در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش استفاده از اکتیودایرکتوری به عنوان RADIUS سرور سیسکو

در مقاله قبلی با مفاهیم AAA آشنا شدیم و همچنین AAA را در حالت Local Authentication پیاده سازی کردیم و همینطور که اشاره شد می خواهیم در این مقاله نحوی استفاده از اکتیو دایرکتوری را به عنوان Radius Server آموزش دهیم. با ما همراه باشید.

امروزه در اکثر سازمان ها سرویس Active Directory نصب و مورد استفاده قرار می گیرد و می توان از اکتیو دایرکتوری غیر مباحثی که تاکنون از این سرویس انتظار داشتیم استفاده کنیم. از Active Directory می توان به عنوان Radius Server برای AAA استفاده کرد. به همین منظور باید در سرور Active Directory تنظیماتی انجام دهیم که بتواند به دستگاه ما پاسخ Authentication ها را بدهد.

  • نکته : این تنظمیات را ما در Windows Server 2008 انجام می دهید.در ابتدا یک گروه ایجاد می کنیم که یوزرهای این گروه قادر باشند به تجهیزات ما متصل شوند برای این کار همانطور که در تصویر زیر می بینید گزینه Active Directory Users and Computer را از منوی Administrative Tools انتخاب می کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

سپس در پنجره باز شده در منوی سمت چپ روی گزینه users راست کلیک کرده و گزینه new --> Group را انتخاب می کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در پنجره باز شده یک نام برای این گروه در نظر می گیریم و کلید OK را می زنیم. ما در اینجا نام Cisco Admin را برای گروه در نظر گرفته ایم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

حالا یوزرهایی که می خواهیم به تجهیزات ما دسترسی داشته باشند را تعریف می کنیم برای اینکار در منوی سمت چپ روی گزینه Users راست کلیک کرده و گزینه New-->User را انتخاب می کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در پنجره باز شده همانطور که در تصویر می بینید یک نام برای کاربر در نظر می گیریم و کلید next را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در مرحله بعد برای یوزر ، پسورد تعیین می کنیم و کلید next و در پنجره بعدی Finish را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

ساخت یوزر به اتمام رسیده است و در صورتی که بخواهیم یوزرهای دیگری را تعریف کنیم این مرحله را تکرار می کنیم.بعد از ساخت یوزر باید آنرا عضو گروهی که ساخته ایم بکنیم به همین منظور روی یوزری که ایجاد کرده ایم راست کلیک کرده و گزینه properties را انتخاب می کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در پنجره باز شده به سربرگ Member Of رفته و کلید Add را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در کادر باز شده نام گروهی که ایجاد کرده ایم را وارد کرده و کلیک OK را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

یوزر به گروه مورد نظر اضافه شده است و برای سایر یوزرهای نیز این مراحل باید تکرار شود.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

بعد از ساخت یوزر و گروه باید سرویس (Network Policy Server(NPS را نصب کنید برای این کار Server Manager را از منوی Administrative Tools اجرا کنید.نکته : جهت آشنایی بیشتر با سرویس NPS پیشنهاد می کنم حتما مقالات دوست خوبم محمد نصیری را از طریق این لینک مطالعه کنید.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

سپس روی گزینه Add Rules کلیک کنید.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

Next را در پنجره اول انتخاب کنید و در پنجره دوم سرویس Network Policy and Access Services را انتخاب و Next را بزنید.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

مجدد در این پنجره Next را بزنید و در پنجره بعدی Network Policy Server را انتخاب کنید.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

سپس کلید install را می زنیم و صبر می کنیم که نصب آن تمام شود.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

همانطور که در تصویر می بینید نصب NPS به اتمام رسیده و کلید close را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

بعد از نصب ، NPS را جهت انجام تنظیمات از منوی Administrative tools اجرا می کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

دراین مرحله باید دستگاه هایی که قرار است برای Authentication از اکتیو دایرکتوری استفاده کنند را مشخص کنیم که برای اینکار در محیط NPS همانطور که در تصویر می بینید روی Radius Client کلیک راست کرده و گزینه new را انتخاب می کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در کادر باز شده همانطور که در تصویر می بینید برای دستگاه یک نام ، IP Address دستگاه و یک پسورد (shared secret) باید مشخص کرد.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

