Cisco Switch und RADIUS Authentifizierung – How to…

In diesem Beitrag geht es darum den Zugriff auf Cisco Komponenten via Network Access Protection über verschiedene Richtlinien Profile zu steuern.

In unserem Beispiel arbeiten wir mit zwei Active Directory Gruppen, welche unterschiedliche Privilege Level auf unseren Cisco Switches bekommen.

Folgende Komponenten benötigen wir für die Konfiguration

  • Windows Server Betriebssystem (2003 / 2008R2 /2012R2)
  • Installation der Serverrolle NAP (Network Access Protection)
  • Bestehende Rolle Active Directory Domain Services (ADDS) 
  • Cisco Switches mit IOS Version 12.1x oder höher

Ziel ist es, zwei Benutzergruppen zu erstellen, welche administrativ Zugriff auf Cisco Netzwerkkomponenten bekommen. Bei der Gruppe Supervisor handelt es sich um administrativen Vollzugrif im Privillege Level 15 und bei der Gruppe Junioradmin um eine administrative Gruppe mit eingeschränkten Berechtigungen im Privillege Level 7 

Wir gehen weiter davon aus, dass die Rolle NAP bereits installiert ist aber noch nicht konfiguriert.

Server 2012 R2 RADIUS

 

Bei den RADIUS Clients fügen wir nun unseren Switch hinzu:

RADIUS Client hinzufuegen

Cisco Switch hinzufügen

Als gemeinsamen Schlüssel (Pre-Shared-ke) verwenden wir cisco

Unter der Registerkarte „Erwieitert“ wählen wir als Hersteller Cisco aus

Auswahl Hersteller Cisco 

Unser NAP Admin Fenster sollte nun wie folgt aussehen:

NAP Oberfläche

Nun müssen wir uns im AD eine entsprechende OU und Benutzergruppen anlegen um die Zugriffssteuerung so einfach wie möglich zu halten. Für unser Beispiel lege ich eine OU mit dem Namen Cisco Admins an:

Neue AD OU anlegen

Unterhalb dieser OU erstellen wir eine Benutzergruppe mit dem Namen „Cisco_Supervisor“ und eine Gruppe „Cisco_Junioradmins“

Cisco Supervisor und Junioradmins Gruppen anlegen

Neue Benutzergruppen anlegen - Server 2012R2

 

Als Supervisor füge ich nun den Domänen Administrator der Gruppe hinzu und als Junioradmin den User „marco“.

Administrator hinzufügen als Supervisor

Benutzer hinzufügen als Junioradmin

Nun gehen wir weiter zurück zur NAP Rolle und zu den Richtlinien -> Netzwerkrichtlinien und erstellen eine neue Richtlinie:

Neue Richtlinie hinzufügen

Unsere erste Richtline nennen wir Cisco_Supervisor

Cisco Supervisor

 

Nach dem Klick auf Weiter können wir eine Bedingung hinzufügen:

Bedingung der Richtlinie hinzufügen

Hier wählen wir die „Benutzergruppen“ und fügen die Cisco_Supervisor Gruppe zu:

Richtline anpassen

 

Bestätigen mit OK und gehen weiter zum nächsten Schritt und gewähren dieser Gruppe Zugriff

Zugriff gewähren

 

 

Im nächsten Fenster sehen wir default die folgenden Einstellungen:

Default Einstellungen

 

Hier ändern wir die gesetzten Häkchen wie folgt ab:

Einstellungen ändern

 

Dann bitte die nachfolgende Warnung mit Nein bestätigen.

Die Einschränkungen lassen wir auch Default im darauffolgenden Fenster.

Bei den Einstellungen unter Standard löschen wir Framed-Protocol PPP raus:

Delete Framed Protocol PPP

 

Und ändern den Service Type auf Login ab:

Service Type Login

 

Unter dem Menüpunkt Herstellerspezifisch legen wir nun noch Herstellerbezogene Attribute fest:

RADIUS Konfiguration

 

 

Unter Hinzufügen fügen wir die Attribut Wert „shell:priv-lvl=15“ hinzu. Beim Junioradmin später das selbe mit dem Level 7 zum Beispiel.

Cisco spezifische Befehle

 

Und das ganze fertigstellen.

Richtlinie fretigstellen

 

 

Exakt so legen wir eine weitere Richtlinie an mit der Gruppe Cisco_Junioradmins so dass es am Ende wie folgt aussieht.

Weitere Richtlinie hinzufügen

Nun geht es an die Switch Konfiguration:

Hier geben wir die folgenden Befehle ein:

aaa new-model
aaa group server radius dc01
server 10.10.10.1 auth-port 1645 acct-port 1646
aaa authentication login default group radius local
aaa authorization exec default group radius
aaa session-id commonip radius source-interface Vlan1
radius-server host 10.10.10.1 auth-port 1645 acct-port 1646 key cisco

Nun können wir uns via Putty mit unseren Domänen Accounts Authentifizieren und haben entsprechende Berechtigungnen:

Putty Login auf Switch 1

 

Der Administrator als Mitglied der Gruppe Cisco_Supervisor darf mit Vollzugriff Privillege Level 15 arbeiten:

Privillege Level 15 Access Cisco

 

Und der Junioradmin „marco“ Default nur show und debug Commands ausführen im Privillege Level 7:

Was welches Privillege Level an Befehlen ausführen darf kann der Administrator an Befehlen selbst festlegen.

Cisco Junioradmin Privillege Level 7

 

 Dann viel Spass beim selber einrichten 🙂