آموزش :: استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو
درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    تخفیف های وب سایت
    همه تخفیف ها

    عضویت در

    کانال تلگرام

    توسینسو

    اطلاعات مطلب
      مدرس/نویسنده
      جعفر قنبری شوهانی
      امتیاز: 141799
      رتبه:8
      194
      186
      248
      2839
      جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان حدود 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم ، به طور کلی در زمینه های سیسکو ، شبکه های مایکروسافتی ، VoIP ، مانیتورینگ و NOC ، محصولات امنیتی فورتی نت ، طراحی و پیاده سازی مرکز داده ، مجازی سازی ، وایرلس و ... تخصص دارم. کانال اختصاصی من در تلگرام https://telegram.me/ghanbarinetwork پروفایل کاربر

      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      تاریخ 42 ماه قبل
      نظرات 14
      بازدیدها 2245
      در مقاله قبلی با مفاهیم AAA آشنا شدیم و همچنین AAA را در حالت Local Authentication پیاده سازی کردیم و همینطور که اشاره شد می خواهیم در این مقاله نحوی استفاده از اکتیو دایرکتوری را به عنوان Radius Server آموزش دهیم. با ما همراه باشید.امروزه در اکثر سازمان ها سرویس Active Directory نصب و مورد استفاده قرار می گیرد و می توان از اکتیو دایرکتوری غیر مباحثی که تاکنون از این سرویس انتظار داشتیم استفاده کنیم. از Active Directory می توان به عنوان Radius Server برای AAA استفاده کرد. به همین منظور باید در سرور Active Directory تنظیماتی انجام دهیم که بتواند به دستگاه ما پاسخ Authentication ها را بدهد. نکته : این تنظمیات را ما در Windows Server 2008 انجام می دهید.در ابتدا یک گروه ایجاد می کنیم که یوزرهای این گروه قادر باشند به تجهیزات ما متصل شوند برای این کار همانطور که در تصویر زیر می بینید گزینه Active Directory Users and Computer را از منوی Administrative Tools انتخاب می کنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      سپس در پنجره باز شده در منوی سمت چپ روی گزینه users راست کلیک کرده و گزینه new --> Group را انتخاب می کنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در پنجره باز شده یک نام برای این گروه در نظر می گیریم و کلید OK را می زنیم. ما در اینجا نام Cisco Admin را برای گروه در نظر گرفته ایم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      حالا یوزرهایی که می خواهیم به تجهیزات ما دسترسی داشته باشند را تعریف می کنیم برای اینکار در منوی سمت چپ روی گزینه Users راست کلیک کرده و گزینه New-->User را انتخاب می کنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در پنجره باز شده همانطور که در تصویر می بینید یک نام برای کاربر در نظر می گیریم و کلید next را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در مرحله بعد برای یوزر ، پسورد تعیین می کنیم و کلید next و در پنجره بعدی Finish را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      ساخت یوزر به اتمام رسیده است و در صورتی که بخواهیم یوزرهای دیگری را تعریف کنیم این مرحله را تکرار می کنیم.بعد از ساخت یوزر باید آنرا عضو گروهی که ساخته ایم بکنیم به همین منظور روی یوزری که ایجاد کرده ایم راست کلیک کرده و گزینه properties را انتخاب می کنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در پنجره باز شده به سربرگ Member Of رفته و کلید Add را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در کادر باز شده نام گروهی که ایجاد کرده ایم را وارد کرده و کلیک OK را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      یوزر به گروه مورد نظر اضافه شده است و برای سایر یوزرهای نیز این مراحل باید تکرار شود.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      بعد از ساخت یوزر و گروه باید سرویس (Network Policy Server(NPS را نصب کنید برای این کار Server Manager را از منوی Administrative Tools اجرا کنید.نکته : جهت آشنایی بیشتر با سرویس NPS پیشنهاد می کنم حتما مقالات دوست خوبم محمد نصیری را از طریق این لینک مطالعه کنید.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      سپس روی گزینه Add Rules کلیک کنید.