Autor: Samuel Vrana, ASI 2022, update palo73
V tomto článku za zaoberáme popisom riešenia inštalácia Network policy servera (Radius NPS) na serverovom systéme Windows. Policy server bude slúžiť na autentifikáciou pužívateľov zo zariadení s Cisco IOS s tým, že po úspešnom overení pridelí PRIVILEGE levelu používateľovi na danom zariadení v Cisco IOS.
Na základe privilege levelu následne na zariadení Cisco nastavíme zoznam pridelených príkazov, ktoré používateľ môže použiť.
Konfigurácia Radius NPS servera prebiehala vo viacerých krokoch:
- Inštalácia NPS na Windows Server 2019
- Vytvorenie skupiny a používateľa vo Windows Server
- Vytvorenie sieťovej politiky
- Pridanie Cisco zariadenia
Taktiež bolo potrebné upraviť pravidlá pre firewall na Win Serveri. Keďže firewall odmieta odovzdať údaje na porte UDP 1812 čo znamená, že všetky žiadosti o autentifikáciu zlyhajú. Radius komunikuje cez UDP na porte 1812. Preto treba vykonať príkaz v PowerShell:
Get-NetFirewallRule -DisplayGroup "Network Policy Server" | where DisplayName -like "RADIUS" | Set-NetFirewallRule -Service Any
Potom vykonáme konfiguráciu Cisco zariadenia s Cisco IOS.
Inštalácia NPS na Windows Server 2019
Tento krok slúži na nainštalovanie Network Policy Server na Windows server. Pre lepšie pochopenie je v každom kroku aj priradený obrázok.
- Otvoríme aplikáciu „Server Manager“. V pravom hornom okne klikneme na tlačidlo „Manage“ a následne vyberieme možnosť „Add Roles and Features“
- Oboznámime sa s informáciami a klikneme na možnosť „Next“
- Vyberieme „Role-based or feature-based installation“ a klikneme na tlačidlo „Next“.
- Vyberieme konkrétny server a klikneme na „Next“.
- Vyberieme rolu s názvom „Network Policy and Access Services“ a potom potvrdíme tlačidlom „Add Features“. Následne klikneme na tlačidlo „Next“.
- V okne „Network Policy and Acess Services“ klikneme na tlačidlo „Next“ a v nasledujúcom okne klikneme na tlačidlo „Install“.
Vytvorenie skupiny a používateľa na Windows Server s doménou
Tento krok slúži na vytvorenie skupiny používateľov a konrketého používateľa v prostredí Windows Server s nasadenou doménou s Active Directory (AD). Skupina je dôležitá, lebo podľa príslušenstva v skupine budeme určovať privilegovaný režim na Cisco zariadeniach. Pre lepšie pochopenie je v každom kroku aj priradený obrázok.
Vytvorenie skupiny
- Spusti Server Manager (napr. cez vyhľadanie aplikácii)
- A cez menu Tools vyber Active Directory Users and Computers
- Z ľavého menu ľavým klikneme na „Users“ a následne a vyberieme „New” a potom “Group“.
- Do otvoreného okna vpíšeme meno skupiny a komentár. Ostatné nastavenia nechaj ako sú a klikni na “Ok”
Vytvorenie používateľa
- V „Computer Managment“ z ľavého menu v sekcií „Local Users and Groups“ klikneme pravým tlačidlom na „Users“ a vyberieme „New User“.
- Vyplníme potrebné údaje a klikneme na tlačidlo „Create“.
Vytvorenie a pridanie nového používateľa do skupiny
V nástroji “Active Director Users and Computers” vytvoríme nového používateľa ľavým kliknutím na Users, kde vyberieme “New”, a potom “User”
- a vyplníme jeho iniciály
- klikneme na “Next” a nastavíme heslo a politiku a klineme na Next a ak je všetko v poriadku na Finish
- Následne ho pridáme do vytvorenej skupiny tak, že spravíme dvojklik na danú skupinu v zozname skupín.
