درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من
صندوق پیام
همه را دیدم تنظیمات
  • در حال دریافت لیست پیام ها
صندوق پیام
  • در حال دریافت لیست رویدادها
همه رویدادهای من

استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

14 نظرات
در مقاله قبلی با مفاهیم AAA آشنا شدیم و همچنین AAA را در حالت Local Authentication پیاده سازی کردیم و همینطور که اشاره شد می خواهیم در این مقاله نحوی استفاده از اکتیو دایرکتوری را به عنوان Radius Server آموزش دهیم. با ما همراه باشید.امروزه در اکثر سازمان ها سرویس Active Directory نصب و مورد استفاده قرار می گیرد و می توان از اکتیو دایرکتوری غیر مباحثی که تاکنون از این سرویس انتظار داشتیم استفاده کنیم. از Active Directory می توان به عنوان Radius Server برای AAA استفاده کرد. به همین منظور باید در سرور Active Directory تنظیماتی انجام دهیم که بتواند به دستگاه ما پاسخ Authentication ها را بدهد. نکته : این تنظمیات را ما در Windows Server 2008 انجام می دهید.در ابتدا یک گروه ایجاد می کنیم که یوزرهای این گروه قادر باشند به تجهیزات ما متصل شوند برای این کار همانطور که در تصویر زیر می بینید گزینه Active Directory Users and Computer را از منوی Administrative Tools انتخاب می کنیم.
Image

سپس در پنجره باز شده در منوی سمت چپ روی گزینه users راست کلیک کرده و گزینه new --> Group را انتخاب می کنیم.
Image

در پنجره باز شده یک نام برای این گروه در نظر می گیریم و کلید OK را می زنیم. ما در اینجا نام Cisco Admin را برای گروه در نظر گرفته ایم.
Image

حالا یوزرهایی که می خواهیم به تجهیزات ما دسترسی داشته باشند را تعریف می کنیم برای اینکار در منوی سمت چپ روی گزینه Users راست کلیک کرده و گزینه New-->User را انتخاب می کنیم.
Image

در پنجره باز شده همانطور که در تصویر می بینید یک نام برای کاربر در نظر می گیریم و کلید next را می زنیم.
Image

در مرحله بعد برای یوزر ، پسورد تعیین می کنیم و کلید next و در پنجره بعدی Finish را می زنیم.
Image

ساخت یوزر به اتمام رسیده است و در صورتی که بخواهیم یوزرهای دیگری را تعریف کنیم این مرحله را تکرار می کنیم.بعد از ساخت یوزر باید آنرا عضو گروهی که ساخته ایم بکنیم به همین منظور روی یوزری که ایجاد کرده ایم راست کلیک کرده و گزینه properties را انتخاب می کنیم.
Image

در پنجره باز شده به سربرگ Member Of رفته و کلید Add را می زنیم.
Image

در کادر باز شده نام گروهی که ایجاد کرده ایم را وارد کرده و کلیک OK را می زنیم.
Image

یوزر به گروه مورد نظر اضافه شده است و برای سایر یوزرهای نیز این مراحل باید تکرار شود.
Image

بعد از ساخت یوزر و گروه باید سرویس (Network Policy Server(NPS را نصب کنید برای این کار Server Manager را از منوی Administrative Tools اجرا کنید.نکته : جهت آشنایی بیشتر با سرویس NPS پیشنهاد می کنم حتما مقالات دوست خوبم محمد نصیری را از طریق این لینک مطالعه کنید.
Image

سپس روی گزینه Add Rules کلیک کنید.
Image

Next را در پنجره اول انتخاب کنید و در پنجره دوم سرویس Network Policy and Access Services را انتخاب و Next را بزنید.
Image

مجدد در این پنجره Next را بزنید و در پنجره بعدی Network Policy Server را انتخاب کنید.
Image

سپس کلید install را می زنیم و صبر می کنیم که نصب آن تمام شود.
Image

همانطور که در تصویر می بینید نصب NPS به اتمام رسیده و کلید close را می زنیم.
Image

بعد از نصب ، NPS را جهت انجام تنظیمات از منوی Administrative tools اجرا می کنیم.
Image

