспользоваться командами отладки Cisco IOS:

# debug radius events
# debug aaa authentication
# debug aaa authorization
# debug aaa protocols
# debug radius [authentication | elog | verbose]

А так же не забываем смотреть в Event log AD и IAS.

Заключение

Таким образом, потратив некоторое время на централизацию учетных записей, мы сэкономим много времени в будущем и уменьшим риск компрометации учетных записей. В случае ошибки администратора будет легко выявить виновника по его учетным данным, а так же разграничить права доступа к устройствам, ограничив администраторов в правах согласно их обязанностям

Источники

1) Authentication, Authorization, and Accounting Overview - cisco.com/en/US/products/ps6638/products_data_sheet09186a00804fe332.html
2) Remote Authentication Dial In User Service (RADIUS) - en.wikipedia.org/wiki/RADIUS
3) Understanding the new Windows Server 2008 Network Policy Server - windowsnetworking.com/articles_tutorials/Understanding-new-Windows-Server-2008-Network-Policy-Server.html

Перепечатано: habrahabr.ru/blogs/sysadm/135419

Понравилось? =) Поделись с друзьями:

Обсудить