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      Next را در پنجره اول انتخاب کنید و در پنجره دوم سرویس Network Policy and Access Services را انتخاب و Next را بزنید.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      مجدد در این پنجره Next را بزنید و در پنجره بعدی Network Policy Server را انتخاب کنید.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      سپس کلید install را می زنیم و صبر می کنیم که نصب آن تمام شود.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      همانطور که در تصویر می بینید نصب NPS به اتمام رسیده و کلید close را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      بعد از نصب ، NPS را جهت انجام تنظیمات از منوی Administrative tools اجرا می کنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      دراین مرحله باید دستگاه هایی که قرار است برای Authentication از اکتیو دایرکتوری استفاده کنند را مشخص کنیم که برای اینکار در محیط NPS همانطور که در تصویر می بینید روی Radius Client کلیک راست کرده و گزینه new را انتخاب می کنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در کادر باز شده همانطور که در تصویر می بینید برای دستگاه یک نام ، IP Address دستگاه و یک پسورد (shared secret) باید مشخص کرد.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      مرحله بعدی تعریف یک Policy هست برای این کار روی network Policies در NPS راست کلیک کرده و گزینه new را انتخاب می کنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در کادر باز شده یک نام برای آن انتخاب می کنیم و کلید Next را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در کادر بعدی Add را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در این کادر گزینه windows Groups را انتخاب و کلید Add را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در این کادر کلید Add Groups را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در اینجا نام گروهی که در ابتدا ایجاد کرده ایم را وارد کرده و کلید OK را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      سپس پنجره های باز شده را تایید می کنیم که به این پنجره باز گردیم و همانطور که می بینید گروه به آن اضافه شده است. کلید next را می زنیم تا به مرحله بعد برویم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      مطابق تصویر گزینه Access granted را انتخاب و کلید next را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در اینجا فقط گزینه unencrypted authentication را انتخاب و کلید next را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در این پنجره محدودیت های زمانی اتصال و ... را می توان مشخص کرد که ما بدون تغییر کلید next را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در این کادر ایتم های مشخص شده را حذف می کنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      گزینه Vendor Specific را انتخاب می کنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در اینجا کلید Add را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در لیست باز شده Cisco-AV-Pair را انتخاب می کنیم و کلید Add را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در اینجا نیز کلید Add را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      در این کادر عبارت shell:priv-lvl=15 را وارد می کنیم و کلید OK را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      پنجره های باز شده را تایید می کنیم تا به صفحه زیر بازگردیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      تنظیمات Policy به اتمام رسیده است و کلید Finish را می زنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      همینطور که در تصویر می بینید یک Policy با نام Cisco در بالای لیست اضافه شده است.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      تنظیمات سمت سرور اکتیو دایرکتوری به اتمام رسیده است و حالا باید دستگاه های که می خواهند از اکتیو دایرکتوری به عنوان Radius Server استفاده کنند را تنظیم کنیم.
      به روتر login شوید و مراحل زیر را طی کنید.
      در ابتدا AAA را فعال می کنیم:
      Router(config)#aaa new-model
      
      مشخصات Raduis Server مانند آدرس IP و پسوردی که در مراحل قبل مشخص کرده ایم را وارد می کنیم :
      Router(config)#radius-server host 192.168.1.2
      Router(config)#radius-server key 1234
      
      سپس authentication و authorization را در حالت Radius قرار می دهیم :
      Router(config)#aaa authentication login default group radius
      Router(config)#aaa authorization exec default group radius
      
      تنظیمات ورود را برای کنسول و Telnet و SSH انجام می دهیم :
      Router(config)#line console 0
      Router(config-line)#login authentication default
      Router(config)#line vty 0 4
      Router(config-line)#login authentication default
      
      همانطور که در تصویر می ببیند با یوزری که در اکتیو دایرکتوری تعریف کرده ایم اکنون می توانیم به روتر login کنیم.
      استفاده از Active Directory به عنوان Radius server برای تجهیزات سیسکو

      همچنین برای خطایابی و بررسی تنظمیات می توانید از دستورات زیر استفاده کنید :
      Router#show aaa sessions
      Router#show aaa method-lists all
      Router#debug aaa authentication
      Router#debug aaa authorization
      Router#debug aaa accounting
      

      نویسنده : جعفر قنبری شوهانی
      منبع : جزیره سیسکو وب سایت توسینسو
      هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      • عالی بود عالی ...
      • بسیار جامع و کامل بود.
      • عالی بود کیف کردم. همین روزا تستش میکنم .ممنون
      • واقعا عالی بود! فکرش رو هم نمیکردم!!!!!! براوو!!!
      • سلام
        تشکر مهندس قنبری عزیز
        خیلی خوب بود
      • مهندس دقیقا طبق مراحل رفتم ولی موقع لاگین بهم Authentication Failed میده.
        این عکس هم تصویر Wireshark من هست که میگه Access-Reject علت چیه با اینکه همه مراحل اینطور بود که شما بیان کردین
        تشکر
        wireshark

      • مهندس مشکل رو خودم حل کردم.در این تصویر تیک هارو که گفتید برداریم برنداشتم و حالت پیشفرض اون رو قرار دادم و علاوه بر این موارد تیک گزینه
        Allow Clients to Connect Without Negotiating an Authentication method رو هم زدم.
        solve problem

      • سلام جناب قنبری
        با تشکر از مطلب خوبتون

        متاسفانه مهندس جان من دستورات این مطلب رو مو به مو انجام دادم ولی متاسفانه با خطای زیر رو برو میشم میشه راهنماییم بفرمایید ...البته لازم به ذکر هست که با یوزر و پسورد خود سوییچ که قبلا روش ست کرده بودم هم نمیتونم وارد سوییچ 2960 بشم من دستورات ثاماده سازی سوییچ رو هم وارد کردم ولی نمیدونم چرا این اتفاق میفته؟
        
        Router(config)#aaa new-model
        
        Router(config)#radius-server host 192.168.1.2
        Router(config)#radius-server key 1234
        Router(config)#aaa authentication login default group radius
        Router(config)#aaa authorization exec default group radius
        Router(config)#line console 0
        Router(config-line)#login authentication default
        Router(config)#line vty 0 4
        Router(config-line)#login authentication default
        
        خطا
        Aug  9 05:23:37.175: %RADIUS-4-RADIUS_DEAD: RADIUS server 192.168.1.2:1645,1646 is not responding.
        Aug  9 05:23:37.175: %RADIUS-4-RADIUS_ALIVE: RADIUS server 192.168.1.2:1645,1646 is being marked alive.
        % Authentication failed
        
        
      • سلام من اگه بخوام همین کار رو میکروتیک انجام بدم باید در قسمت vendor specific چی رو انتخاب کنم
        اگه راهنماییم کنید ممنون میشم
      • سلام. ممنون از آقای قنبری.
        آقای مسعود حتما در سمت radius اشتباه کانفیگ کردید. یه بار دیگه چک کنید.
        علاوه بر این موقتا دو دستور :
        Router(config)#aaa authentication login default group radius
        Router(config)#aaa authorization exec default group radius
        

        را به شکل زیر وارد کنید تا زمانی که radius سرور، available نبود (مثل حالت الان شما)، احراز هویت بصورت لوکال انجام بشه:

        Router(config)#aaa authentication login default group radius local
        Router(config)#aaa authorization exec default group radius local
        

      • سلام به همه. من یک وب سایت دارم راه اندازی میکنم. توی پیاده سازی خیلی دنبال کد نویسی نیستم، بیشتر میخوام برنامه هایی که قبلا نوشته شده و قابل استفاده هست رو در کنار هم قرار بدم . به نظر شما برای User Store (یا همون بخشی که مربوط به ثبت نام کاربر و مدیریت کاربران و لاگین هست) منطقیه از اکتیو دایرکتوری استفاده کنم؟

      • من از برنامه نویسی و منطق هایی که در اون بکار گرفته میشه اطلاعاتی ندارم این سوال رو از دوستان برنامه نویس باید بپرسید
      • سلام، ضمن تشکر از مطلب مفیدتون. دو تا سوال داشتم
        1. چرا در قسمت پالیسی service-type=framed رو حذف کردید؟
        2. این عبارت shell:priv-lvl=15 که در قسمت vendor از پالیسیها باید اضافه میشد، دقیقا این چی هست؟ آیا عبارت دیگه ای هم میشه استفاده کرد یا خیر؟
      • دقیقا من هم این سوال دارم

      برای ارسال نظر ابتدا به سایت وارد شوید