دراین مرحله باید دستگاه هایی که قرار است برای Authentication از اکتیو دایرکتوری استفاده کنند را مشخص کنیم که برای اینکار در محیط NPS همانطور که در تصویر می بینید روی Radius Client کلیک راست کرده و گزینه new را انتخاب می کنیم.
Image

در کادر باز شده همانطور که در تصویر می بینید برای دستگاه یک نام ، IP Address دستگاه و یک پسورد (shared secret) باید مشخص کرد.
Image

مرحله بعدی تعریف یک Policy هست برای این کار روی network Policies در NPS راست کلیک کرده و گزینه new را انتخاب می کنیم.
Image

در کادر باز شده یک نام برای آن انتخاب می کنیم و کلید Next را می زنیم.
Image

در کادر بعدی Add را می زنیم.
Image

در این کادر گزینه windows Groups را انتخاب و کلید Add را می زنیم.
Image

در این کادر کلید Add Groups را می زنیم.
Image

در اینجا نام گروهی که در ابتدا ایجاد کرده ایم را وارد کرده و کلید OK را می زنیم.
Image

سپس پنجره های باز شده را تایید می کنیم که به این پنجره باز گردیم و همانطور که می بینید گروه به آن اضافه شده است. کلید next را می زنیم تا به مرحله بعد برویم.
Image

مطابق تصویر گزینه Access granted را انتخاب و کلید next را می زنیم.
Image

در اینجا فقط گزینه unencrypted authentication را انتخاب و کلید next را می زنیم.
Image

در این پنجره محدودیت های زمانی اتصال و ... را می توان مشخص کرد که ما بدون تغییر کلید next را می زنیم.
Image

در این کادر ایتم های مشخص شده را حذف می کنیم.
Image

گزینه Vendor Specific را انتخاب می کنیم.
Image

در اینجا کلید Add را می زنیم.
Image

در لیست باز شده Cisco-AV-Pair را انتخاب می کنیم و کلید Add را می زنیم.
Image

در اینجا نیز کلید Add را می زنیم.
Image

در این کادر عبارت shell:priv-lvl=15 را وارد می کنیم و کلید OK را می زنیم.
Image

پنجره های باز شده را تایید می کنیم تا به صفحه زیر بازگردیم.
Image

تنظیمات Policy به اتمام رسیده است و کلید Finish را می زنیم.
Image

همینطور که در تصویر می بینید یک Policy با نام Cisco در بالای لیست اضافه شده است.
Image

تنظیمات سمت سرور اکتیو دایرکتوری به اتمام رسیده است و حالا باید دستگاه های که می خواهند از اکتیو دایرکتوری به عنوان Radius Server استفاده کنند را تنظیم کنیم.
به روتر login شوید و مراحل زیر را طی کنید.
در ابتدا AAA را فعال می کنیم:
Router(config)#aaa new-model
مشخصات Raduis Server مانند آدرس IP و پسوردی که در مراحل قبل مشخص کرده ایم را وارد می کنیم :
Router(config)#radius-server host 192.168.1.2
Router(config)#radius-server key 1234
سپس authentication و authorization را در حالت Radius قرار می دهیم :
Router(config)#aaa authentication login default group radius
Router(config)#aaa authorization exec default group radius
تنظیمات ورود را برای کنسول و Telnet و SSH انجام می دهیم :
Router(config)#line console 0
Router(config-line)#login authentication default
Router(config)#line vty 0 4
Router(config-line)#login authentication default
همانطور که در تصویر می ببیند با یوزری که در اکتیو دایرکتوری تعریف کرده ایم اکنون می توانیم به روتر login کنیم.
Image

همچنین برای خطایابی و بررسی تنظمیات می توانید از دستورات زیر استفاده کنید :
Router#show aaa sessions
Router#show aaa method-lists all
Router#debug aaa authentication
Router#debug aaa authorization
Router#debug aaa accounting