مرحله بعدی تعریف یک Policy هست برای این کار روی network Policies در NPS راست کلیک کرده و گزینه new را انتخاب می کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در کادر باز شده یک نام برای آن انتخاب می کنیم و کلید Next را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در کادر بعدی Add را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در این کادر گزینه windows Groups را انتخاب و کلید Add را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در این کادر کلید Add Groups را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در اینجا نام گروهی که در ابتدا ایجاد کرده ایم را وارد کرده و کلید OK را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

سپس پنجره های باز شده را تایید می کنیم که به این پنجره باز گردیم و همانطور که می بینید گروه به آن اضافه شده است. کلید next را می زنیم تا به مرحله بعد برویم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

مطابق تصویر گزینه Access granted را انتخاب و کلید next را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در اینجا فقط گزینه unencrypted authentication را انتخاب و کلید next را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در این پنجره محدودیت های زمانی اتصال و ... را می توان مشخص کرد که ما بدون تغییر کلید next را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در این کادر ایتم های مشخص شده را حذف می کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

گزینه Vendor Specific را انتخاب می کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در اینجا کلید Add را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در لیست باز شده Cisco-AV-Pair را انتخاب می کنیم و کلید Add را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در اینجا نیز کلید Add را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

در این کادر عبارت shell:priv-lvl=15 را وارد می کنیم و کلید OK را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

پنجره های باز شده را تایید می کنیم تا به صفحه زیر بازگردیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

تنظیمات Policy به اتمام رسیده است و کلید Finish را می زنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

همینطور که در تصویر می بینید یک Policy با نام Cisco در بالای لیست اضافه شده است.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

تنظیمات سمت سرور اکتیو دایرکتوری به اتمام رسیده است و حالا باید دستگاه های که می خواهند از اکتیو دایرکتوری به عنوان Radius Server استفاده کنند را تنظیم کنیم.
به روتر login شوید و مراحل زیر را طی کنید.
در ابتدا AAA را فعال می کنیم:
Router(config)#aaa new-model
مشخصات Raduis Server مانند آدرس IP و پسوردی که در مراحل قبل مشخص کرده ایم را وارد می کنیم :
Router(config)#radius-server host 192.168.1.2
Router(config)#radius-server key 1234
سپس authentication و authorization را در حالت Radius قرار می دهیم :
Router(config)#aaa authentication login default group radius
Router(config)#aaa authorization exec default group radius
تنظیمات ورود را برای کنسول و Telnet و SSH انجام می دهیم :
Router(config)#line console 0
Router(config-line)#login authentication default
Router(config)#line vty 0 4
Router(config-line)#login authentication default
همانطور که در تصویر می ببیند با یوزری که در اکتیو دایرکتوری تعریف کرده ایم اکنون می توانیم به روتر login کنیم.
استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

همچنین برای خطایابی و بررسی تنظمیات می توانید از دستورات زیر استفاده کنید :
Router#show aaa sessions
Router#show aaa method-lists all
Router#debug aaa authentication
Router#debug aaa authorization
Router#debug aaa accounting

نویسنده : جعفر قنبری شوهانی
منبع : جزیره سیسکو وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
#radius_و_tacacs+_چیست #اکتیو_دایرکتوری_به_عنوان_radius_server #سیسکو_و_ارتباط_آن_با_ویندوز #راه_اندازی_radius_برای_اکسس_پوینت #آموزش_راه_اندازی_aaa_در_سیسکو #راه_اندازی_nps_برای_raduis_server #راه_اندازی_radius_سرور #cisco_secure_acs_چیست #احراز_هویت_توسط_ad_برای_روتر_و_سوئیچ
14 نظر
محمد نصیری

عالی بود عالی ...

مجتبی کریمی

بسیار جامع و کامل بود.

سعید کریمی طاری

عالی بود کیف کردم. همین روزا تستش میکنم .ممنون

امین فاطمی نیا

واقعا عالی بود! فکرش رو هم نمیکردم!!!!!! براوو!!!

