Категорії
Cisco Security

Radius/Tacacs аутентификация

Здесь опишу настройку аутентификации на роутерах cisco с импользованием серверовRadius/Tacacs. Все перечисленные действия проводились на стенде Packet tracer 5.2 (ввиду отсутствия у меня оборудования, как такового 🙂 ) и могут быть выполнены на реальном оборудовании. Иследования проводил на cisco router 1841, 2621, 2811.

1)Настройка Radius/Tacacs сервера.

Опишу лишь общие моменты, так как реализации на разном обрудовании будет разное.

– заводим юзеров и назначаем им пароли
– описываем клиентов, которым разрешён доступ к нашему серверу, а так же ключевую фразу (key)

За юзера взял user, за пароль взял test. За key возмём cisco_key.

Адрес сервера 192.168.0.10

2)Настройка роутера.

Предпологается, что роутер предварительно настроен (обязательно имеет IP адрес, и установлен непустой пароль на enable – эти 2 требования являются обязательными).

Создаём новую модель аутентификации (группу srv_auth для использования аутентификации):

– для Radius-сервера

conf t
aaa new-model
aaa authentication login srv_auth group radius

указывает сам Radius-сервер и параметры:

radius-server host 192.168.0.10 auth-port 1645 key cisco_key

а теперь включает аутентификацию через консоль и telnet (используем ту группу, что описывали вaaa):

line con 0
login
login authentication srv_auth
line vty 0 4
login
login authentication srv_auth
line vty 5 15
login
login authentication srv_auth

– для Tacacs-сервера

conf t
aaa new-model
aaa authentication login srv_auth group tacacs+

указывает сам Tacacs-сервер и параметры:

tacacs-server host 192.168.0.10 key cisco_key

а теперь включает аутентификацию через консоль и telnet (используем ту группу, что описывали вaaa):

line con 0
login
login authentication srv_auth
line vty 0 4
login
login authentication srv_auth
line vty 5 15
login
login authentication srv_auth

А теперь полный конфиг (пример для Radius-сервера):

Router#sh run
Building configuration...

Current configuration : 746 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
enable secret 5 $1$mERr$/Q/mbs3O9oHsKR7rNG4e81
!
!
!
aaa new-model
!
aaa authentication login rad group radius
!
interface FastEthernet0/0
ip address 192.168.0.3 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
!
!
!
!
radius-server host 192.168.0.10 auth-port 1645 key cisco
!
!
!
line con 0
login
login authentication rad
line vty 0 4
login
login authentication rad
line vty 5 15
login
login authentication rad
!
!
!
end

Всё.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP
Powered by Muff