Login vào Cisco Router /Switch sử dụng xác thực từ RADIUS Server

Xin chào các bạn, ở bài viết trước mình đã hướng dẫn các bạn Cách cài đặt RADIUS Server trên Windows Server 2019. Hôm nay mình sẽ hướng dẫn các bạn cách chứng thực các thiết bị mạng của Cisco qua RADIUS Server trên Windows Server 2019.

Yêu cầu:

Trên windows Server 2019 đã được cài đặt Active Directory để quản lý users và cài đặt Network Policy Server (NPS) để làm RADIUS Server.
Thiết bị mạng Cisco ( Router, Switch)
Đường truyền mạng giữa Router, Switch với RADIUS Server đã được cấu hình.

Sơ đồ:

1. Tạo tài khoản trên Active Directory:

Mục đích tạo tài khoản để truy cập vào các thiết bị qua RADIUS Server.

Bước 1: Vào Start và tìm đến Server Manager

Bước 2: Vào mục Tools và chọn Active Directory Users and Computers.

Bước 3: Click phải vào mục Users trong domain chọn New sau đó chọn User để tiến hành tạo mới user.

Bước 4: Điền đầy đủ thông tin và chọn Next.

Bước 5: Đặt password cho tài khoản đang tạo. Chọn Next để tiếp tục.

Bước 6: Chọn Finish để hoàn tất quá trình tạo account.

2. Tạo Group để chứa User sẽ xác thực qua RADIUS

Bước 1: Trên Active Directory Users and Computers, click chuột phải vào Users, chọn New và chọn Group.

Bước 2: Đặt tên cho Group tùy ý sau đó chọn OK. Ở đây mình sẽ đặt là RADIUS-User.

Bước 3: Thêm User vào Group RADIUS-User vừa tạo bằng cách Double Click vào Group sau đó chuyển sang tab Members và chọn Add.

Bước 4: Nhập account cần add vào, chọn Check Names để kiểm tra và chọn OK.

Bước 5: Ta có thể thấy User đã được thêm vào Group. Chọn OK để Xác nhân.

3. Cấu hình RADIUS Server

Bước 1: Vào Start và tìm đến Server Manager

Bước 2: Tại mục Tools, chọn Network Policy Server.

Bước 3: Click vào mục (Local) ở thanh Menu bên trái, chọn Register server in Active Directory.

Bước 4: Tại mục Policies, chọn Network Policies và xóa bỏ 2 Rule Deny mặc định.

Bước 5: Tạo Policy để cho phép các User trong Group được tạo ở trên có quyền xác thực trên RADIUS. Click phải vào Network Policies trong mục Policies, chọn New.

Bước 6: Nhập tên cho Policy, chọn Type of network access server là Unspecified. Chọn Next.

Bước 7: Chọn Add để thêm điều kiện.

Bước 8: Chọn Windows Groups và chọn Add để thêm 1 Group từ Active Directory.

Bước 9: Chọn Add Groups…

Bước 10: Nhập tên Group đã tạo ở trên và chọn Check Names để xác minh tên Group nhập vào có khớp trên Active Directory hay không. Chọn OK

Bước 11: Thông tin Group vừa chọn sẽ hiển thị. Chọn OK để tiếp tục.

Bước 12: Chọn Next.

Bước 13: Chọn Access granted để cho phép kết nối khi đủ điều kiện đã khai báo ở trên. Chọn Next.

Bước 14: Tùy theo từng nhu cầu mà ta sẽ chọn phương pháp xác thực phù hợp. Vì tính chất demo nên mình sẽ chọn Unencrypted authentication (PAP, SPAP). Chọn Next.

Bước 15: Chọn No để đến bước tiếp theo.

Bước 16: Chọn Next để bỏ qua tùy chỉnh cấu hình thời gian Timeout.

Bước 17: Xóa bỏ Frame-Protocol PPP do một số thiết bị mạng không sử dụng giao thức PPP sau đó chọn Service-Type và chọn Edit.

Bước 18: Tại mục Others chọn Login để cấp quyền đăng nhập.