میثم رضوان دوست

سلام

تشکر مهندس قنبری عزیز

خیلی خوب بود

حسین قربانی

مهندس دقیقا طبق مراحل رفتم ولی موقع لاگین بهم Authentication Failed میده.

این عکس هم تصویر Wireshark من هست که میگه Access-Reject علت چیه با اینکه همه مراحل اینطور بود که شما بیان کردین

تشکر

wireshark

حسین قربانی

مهندس مشکل رو خودم حل کردم.در این تصویر تیک هارو که گفتید برداریم برنداشتم و حالت پیشفرض اون رو قرار دادم و علاوه بر این موارد تیک گزینه

Allow Clients to Connect Without Negotiating an Authentication method رو هم زدم.

solve problem

مسعود طاهری چورسی

سلام جناب قنبری

با تشکر از مطلب خوبتون

متاسفانه مهندس جان من دستورات این مطلب رو مو به مو انجام دادم ولی متاسفانه با خطای زیر رو برو میشم میشه راهنماییم بفرمایید ...البته لازم به ذکر هست که با یوزر و پسورد خود سوییچ که قبلا روش ست کرده بودم هم نمیتونم وارد سوییچ 2960 بشم من دستورات ثاماده سازی سوییچ رو هم وارد کردم ولی نمیدونم چرا این اتفاق میفته؟


Router(config)#aaa new-model

Router(config)#radius-server host 192.168.1.2
Router(config)#radius-server key 1234
Router(config)#aaa authentication login default group radius
Router(config)#aaa authorization exec default group radius
Router(config)#line console 0
Router(config-line)#login authentication default
Router(config)#line vty 0 4
Router(config-line)#login authentication default

خطا

Aug  9 05:23:37.175: %RADIUS-4-RADIUS_DEAD: RADIUS server 192.168.1.2:1645,1646 is not responding.
Aug  9 05:23:37.175: %RADIUS-4-RADIUS_ALIVE: RADIUS server 192.168.1.2:1645,1646 is being marked alive.
% Authentication failed

رضا عینی

سلام من اگه بخوام همین کار رو میکروتیک انجام بدم باید در قسمت vendor specific چی رو انتخاب کنم

اگه راهنماییم کنید ممنون میشم

rah

سلام. ممنون از آقای قنبری.

آقای مسعود حتما در سمت radius اشتباه کانفیگ کردید. یه بار دیگه چک کنید.

علاوه بر این موقتا دو دستور :

Router(config)#aaa authentication login default group radius
Router(config)#aaa authorization exec default group radius

را به شکل زیر وارد کنید تا زمانی که radius سرور، available نبود (مثل حالت الان شما)، احراز هویت بصورت لوکال انجام بشه:

Router(config)#aaa authentication login default group radius local
Router(config)#aaa authorization exec default group radius local
صادق عبادالهی

سلام به همه. من یک وب سایت دارم راه اندازی میکنم. توی پیاده سازی خیلی دنبال کد نویسی نیستم، بیشتر میخوام برنامه هایی که قبلا نوشته شده و قابل استفاده هست رو در کنار هم قرار بدم . به نظر شما برای User Store (یا همون بخشی که مربوط به ثبت نام کاربر و مدیریت کاربران و لاگین هست) منطقیه از اکتیو دایرکتوری استفاده کنم؟

جعفر قنبری شوهانی

من از برنامه نویسی و منطق هایی که در اون بکار گرفته میشه اطلاعاتی ندارم این سوال رو از دوستان برنامه نویس باید بپرسید

shabdisk

سلام، ضمن تشکر از مطلب مفیدتون. دو تا سوال داشتم

1. چرا در قسمت پالیسی service-type=framed رو حذف کردید؟

2. این عبارت shell:priv-lvl=15 که در قسمت vendor از پالیسیها باید اضافه میشد، دقیقا این چی هست؟ آیا عبارت دیگه ای هم میشه استفاده کرد یا خیر؟

akbar_online

دقیقا من هم این سوال دارم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....