جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

آموزش استفاده از اکتیودایرکتوری برای RADIUS Server سیسکو

چگونه اکتیودایرکتوری را به RADIUS سیسکو متصل کنیم؟ در مقاله قبلی با مفاهیم AAA آشنا شدیم و همچنین AAA را در حالت Local Authentication پیاده سازی کردیم و همینطور که اشاره شد می خواهیم در این مقاله نحوی استفاده از اکتیو دایرکتوری را به عنوان Radius Server آموزش دهیم. با ما همراه باشید.امروزه در اکثر سازمان ها سرویس Active Directory نصب و مورد استفاده قرار می گیرد و می توان از اکتیو دایرکتوری غیر مباحثی که تاکنون از این سرویس انتظار داشتیم استفاده کنیم. از Active Directory می توان به عنوان Radius Server برای AAA استفاده کرد. به همین منظور باید در سرور Active Directory تنظیماتی انجام دهیم که بتواند به دستگاه ما پاسخ Authentication ها را بدهد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  • نکته : این تنظمیات را ما در Windows Server 2008 انجام می دهید.در ابتدا یک گروه ایجاد می کنیم که یوزرهای این گروه قادر باشند به تجهیزات ما متصل شوند برای این کار همانطور که در تصویر زیر می بینید گزینه Active Directory Users and Computer را از منوی Administrative Tools انتخاب می کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


سپس در پنجره باز شده در منوی سمت چپ روی گزینه users راست کلیک کرده و گزینه new --> Group را انتخاب می کنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در پنجره باز شده یک نام برای این گروه در نظر می گیریم و کلید OK را می زنیم. ما در اینجا نام Cisco Admin را برای گروه در نظر گرفته ایم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


حالا یوزرهایی که می خواهیم به تجهیزات ما دسترسی داشته باشند را تعریف می کنیم برای اینکار در منوی سمت چپ روی گزینه Users راست کلیک کرده و گزینه New-->User را انتخاب می کنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در پنجره باز شده همانطور که در تصویر می بینید یک نام برای کاربر در نظر می گیریم و کلید next را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در مرحله بعد برای یوزر ، پسورد تعیین می کنیم و کلید next و در پنجره بعدی Finish را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


ساخت یوزر به اتمام رسیده است و در صورتی که بخواهیم یوزرهای دیگری را تعریف کنیم این مرحله را تکرار می کنیم.بعد از ساخت یوزر باید آنرا عضو گروهی که ساخته ایم بکنیم به همین منظور روی یوزری که ایجاد کرده ایم راست کلیک کرده و گزینه properties را انتخاب می کنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در پنجره باز شده به سربرگ Member Of رفته و کلید Add را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در کادر باز شده نام گروهی که ایجاد کرده ایم را وارد کرده و کلیک OK را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


یوزر به گروه مورد نظر اضافه شده است و برای سایر یوزرهای نیز این مراحل باید تکرار شود.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


بعد از ساخت یوزر و گروه باید سرویس (Network Policy Server(NPS را نصب کنید برای این کار Server Manager را از منوی Administrative Tools اجرا کنید.نکته : جهت آشنایی بیشتر با سرویس NPS پیشنهاد می کنم حتما مقالات دوست خوبم محمد نصیری را از طریق این لینک مطالعه کنید.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


سپس روی گزینه Add Rules کلیک کنید.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


Next را در پنجره اول انتخاب کنید و در پنجره دوم سرویس Network Policy and Access Services را انتخاب و Next را بزنید.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


مجدد در این پنجره Next را بزنید و در پنجره بعدی Network Policy Server را انتخاب کنید.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


سپس کلید install را می زنیم و صبر می کنیم که نصب آن تمام شود.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


همانطور که در تصویر می بینید نصب NPS به اتمام رسیده و کلید close را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


بعد از نصب ، NPS را جهت انجام تنظیمات از منوی Administrative tools اجرا می کنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


دراین مرحله باید دستگاه هایی که قرار است برای Authentication از اکتیو دایرکتوری استفاده کنند را مشخص کنیم که برای اینکار در محیط NPS همانطور که در تصویر می بینید روی Radius Client کلیک راست کرده و گزینه new را انتخاب می کنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در کادر باز شده همانطور که در تصویر می بینید برای دستگاه یک نام ، IP Address دستگاه و یک پسورد (shared secret) باید مشخص کرد.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


مرحله بعدی تعریف یک Policy هست برای این کار روی network Policies در NPS راست کلیک کرده و گزینه new را انتخاب می کنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در کادر باز شده یک نام برای آن انتخاب می کنیم و کلید Next را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در کادر بعدی Add را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در این کادر گزینه windows Groups را انتخاب و کلید Add را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در این کادر کلید Add Groups را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در اینجا نام گروهی که در ابتدا ایجاد کرده ایم را وارد کرده و کلید OK را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


سپس پنجره های باز شده را تایید می کنیم که به این پنجره باز گردیم و همانطور که می بینید گروه به آن اضافه شده است. کلید next را می زنیم تا به مرحله بعد برویم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


مطابق تصویر گزینه Access granted را انتخاب و کلید next را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در اینجا فقط گزینه unencrypted authentication را انتخاب و کلید next را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در این پنجره محدودیت های زمانی اتصال و ... را می توان مشخص کرد که ما بدون تغییر کلید next را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در این کادر ایتم های مشخص شده را حذف می کنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


گزینه Vendor Specific را انتخاب می کنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در اینجا کلید Add را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در لیست باز شده Cisco-AV-Pair را انتخاب می کنیم و کلید Add را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در اینجا نیز کلید Add را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


در این کادر عبارت shell:priv-lvl=15 را وارد می کنیم و کلید OK را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


پنجره های باز شده را تایید می کنیم تا به صفحه زیر بازگردیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


تنظیمات Policy به اتمام رسیده است و کلید Finish را می زنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


همینطور که در تصویر می بینید یک Policy با نام Cisco در بالای لیست اضافه شده است.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو


تنظیمات سمت سرور اکتیو دایرکتوری به اتمام رسیده است و حالا باید دستگاه های که می خواهند از اکتیو دایرکتوری به عنوان Radius Server استفاده کنند را تنظیم کنیم.
به روتر login شوید و مراحل زیر را طی کنید.
در ابتدا AAA را فعال می کنیم:

Router(config)#aaa new-model

مشخصات Raduis Server مانند آدرس IP و پسوردی که در مراحل قبل مشخص کرده ایم را وارد می کنیم :

Router(config)#radius-server host 192.168.1.2
Router(config)#radius-server key 1234

سپس authentication و authorization را در حالت Radius قرار می دهیم :

Router(config)#aaa authentication login default group radius
Router(config)#aaa authorization exec default group radius

تنظیمات ورود را برای کنسول و Telnet و SSH انجام می دهیم :

Router(config)#line console 0
Router(config-line)#login authentication default
Router(config)#line vty 0 4
Router(config-line)#login authentication default

همانطور که در تصویر می ببیند با یوزری که در اکتیو دایرکتوری تعریف کرده ایم اکنون می توانیم به روتر login کنیم.

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

همچنین برای خطایابی و بررسی تنظمیات می توانید از دستورات زیر استفاده کنید :

Router#show aaa sessions
Router#show aaa method-lists all
Router#debug aaa authentication
Router#debug aaa authorization
Router#debug aaa accounting

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات