Win2008 NPS(radius)对交换机telne/ssh认证
认证过程:登录交换机后要求输入用户名和密码,交换机根据配置将用户名和密码发送到NPS服务器,服务器验证用户名和密码,验证通过可管理交换机,不通过则拒绝访问
配置主要分为两部分,window侧和交换机侧,以下将对Cisco、H3C两家厂商配置做详细介绍
一Cisco
交换机侧配置
首先创建enable密码
enable secret xxxx
username xxx secret xxx
创建radius,启用aaa
aaa new-model
aaa authentication login nps group radius local
aaa authorization exec nps group radius local
radius-server host 10.0.2.89 auth-port 1812 acct-port 1813 key xxxx
radius source-interface Vlan70
telnet认证
line vty 0 15
authorization exec nps
login authentication nps
ssh2 认证
ip domain-name yunda
crypto key generate rsa general-keys modulus 1024
ip ssh version 2
line vty 0 15
exec-timeout 15 0
transport input ssh
authorization exec nps
login authentication nps
line con 0
authorization exec nps
login authentication nps
其中nps是自定义的认证列表名必须上下一致
Window配置
用户名、密码和组创建
本地创建用户名和密码,并将账号属性中的拨入方式勾选为NPS
创建组,将用户添加到该组
若是域账号NPS必须在AD中注册,步骤很简单,右击NPS选在在AD中注册即可
1 安装NPS角色
打开服务器管理器—角色--添加角色—勾选安装网络策略和访问服务,角色服务中勾选网络策略服务器,完成后如下图
2 新建radius客户端
右击radius客户端---新建,在友好名称中自定义交换机的名称,地址栏中输入交换机ip,共享密码方式选择手动,密码必须和交换机中指定的密码一致,否则认证无法通过。
在高级选项卡中选择cisco
3 新建连接请求策略
右击连接请求策略-新建,策略名自定义,条件中找到客户端好友名称,输入第2步中自定义交换机名称,身份验证方式选择如下,radius标准属性中选择login-service ,属性值为telnet。
其他默认
4 新建网络策略(重点)
右击网络策略新建,策略名自定义其他默认,条件选择客户端好友名称,输入第2步中自定义的交换机名称,身份验证方式如下
Radius标准属性中名称选择service-type,值为login
供应商特定中名称选择cisco-av-pair 供应商为cisco 值为shell:priv-lvl=15
至此cisco配置完成
二H3C
交换机侧配置
radius scheme test
primary authentication 192.168.100.233 key 123456
primary accounting 192.168.100.233 key 123456
user-name-format without-domain
quit
domain dev
authentication login radius-scheme test local
authorization login radius-scheme test local
accounting login none
quit
domain default enable dev
telnet认证
user-interface vty 0 15
authentication-mode scheme
ssh2认证
public-key local create rsa
1024
public-key local create dsa
1024
ssh server enable
user-interface vty 0 4
protocol inbound ssh
authentication-mode scheme
192.168.100.233为radius服务器ip
user-name-format without-domain改名领允许登录时可以不带域名
domain default enable dev将dev设置为默认域名并且启用
Window配置
用户名、密码和组创建
本地创建用户名和密码,并将账号属性中的拨入方式勾选为NPS
创建组,将用户添加到该组
若是域账号NPS必须在AD中注册,步骤很简单,右击NPS选在在AD中注册即可
NPS配置步骤
1安装NPS角色(同上)
2新建radius客户端(同上)
3新建连接请求策略(同上)
4新建网络策略
右击网络策略新建,策略名自定义其他默认,条件选择window用户组,添加新建的组。
身份验证方式如下
Radius标准属性中名称选择login-service,值为telnet
供应商特定中名称选择vendor-specific 供应商为radius standard,供应商代码为2011,供应商分配属性好为29,属性格式选择十进制,属性值为3
注意:vendor-specific是厂商的radius扩展编码,常用有2011和25506两种,具体可查询厂商官网。