- V okne v záložke “Members” klikneme na tlačidlo „Add“:
- Napíšeme meno daného používateľa a overíme cez tlačidlo „Check Names“ a klikneme na tlačidlo „OK“.
- Klikneme na tlačidlo “Apply” a potom na OK
Vytvorenie sieťovej politiky (Network Policies)
Sieťovú politiku využijeme pre konkrétnu skupinu. Pomocou politiky overíme či daný používateľ sa môže prihlásiť na Cisco router a po úspešnom prihlásení mu nastaví privilegovaný režim, podľa toho do akej skupiny patrí. Pre lepšie pochopenie je v každom kroku aj priradený obrázok.
- V programe „Network Policies Server“ vyberieme „Policies“. Pravým tlačidlom myši klikneme na „Network Policies“ a vyberieme „New“. V prípade ak sa v zozname „Network Policy“ nachádzajú sieťové politiky, môžeme ich vymazať.
- Zvolíme názov pre danú sieťovú politiku a klikneme na „Next“
- Klikneme na tlačidlo „Add“.
- Vyberieme „User Groups“ a klikneme na „Add“.
- V danom okne klikneme na „Add Groups“.
- Napíšeme názov danej skupiny, skontrolujeme pomocou tlačidla „Check Names“ a klikneme na „OK“.
- Následne klikneme na „OK“.
- Klikneme na „Next“
- Zvolíme si „Access granted“ a klikneme na „Next“.
- Zvolíme „Unencrypted authentication (PAP, SPAP)“ a klikneme na „Next“. V nasledujúcom okne klikneme na možnosť „No“ a potom na „Next“.
- v nastavení Configure constraints – necháme tak
Nastavenie kontroly pri prihlasovaní
- V sekcií „Standard“ zmažeme ak tam ničo je a zvolíme „Service-Type“ a klikneme na tlačidlo „Edit“
- Zvolíme „Others“ a vyberieme „Login“ a klikneme na „OK“.
Nastavenie privilegovaného režimu
- V sekcií „Vendor Specific“ pridáme nový atribút cez tlačidlo „Add“.
- Zvolíme ako Vendora Cisco, ako atribút vyberieme Cisco-AV-Pair a klikneme na „Add“
- Vybereime atribút Cisco-AV-Pair a pridáme hodnoty cez tlačidlo „Add“
- Nastavíme potrebné Attribut-value, tu privilege level 5 ako “shell:priv-lvl=5” a klikneme 2x na tlačidlo „Ok“ ap otom “Close”
- Daný atribút môžeme vidieť a klikneme na „Next“. V nasledujúcom okne klikneme na „Finish“
Pridanie Cisco zariadenia ako Radius klient
Tento manuál slúži na pridanie Cisco smerovača ako klienta pre Radius server. Pre lepšie pochopenie je v každom kroku aj priradený obrázok.
- Otvoríme aplikáciu „Network Policy Server“, následne klikneme na „RADIUS Clients and Servers“ z menu na ľavej strane. Pravým tlačidlom myši klikneme na „Radius Clients“ a vyberieme možnosť „New“.
- V okne s názvom „Settings“ vyplníme nasledujúce údaje ako sú: meno zariadenia (Friendly name), IP adresa (Address (IP or DNS)) a kľúč (Shared Secret).
- V okne s názvom „Advanced“ zvolíme ako „Vendor name: Cisco“ a následne klikneme na tlačidlo „OK“.
- Môžeme vidieť, že zariadenie bolo pridané medzi Radius klientov a takto môžeme potom pridať aj ďalšie zariadenia
Konfigurácia zariadenia s Cisco IOS pre overenie voči Windows NAPS
Konfigurácia v Cisco IOS vyžaduje najrpv konfiguráciu nastavenia AAA voči Radius serveru, tu NAPS vo Windows a o potom z nastavenia zoznamu príkazov pre daný privilege level a overenia.