Bước 19: Tại mục Vendor Specific, chọn Add để điều chỉnh nhà sản xuất của thiết bị Router /Switch (RADIUS Clients)

Bước 20: Tại mục Vendor, chọn Cisco. Tại mục Attributes, double click vào Cisco-AV-Pair

Bước 21: Chọn Add để thêm giá trị.

Bước 23: Thêm giá trị sau vào mục Attribute value: shell:priv-lvl=15 mục đích là cấp quyền cao nhất và bỏ qua phần nhập enable password. Chọn OK

Bước 24: Chọn OK

Bước 25: Chọn Close

Bước 26: Chọn Next.

Bước 27: Chọn Finish để hoàn tất cấu hình Policy cho RADIUS Server.

4. Khai báo RADIUS Client (Router, Switch)

Bước 1: Tại mục RADIUS Clients and Servers, Click phải vào mục RADIUS Clients chọn New.

Bước 2: Điền đầy đủ thông tin của thiết bị muốn thêm.

Friendly name: Đặt tên gợi nhớ cho thiết bị đang add.
Address: Địa chỉ IP của thiết bị.
Share Secret: được dùng để xác thực giữa RADIUS Clients và Servers. Bao gồm Manual: tự đặt mật khẩu và Generate: tạo mật khẩu ngẫu nhiên. Chọn OK.

5. Cấu hình RADIUS trên Router / Switch

Lưu ý: trên Switch đã cấu hình SSH.
Trên Router nhập các lệnh sau ở chế độ Global Mode:

Câu lệnh	Ý nghĩa
Router_HCM (config) # aaa new-model	Khởi tạo cấu hình aaa để bật xác thực qua Radius trên Switch
Router_HCM (config) # radius server NPS	Đặt tên cho Radius Server sắp khai báo và không được đặt tên là RADIUS. Ở đây mình đặt là NPS tượng trưng cho Network Policy Server là dịch vụ RADIUS trên Windows Server
Router_HCM (config-radius-server) # address ipv4 192.168.1.2 auth-port 1812 acct-port 1813	Khai báo địa chỉ IP của Radius Server và các port. trong đó IP 192.168.1.2 là địa chỉ của Radius Server.
Router_HCM (config-radius-server) # key abc@123	Khai báo key khi thiết lập Radius Client trên Radius Server (Bước 2 mục 4)
Router_HCM (config-radius-server) # exit	Thoát khỏi cấu hình khai báo Radius Server
Router_HCM (config) # aaa authentication login default group radius local	Câu lệnh này khai báo mặc định khi login vào Router sẽ sử dụng xác thực qua radius trước. Nếu Router không kết nối được đến Radius Server thì sẽ sử dụng account local được tạo trên Router để đăng nhập.
Router_HCM (config) # aaa authorization exec default group radius local	Câu lệnh này dùng để phân quyền cho user dựa trên cấu hình Radius (Bước 23 mục 3) thường dùng để bỏ qua bước nhập enable password
Router_HCM (config) # line vty 0 4	Vào cấu hình SSH
Router_HCM (config-line) # transport input ssh	Bật đăng nhập bằng SSH
Router_HCM (config-line) # login authentication default	Khai báo khi SSH sẽ xác thực bằng khai báo mặc đinh ở trên ( aaa authentication login default group radius local)
Router_HCM (config-line) # exit	Thoát khỏi cấu hình SSH

5. Kiểm tra SSH đến Router sử dụng tài khoản được cấp phép qua RADIUS

Trên một máy bất kì, mở CMD và thực hiện SSH đến Router:

Nhập mật khẩu của tài khoản AD được cấp phép từ Radius Server.

Ta thấy được sau khi đăng nhập Router đã bỏ qua bước nhập enable password mà vào thẳng chế độ EXEC Mode.
Vậy là ta đã hoàn tất quá trình cấu hình đăng nhập vào Router Cisco xác thực qua Radius. Chúc các bạn thành công!

Author: Trí Tạ

Nhận xét