Главная
/
Портал технической документации
/
TN: Настройка административного доступа по протоколу RADIUS с использованием Cisco ISE

TN: Настройка административного доступа по протоколу RADIUS с использованием Cisco ISE

Аннотация

В данном документе описывается настройка процесса аутентификации и авторизации административного доступа к коммутатору Aquarius по протоколу RADIUS с установленным AqNOS версии 7.3.1.

В качестве сервера аутентификации и авторизации используется сервер Cisco ISE 3.4.0.608.

1. Настройка аутентификации без авторизации

1.1. Настройки на коммутаторе

Настройка ААА

aaa new-model aaa authentication login default local radius aaa authorization exec default none aaa accounting commands default none aaa accounting exec default none

Настройка параметров сервера RADIUS, находящегося за интерфейсом управления (mgmt-if)

radius-server host mgmt-if 10.0.64.243 key Aquarius123

Настройка линий VTY (данные настройки являются настройками по умолчанию)

line vty 0 7 login authentication default authorization exec default

1.2. Настройка Cisco ISE

1.2.1. Добавление NAS

Необходимо добавить коммутатор в качестве Radius NAS, для этого:

перейти во вкладку Administration → Network Resources → Network Devices → Add;
добавить устройство, указав следующие параметры (см. рисунок 1):
- Имя устройства - P5-SW1;
- IP адрес - 10.0.64.13/32;
- Radius Shared Secret - Aquarius123.

Рисунок 1

1.2.2. Добавление пользователя

Для добавления пользователя admin1 необходимо:

перейти во вкладку Administration → Identity management → Identities → Users → Add;
добавить следующие параметры (см. рисунок 2):
- Username - admin1;
- Login Password- Aquarius123.

Рисунок 2

1.2.3. Проверка успешной аутентификации

Для проверки аутентификации необходимо перейти во вкладку Operation → Radius → Live Logs (см. рисунок 3).

Рисунок 3

Для получения дополнительных сведений следует нажать на значок в столбце "Details". Соответствующая вкладка показана на рисунке 4.

Рисунок 4

2. Настройка аутентификации с авторизацией

2.1. Настройки на коммутаторе

Для настройки авторизации административного доступа необходимо добавить команду <aaa authorization exec default local radius>.

Результирующая конфигурация будет выглядеть следующим образом:

Настройка ААА

aaa new-model aaa authentication login default local radius aaa authorization exec default local radius aaa accounting commands default none aaa accounting exec default none

2.2. Настройка Cisco ISE

2.2.1. Добавление нового вендора Aquarius

Для добавления вендора необходимо:

перейти во вкладку Policy → Policy Element → Dictionaries → System → Radius → Radius Vendors → Add;
указать следующие параметры (см. рисунок 5):
- Dictionary Name - Aquarius;
- Vendor ID - 54928.

Рисунок 5

2.2.2. Добавление атрибута Aq-Exec-Priv

Для добавления атрибута необходимо:

перейти во вкладку Dictionary Attribute → Add;
указать следующие параметры (см. рисунок 6):
- Attribute name - Aq-Exec-Priv;
- Data type - INT;
- ID - 51.

Рисунок 6

2.2.3. Добавление значений атрибута Aq-Exec-Priv

Для добавления значения атрибута необходимо в поле Allowed Values добавить необходимые значения (см. рисунок 7):

Administrator - 15;
Operator - 1;
User - 0.

Для добавления значений рекомендуется руководствоваться выводом, представленном в таблице 1.

Таблица 1

Значение привилегии коммутатора	Значение привилегии, возвращаемое сервером RADIUS
1	0
2	1
3	2-10
4	11-15

Рисунок 7

2.2.4. Добавление Network Device Profile

Для того, чтобы на устройство можно было отправлять атрибут Network Device Profile, необходимо создать профайл сетевого устройства и привязать к нему созданный словарь, для этого:

перейти во вкладку Administration → Network Resources → Network Device Profiles-Add;
указать следующие параметры (см. рисунок 8):
- Name- Aquarius;
- Vendor - Other;
- Supported Protocols - Radius;
- Radius Dictonaries - Aquarius.

Рисунок 8

2.2.5. Корректировка или добавление Network Device

Если сетевое устройство было уже создано, нужно сменить профайл устройства с Cisco на Aquarius.