نویسنده : جعفر قنبری شوهانی
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
برچسب ها
ردیف عنوان قیمت
1 AAA چیست و چگونه در تجهیزات سیسکو پیدا سازی می شود؟ رایگان
2 فعال کردن AAA در حالت Local Authentication در تجهیزات سیسکو رایگان
3 استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو رایگان
4 چرا به AAA نیاز داریم؟ رایگان
مطالب مرتبط
نظرات
  • عالی بود عالی ...
  • بسیار جامع و کامل بود.
  • عالی بود کیف کردم. همین روزا تستش میکنم .ممنون
  • واقعا عالی بود! فکرش رو هم نمیکردم!!!!!! براوو!!!
  • سلام
    تشکر مهندس قنبری عزیز
    خیلی خوب بود
  • مهندس دقیقا طبق مراحل رفتم ولی موقع لاگین بهم Authentication Failed میده.
    این عکس هم تصویر Wireshark من هست که میگه Access-Reject علت چیه با اینکه همه مراحل اینطور بود که شما بیان کردین
    تشکر
    wireshark

  • مهندس مشکل رو خودم حل کردم.در این تصویر تیک هارو که گفتید برداریم برنداشتم و حالت پیشفرض اون رو قرار دادم و علاوه بر این موارد تیک گزینه
    Allow Clients to Connect Without Negotiating an Authentication method رو هم زدم.
    solve problem

  • سلام جناب قنبری
    با تشکر از مطلب خوبتون

    متاسفانه مهندس جان من دستورات این مطلب رو مو به مو انجام دادم ولی متاسفانه با خطای زیر رو برو میشم میشه راهنماییم بفرمایید ...البته لازم به ذکر هست که با یوزر و پسورد خود سوییچ که قبلا روش ست کرده بودم هم نمیتونم وارد سوییچ 2960 بشم من دستورات ثاماده سازی سوییچ رو هم وارد کردم ولی نمیدونم چرا این اتفاق میفته؟
    
    Router(config)#aaa new-model
    
    Router(config)#radius-server host 192.168.1.2
    Router(config)#radius-server key 1234
    Router(config)#aaa authentication login default group radius
    Router(config)#aaa authorization exec default group radius
    Router(config)#line console 0
    Router(config-line)#login authentication default
    Router(config)#line vty 0 4
    Router(config-line)#login authentication default
    
    خطا
    Aug  9 05:23:37.175: %RADIUS-4-RADIUS_DEAD: RADIUS server 192.168.1.2:1645,1646 is not responding.
    Aug  9 05:23:37.175: %RADIUS-4-RADIUS_ALIVE: RADIUS server 192.168.1.2:1645,1646 is being marked alive.
    % Authentication failed
    
    
  • سلام من اگه بخوام همین کار رو میکروتیک انجام بدم باید در قسمت vendor specific چی رو انتخاب کنم
    اگه راهنماییم کنید ممنون میشم
  • سلام. ممنون از آقای قنبری.
    آقای مسعود حتما در سمت radius اشتباه کانفیگ کردید. یه بار دیگه چک کنید.
    علاوه بر این موقتا دو دستور :
    Router(config)#aaa authentication login default group radius
    Router(config)#aaa authorization exec default group radius
    

    را به شکل زیر وارد کنید تا زمانی که radius سرور، available نبود (مثل حالت الان شما)، احراز هویت بصورت لوکال انجام بشه:

    Router(config)#aaa authentication login default group radius local
    Router(config)#aaa authorization exec default group radius local
    

  • سلام به همه. من یک وب سایت دارم راه اندازی میکنم. توی پیاده سازی خیلی دنبال کد نویسی نیستم، بیشتر میخوام برنامه هایی که قبلا نوشته شده و قابل استفاده هست رو در کنار هم قرار بدم . به نظر شما برای User Store (یا همون بخشی که مربوط به ثبت نام کاربر و مدیریت کاربران و لاگین هست) منطقیه از اکتیو دایرکتوری استفاده کنم؟

  • من از برنامه نویسی و منطق هایی که در اون بکار گرفته میشه اطلاعاتی ندارم این سوال رو از دوستان برنامه نویس باید بپرسید
  • سلام، ضمن تشکر از مطلب مفیدتون. دو تا سوال داشتم
    1. چرا در قسمت پالیسی service-type=framed رو حذف کردید؟
    2. این عبارت shell:priv-lvl=15 که در قسمت vendor از پالیسیها باید اضافه میشد، دقیقا این چی هست؟ آیا عبارت دیگه ای هم میشه استفاده کرد یا خیر؟
  • دقیقا من هم این سوال دارم

برای ارسال نظر ابتدا به سایت وارد شوید

arrow