Konfigurácia AAA v Cisco IOS voči Radius serveru
! zapnutie AAA modelu
aaa new-model
!
!
! vytvorenie radius grupy serverov, kde bude pridany nas Windows AD
aaa group server radius KIS-DC
server-private IP_ADRESA_RADIUS_SERVERA key 7 KLUC_POUZITY_PRI_PRIDANI_ZARIADENIA
!
! nastavenie autentifikacie a autoprizacie pre sluzbu login do EXEC
! pre skupinu autentifikacnych sluzieb s nazvom default
! a voci nasmu radius serveru
! s fallback pri jeho vypadku na local zoznam username
aaa authentication login default group KIS-DC local
aaa authorization exec default group KIS-DC local
Následne nasavaíme ešte autentifikáciu pre VTY
aaaaa
Priadenie príkazov pre privilege level v Cisco IOS
Cisco má vo svojich IOS dva základné privilege levels 1 a 15, v privilege 1 kde vidíme príkazy pre USER exec mode, t.j. nejaké ping, telnet a niektoré iné príkazy (dostupné cez nápovedu ?).
V privilege level 15 máme na zariadení zas prítup ku všetkému. Zároveň platí, že každý vyšší level obsahuje všetky príkazy nižšieho. Číže ak chceme spraviť nejaký midle level ako 5, môžeme mu priradiť napríklad show, level 6 už bude obsahovať prístup k show a jemu vlastnému zoznamu príkazov.
Testovanie
Sw-Cat4506-E# enable 1
Sw-Cat4506-E>?
Exec commands:
<1-99> Session number to resume
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
clear Reset functions
connect Open a terminal connection
crypto Encryption related commands.
disable Turn off privileged commands
disconnect Disconnect an existing network connection
do-exec Mode-independent "do-exec" prefix support
emm Run a configured Menu System
enable Turn on privileged commands
ethernet Ethernet parameters
exit Exit from the EXEC
help Description of the interactive help system
lock Lock the terminal
login Log in as a particular user
logout Exit from the EXEC
mrinfo Request neighbor and version information from a multicast router
mstat Show statistics after multiple multicast traceroutes
mtrace Trace reverse multicast path from destination to source
name-connection Name an existing network connection
ping Send echo messages
...
show tam napríklad nie je:
Sw-Cat4506-E>show ?
% Unrecognized command
Napríklad keď následne na danom zariadení pridáme level 5 a prístup k show
privilege exec level 5 show
sh run | in exec
privilege exec level 5 show
Čo po prihlásení používateľa s oprávneniami s privilege level 5 (z nášho RAPS servera) môžeme overiť
Sw-Cat4506-E# show privilege
Current privilege level is 5
Sw-Cat4506-E#show ?
aaa Show AAA values
access-expression List access expression
access-group Access group information
access-lists List access lists
adjacency Adjacent nodes
aliases Display alias commands
ancp ANCP information
arp ARP table
auto Show Automation Template
backup Backup status
banner Display banner information
bfd BFD protocol info
bgp BGP information
bootflash: display information about bootflash: file system
bootvar Boot and related environment variable
bridge Bridge Forwarding/Filtering Database [verbose]
buffers Buffer pool statistics
caaa Subscriber Policy Entity Information
cache Shows Device-Sensor Cache Informations
calendar Display the hardware calendar
....
Ak však chceme dosiahnúť aby sme videli celý running-config, ako píše autor v článku, toto nie je ľahké dosianúť, lebo defaulte prístup k show ukáže len časť running-config, ktorú používateľ v privilege level 5 právami môže meniť a to je málo.
privilege exec level 5 show running-config view
privilege exec level 5 show running-config
show running-config
Building configuration...
Current configuration : 191 bytes
!
! Last configuration change at 16:04:04 CET Wed Mar 22 2023 by palo
! NVRAM config last updated at 16:04:47 CET Wed Mar 22 2023 by palo
!
boot-start-marker
boot-end-marker
!
!
!
!
!
!
end