Если сетевое устройство не было создано, то создать его, выполнив следующие действия:

перейти во вкладку Administration → Network Resources → Network Devices → Add;
добавить устройство, указав следующие параметры (см. рисунок 9):
- Имя устройства - P5-SW1;
- IP адрес - 10.0.64.13/32;
- Device Profile - Aquarius;
- Radius Shared Secret - Aquarius123.

Рисунок 9

2.2.6. Создание авторизационных профайлов

Три авторизационных профиля создаются на базе трех значений атрибута Aq-Exec-Priv, для этого необходимо:

перейти во вкладку Policy → Policy Elements → Results → Authorization → Authorization Profiles → Add;
указать следующие параметры:
- Name - Aquarius_Admin;
  - Network Device Profile - Aquarius;
  - Advanced Attribute Settings → Aquarius:Aq-Exec-Priv - Administrator;
- Name - Aquarius_User;
  - Network Device Profile - Aquarius;
  - Advanced Attribute Settings → Aquarius:Aq-Exec-Priv - User;
- Name - Aquarius_Operator;
  - Network Device Profile - Aquarius;
  - Advanced Attribute Settings → Aquarius:Aq-Exec-Priv - Operator.

Авторизационный профайл администратора показан на рисунке 10.

Рисунок 10

Авторизационный профайл пользователя показан на рисунке 11.

Рисунок 11

Авторизационный профайл оператора показан на рисунке 12.

Рисунок 12

2.2.7. Добавление пользовательских групп

Для добавления пользовательских групп необходимо:

перейти во вкладку Administration → Identity management → Groups → User Identity Groups → Add;
указать следующие параметры (см. рисунок 13):
- Aquarius_Admins;
- Aquarius_Operators;
- Aquarius_Users.

Рисунок 13

В результате выполнения описанных действий должно быть добавлено три пользовательские группы (см. рисунок 14).

Рисунок 14

2.2.8. Добавление пользователей

Для создания пользователей и присвоения пользовательской группы необходимо:

перейти во вкладку Administration → Identity management → Identities → Users-Add;
указать следующие параметры (см. рисунок 15, 16):
- Username - admin1:
  - Login Password- Aquarius123;
  - User Group - Aquarius_Admins;

- Username - user1:
  - Login Password- Aquarius123;
  - User Group - Aquarius_Users;

- Username - operator1:
  - Login Password- Aquarius123;
  - User Group - Aquarius_Operstors.

Рисунок 15

Рисунок 16

2.2.9. Добавление Policy

Для добавления новых правил необходимо:

перейти во вкладку Policy → Policy Sets → Default → Authorization Policy;
в столбце "Actions" для правила "Basic_Authentication_Access" нажать на значок и выбрать пункт "Insert New row above"
указать следующие параметры (см. рисунок 17):
- Rule Name - Aquarius_admins:
  - Condition - InternalUser-IdentityGroup EQUALS User Identity Group:Aquarius_Admins;
  - Result - Aquarius_Admin;

- Rule Name - Aquarius_operators:
  - Condition -InternalUser-IdentityGroup EQUALS User Identity Group:Aquarius_Operators;
  - Result - Aquarius_Operator;

- Rule Name - Aquarius_users:
  - Condition -InternalUser-IdentityGroup EQUALS User Identity Group:Aquarius_Users;
  - Result - Aquarius_User.

Рисунок 17

3. Тестирование

3.1. Вывод с коммутатора

Вывод с коммутатора

P5-SW1# telnet m 10.0.64.13 Username: admin1 Password: P5-SW1# sh privilege Current privilege level is 4 P5-SW1# exit Connection closed by foreign host P5-SW1# telnet m 10.0.64.13 Username: user1 Password: P5-SW1> ena % No password has been assigned yet P5-SW1> exit Connection closed by foreign host P5-SW1# telnet m 10.0.64.13 Username: operator1 Password: P5-SW1# sh privilege Current privilege level is 2 P5-SW1# conf t % Invalid input detected at '^' marker. P5-SW1#

3.2. Вывод с Cisco ISE

Для просмотра вывода с Cisco ISE необходимо перейти во вкладку Operation → Radius → Life Logs (см. рисунок 18).

Рисунок 18

Для отображения дополнительных сведений следует нажать на значок в столбце «Details». Соответствующая вкладка с описанием показана на рисунке 19, 20.

Рисунок 19

Рисунок 20