چگونه اکتیودایرکتوری را به RADIUS سیسکو متصل کنیم؟ در مقاله قبلی با مفاهیم AAA آشنا شدیم و همچنین AAA را در حالت Local Authentication پیاده سازی کردیم و همینطور که اشاره شد می خواهیم در این مقاله نحوی استفاده از اکتیو دایرکتوری را به عنوان Radius Server آموزش دهیم. با ما همراه باشید.امروزه در اکثر سازمان ها سرویس Active Directory نصب و مورد استفاده قرار می گیرد و می توان از اکتیو دایرکتوری غیر مباحثی که تاکنون از این سرویس انتظار داشتیم استفاده کنیم. از Active Directory می توان به عنوان Radius Server برای AAA استفاده کرد. به همین منظور باید در سرور Active Directory تنظیماتی انجام دهیم که بتواند به دستگاه ما پاسخ Authentication ها را بدهد.
سپس در پنجره باز شده در منوی سمت چپ روی گزینه users راست کلیک کرده و گزینه new --> Group را انتخاب می کنیم.
در پنجره باز شده یک نام برای این گروه در نظر می گیریم و کلید OK را می زنیم. ما در اینجا نام Cisco Admin را برای گروه در نظر گرفته ایم.
حالا یوزرهایی که می خواهیم به تجهیزات ما دسترسی داشته باشند را تعریف می کنیم برای اینکار در منوی سمت چپ روی گزینه Users راست کلیک کرده و گزینه New-->User را انتخاب می کنیم.
در پنجره باز شده همانطور که در تصویر می بینید یک نام برای کاربر در نظر می گیریم و کلید next را می زنیم.
در مرحله بعد برای یوزر ، پسورد تعیین می کنیم و کلید next و در پنجره بعدی Finish را می زنیم.
ساخت یوزر به اتمام رسیده است و در صورتی که بخواهیم یوزرهای دیگری را تعریف کنیم این مرحله را تکرار می کنیم.بعد از ساخت یوزر باید آنرا عضو گروهی که ساخته ایم بکنیم به همین منظور روی یوزری که ایجاد کرده ایم راست کلیک کرده و گزینه properties را انتخاب می کنیم.
در پنجره باز شده به سربرگ Member Of رفته و کلید Add را می زنیم.
در کادر باز شده نام گروهی که ایجاد کرده ایم را وارد کرده و کلیک OK را می زنیم.
یوزر به گروه مورد نظر اضافه شده است و برای سایر یوزرهای نیز این مراحل باید تکرار شود.
بعد از ساخت یوزر و گروه باید سرویس (Network Policy Server(NPS را نصب کنید برای این کار Server Manager را از منوی Administrative Tools اجرا کنید.نکته : جهت آشنایی بیشتر با سرویس NPS پیشنهاد می کنم حتما مقالات دوست خوبم محمد نصیری را از طریق این لینک مطالعه کنید.
سپس روی گزینه Add Rules کلیک کنید.
Next را در پنجره اول انتخاب کنید و در پنجره دوم سرویس Network Policy and Access Services را انتخاب و Next را بزنید.
مجدد در این پنجره Next را بزنید و در پنجره بعدی Network Policy Server را انتخاب کنید.
سپس کلید install را می زنیم و صبر می کنیم که نصب آن تمام شود.
همانطور که در تصویر می بینید نصب NPS به اتمام رسیده و کلید close را می زنیم.
بعد از نصب ، NPS را جهت انجام تنظیمات از منوی Administrative tools اجرا می کنیم.
دراین مرحله باید دستگاه هایی که قرار است برای Authentication از اکتیو دایرکتوری استفاده کنند را مشخص کنیم که برای اینکار در محیط NPS همانطور که در تصویر می بینید روی Radius Client کلیک راست کرده و گزینه new را انتخاب می کنیم.
در کادر باز شده همانطور که در تصویر می بینید برای دستگاه یک نام ، IP Address دستگاه و یک پسورد (shared secret) باید مشخص کرد.
مرحله بعدی تعریف یک Policy هست برای این کار روی network Policies در NPS راست کلیک کرده و گزینه new را انتخاب می کنیم.
در کادر باز شده یک نام برای آن انتخاب می کنیم و کلید Next را می زنیم.
در کادر بعدی Add را می زنیم.
در این کادر گزینه windows Groups را انتخاب و کلید Add را می زنیم.
در این کادر کلید Add Groups را می زنیم.
در اینجا نام گروهی که در ابتدا ایجاد کرده ایم را وارد کرده و کلید OK را می زنیم.
سپس پنجره های باز شده را تایید می کنیم که به این پنجره باز گردیم و همانطور که می بینید گروه به آن اضافه شده است. کلید next را می زنیم تا به مرحله بعد برویم.
مطابق تصویر گزینه Access granted را انتخاب و کلید next را می زنیم.
در اینجا فقط گزینه unencrypted authentication را انتخاب و کلید next را می زنیم.
در این پنجره محدودیت های زمانی اتصال و ... را می توان مشخص کرد که ما بدون تغییر کلید next را می زنیم.
در این کادر ایتم های مشخص شده را حذف می کنیم.
گزینه Vendor Specific را انتخاب می کنیم.
در اینجا کلید Add را می زنیم.
در لیست باز شده Cisco-AV-Pair را انتخاب می کنیم و کلید Add را می زنیم.
در اینجا نیز کلید Add را می زنیم.
در این کادر عبارت shell:priv-lvl=15 را وارد می کنیم و کلید OK را می زنیم.
پنجره های باز شده را تایید می کنیم تا به صفحه زیر بازگردیم.
تنظیمات Policy به اتمام رسیده است و کلید Finish را می زنیم.
همینطور که در تصویر می بینید یک Policy با نام Cisco در بالای لیست اضافه شده است.
تنظیمات سمت سرور اکتیو دایرکتوری به اتمام رسیده است و حالا باید دستگاه های که می خواهند از اکتیو دایرکتوری به عنوان Radius Server استفاده کنند را تنظیم کنیم.
به روتر login شوید و مراحل زیر را طی کنید.
در ابتدا AAA را فعال می کنیم:
Router(config)#aaa new-model
مشخصات Raduis Server مانند آدرس IP و پسوردی که در مراحل قبل مشخص کرده ایم را وارد می کنیم :
Router(config)#radius-server host 192.168.1.2 Router(config)#radius-server key 1234
سپس authentication و authorization را در حالت Radius قرار می دهیم :
Router(config)#aaa authentication login default group radius Router(config)#aaa authorization exec default group radius
تنظیمات ورود را برای کنسول و Telnet و SSH انجام می دهیم :
Router(config)#line console 0 Router(config-line)#login authentication default Router(config)#line vty 0 4 Router(config-line)#login authentication default
همانطور که در تصویر می ببیند با یوزری که در اکتیو دایرکتوری تعریف کرده ایم اکنون می توانیم به روتر login کنیم.
همچنین برای خطایابی و بررسی تنظمیات می توانید از دستورات زیر استفاده کنید :
Router#show aaa sessions Router#show aaa method-lists all Router#debug aaa authentication Router#debug aaa authorization Router#debug aaa accounting
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو
جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود