- Предварительно необходимо развернуть (если не развернут) контроллер домена Active Directory (для примера развернут домен ilab.local)
2. Далее приступаем непосредственно к разворачиванию самого сервера Radius:
2.1 Устанавливаем роль NPS на Windows Server
Открываем диспетчер серверов и выбираем Добавить роли и компоненты
ожидаем окончание хода установки и нажимаем «закрыть»
2.2 Переходим к настройке RADIUS сервера (предварительно в firewall ESR и Windows необходимо разрешить порты 1812, 1813, 1645 и 1646):
Открываем сервер политики сети
- Radius-клиенты и серверы
Radius-клиенты — здесь создаются все клиенты которые для авторизации на себе будут использовать наш Radius сервер
- Политики
Сетевые политики — здесь создаются политики подключения выше созданных клиентов к нашему серверу (выполняются сверху вниз)
- Управление шаблонами
Общие секреты — можно создать один пароль сразу для всех устройств и использовать его для авторизации на сервере. Поменяв его в шаблоне — меняется он сразу для всех устройств. Можно сразу создать назвав его например SecretPF cо значением 123456
Далее регистрируем NPS сервер в Active Directory
Создаем в ActiveDirectory группу (например RemoteUser) которой будет разрешен доступ к маршрутизатору
Создаем в ActiveDirectory необходимых пользователей которые будут иметь доступ к ESR (например test) и устанавливаем пароль
Добавляем пользователя test в группу RemoteUser
Далее настраиваем Raduis-клиентов:
Во вкладке «Параметры»
- вводим имя маршрутизатора;
- ip адрес ESR (например 192.168.39.130);
- Вводим общий секретный ключ (данный ключ будет использоваться для подключения на ESR)
Во вкладке «Дополнительно»:
- Выбираем имя поставщика «Radius Standard»;
-Убираем галочку «Сообщения запроса доступа должны содержать атрибут Message-Authenticator».
Переходим к созданию и настройке «Политики запросов на подключение»
На вкладке «Обзор»:
- Указываем имя политики (например Esr)
- Ставим галочку «политика включена»
- «Тип сервера доступа к сети» оставляем «Не указано»
На вкладке «Условия» выбираем необходимые условия для подключения ESR к RADIUS серверу:
для примера выбрано «Понятное имя клиента» со значением esr*, т. е. будет разрешено подключение ESR к Radius с именем начинающимся с esr. Условия можно выбрать для каждого индивидуально.
Переходим к созданию сетевой политики:
-Указываем имя политики (например Policy1);
- Ставим галочку «Политика включена»
- Выбираем необходимые права доступа
- Способ сетевого подключения оставляем по умолчанию «Тип сервера доступа к сети»
Заходим во вкладку «Условия» и выбираем созданную группу пользователей (например RemoteUsers), которым будет разрешена авторизация на ESR:
На вкладке «Ограничения» в меню «Методы проверки подлинности» оставляем только галочку «Проверка открытым текстом (PAP, SPAP)»:
На вкладке «Параметры» в меню «Стандарт» нажимаем «Добавить» выбираем атрибут «Другие» и в выпадающем списке выбираем «Login»:
Далее на этой же вкладке заходим в меню «Зависящие от поставщика» нажимаем «Добавить» и выбираем Vendor-Specific:
Далее добавляем значение атрибута:
-Из списка выбираем RADIUS Standart
- Указываем, что атрибут соответствует спецификации RADIUS RFC
Переходим в настройку атрибута:
Указываем номер атрибута назначенный поставщиком «26»
Формат атрибута выбираем «Строковый»
Значение атрибута указываем shell:priv-lvl=15
На данном этапе тестовая настройка RADIUS сервера на Windows 2019 окончена.
Переходим к настройке самого ESR (для примера используем авторизацию для ssh соединения).
| Блок кода | ||
|---|---|---|
| ||
aaa authentication login SSH radius
aaa authentication enable default radius enable
radius-server host 192.168.32.35
key ascii-text KEY — секретный ключ, который указан в настройках RADIUS-клиентов
source-address 192.168.39.130
exit
line ssh
login authentication SSH
exit
interface gigabitethernet 1/0/1
ip firewall disable
ip address 192.168.39.130/20
exit
ip ssh server |
Далее пробуем авторизоваться на ESR по ssh подключению под пользователем test с рабочей станции в сети:
ubuntu@user:~$ssh test@ilab.local@192.168.39.130
(test@ilab.local@192.168.39.130) Password:
********************************************
* Welcome to ESR-15R *
********************************************
esr-15r>
Авторизация прошла успешно.
Дамп трафика собранного на ESR показал успешную авторизацию
monitor gigabitethernet 1/0/1 address 192.168.32.35 — адрес RADIUS сервера
192.168.39.130.12594 > 192.168.32.35.1812: RADIUS, length: 124
Access-Request (1), id: 0x64, Authenticator: 6c2fb33db303ab9971c86c99459a57db
User-Name Attribute (1), length: 17, Value: test@ilab.local
User-Password Attribute (2), length: 18, Value:
NAS-Identifier Attribute (32), length: 5, Value: ssh
NAS-Port Attribute (5), length: 6, Value: 14131
NAS-Port-Type Attribute (61), length: 6, Value: Virtual
Service-Type Attribute (6), length: 6, Value: Administrative
Vendor-Specific Attribute (26), length: 24, Value: Vendor: Unknown (150994944)
Vendor Attribute: 1, Length: 16, Value: shell:priv-lvl=1
Calling-Station-Id Attribute (31), length: 16, Value: 192.168.39.129
NAS-IP-Address Attribute (4), length: 6, Value: 192.168.39.130
13:10:31.769684 b8:97:5a:e1:81:a4 > 90:54:b7:28:19:39, ethertype IPv4 (0x0800), length 108: (tos 0x0, ttl 128, id 18410, offset 0, flags [none], proto UDP (17), length 94)
192.168.32.35.1812 > 192.168.39.130.12594: RADIUS, length: 66
Access-Accept (2), id: 0x64, Authenticator: 2781e55ba8c3d608a5bb823db78e0083
Class Attribute (25), length: 46, Value: d...
| Примечание |
|---|
Также обращаю внимание, если рабочая станция с которой пытаетесь авторизоваться на ESR через RADIUS, не находится в текущем домене, то при авторизации необходимо указывать в строке соединения имя домена: ssh test@ilab.local@192.168.39.130 |