👴🏾 👋🏾 🥕 सक्रिय निर्देशिका का उपयोग करके CISCO नेटवर्क उपकरणों पर प्रमाणीकरण 🍅 🔫 🤶🏿

CISCO AAA और Microsoft सक्रिय निर्देशिका का एकीकरण

निश्चित रूप से, बहुत से सिस्टम प्रशासक नेटवर्क उपकरणों पर प्रमाणीकरण की समस्या का जल्द या बाद में सामना करेंगे। यदि सर्वोत्तम प्रथाओं का मार्गदर्शन किया जाता है, तो खातों को व्यक्तिगत होना चाहिए, पासवर्ड को स्थिरता मानदंडों को पूरा करना चाहिए, और पासवर्ड जीवनकाल सीमित होना चाहिए। इसके अलावा, चलो कार्यों के अनुसार पहुँच स्तर के भेदभाव और कर्मचारियों में परिवर्तन से जुड़े उपयोगकर्ता आधार की प्रासंगिकता के समर्थन के बारे में नहीं भूलना चाहिए। इन आवश्यकताओं के अधीन, प्रत्येक डिवाइस पर एक उपयोगकर्ता आधार बनाए रखना एक समय लेने वाली और गैर-तुच्छ कार्य बन जाता है, और व्यवहार में इसे अक्सर अनदेखा किया जाता है, प्रशासक भौतिक और आभासी कंसोल के लिए पासवर्ड सेट करने और सुपरयूज़र पासवर्ड (सक्षम) को सीमित करने के लिए सीमित होते हैं। इस समस्या का एक तार्किक समाधान यह है कि खातों के लिए आवश्यक आवश्यकताओं के नियंत्रण के साथ एकल उपयोगकर्ता आधार बनाए रखा जाए। यदि हमारे पास सक्रिय निर्देशिका है , तो इसका उपयोग क्यों न करें?

अंजीर। 1 प्रणाली टोपोलॉजी

यह इतना सरल नहीं है - सिस्को डिवाइस एलडीएपी का उपयोग करके प्रमाणीकरण के लिए एक तंत्र प्रदान नहीं करते हैं, जो सीधे एमएस एक्टिवडायरेरी है। इस समस्या को हल करने के लिए, इसके समाधान में CISCO AAA (प्रमाणीकरण प्राधिकरण लेखा) तंत्र प्रदान करता है। लेख को लंबा नहीं करने के लिए, मैं विवरण के लिए मूल स्रोत [1] का उल्लेख करता हूं, यहां भी एक अच्छा लेख मुख्य विशेषताओं [2] का वर्णन करता है। संक्षेप में, AAA क्लाइंट वैज्ञानिक डेटा को प्रमाणीकरण सर्वर को भेजता है, और इसकी प्रतिक्रिया (या प्रतिक्रिया की कमी) के आधार पर अनुरोधित पहुंच को अस्वीकार करने या देने का निर्णय करता है।
AAA आपको प्रमाणीकरण सर्वर के रूप में RADIUS या TACAS + सर्वर का उपयोग करने की अनुमति देता है। पहली नज़र में, सुविधाओं का वर्णन TACAS + के लिए बेहतर है, लेकिन इसका मुख्य दोष यह है कि यह CISCO का एक बंद समाधान है और इसका कार्यान्वयन केवल * nix सिस्टम [3] के लिए मौजूद है। RADIUS प्रोटोकॉल एक खुला उद्योग मानक है जिसके लिए विंडोज सर्वर 2000/2003 में एकीकृत IAS (इंटरनेट प्रमाणीकरण सेवा) सहित कई कार्यान्वयन हैं। Windows Server 2008 में, IAS के बजाय नेटवर्क नीति सर्वर [4] प्रदान किया गया है।

टोपोलॉजी

सिस्को नेटवर्क उपकरणों के लिए प्रमाणीकरण प्रणाली सक्रिय निर्देशिका एलडीएपी का उपयोग करते हुए सरलतम स्थिति में चित्र 1 में दिखाया गया टोपोलॉजी है। एक व्यवस्थापक अपने कार्य केंद्र से एक नेटवर्क डिवाइस के वर्चुअल टर्मिनल से जुड़ता है। कॉन्फ़िगर किए गए AAA नीतियों के अनुसार, डिवाइस उपयोगकर्ता नाम और पासवर्ड का अनुरोध करता है, जिसके बाद वह लॉगिन और पासवर्ड हैश को RADIUS सर्वर तक पहुंचाता है। सक्रिय निर्देशिका के माध्यम से RADIUS सर्वर उपयोगकर्ता को प्रमाणित करता है और जांचता है कि वह एक प्रशासनिक समूह का सदस्य है या नहीं। यदि उपयोगकर्ता को सफलतापूर्वक प्रमाणित किया गया है, तो सिस्को नेटवर्क डिवाइस RADIUS सर्वर से पुष्टि प्राप्त करता है कि प्रमाणीकरण और प्राधिकरण सफल रहा है, और उपयोगकर्ता को कनेक्ट करने की अनुमति देता है, अन्यथा, यह प्रमाणीकरण विफलता की रिपोर्ट करता है और कनेक्शन बंद कर देता है।
नेटवर्क उपकरणों पर उपयोगकर्ताओं के प्रमाणीकरण को RADIUS के माध्यम से ActiveDirectory के माध्यम से किया जाएगा, एक्सेस प्राधिकरण दो समूहों में से एक में सदस्यता पर आधारित होगा, जो क्रमशः अनप्रीविलेड (उपयोगकर्ता निष्पादन मोड) और विशेषाधिकार प्राप्त (विशेषाधिकार निष्पादन मोड) डिवाइस तक पहुंच की अनुमति देता है। भविष्य में, आप आवश्यक आदेशों को चलाने की अनुमति वाले उपकरणों पर प्रोफाइल कॉन्फ़िगर करके और प्रत्येक प्रोफ़ाइल को संबंधित AD समूह के साथ जोड़कर भूमिका द्वारा पहुंच को विभाजित कर सकते हैं।

MS ActiveDirectory कॉन्फ़िगर करें

हम मानते हैं कि लंबाई, पासवर्ड की जटिलता, उनके जीवनकाल आदि के लिए सुरक्षा नीतियां पहले से ही लागू हैं। और इसलिए, एक शुरुआत के लिए हम दो सुरक्षा समूह बनाएंगे gsgrCiscoUserEXEC और gsgrCiscoPrivEXEC ।
अब प्रशासक खाते पेट्रोवी और इवानोव को बनाएं , क्रमशः उन्हें gsgrCiscoUserEXEC और gsgrCiscoPrivEXEC समूहों के सदस्य बनाते हैं। इस प्रकार, हम देखते हैं कि पेट्रोवी एक अनपेक्षित उपयोगकर्ता होगा, और इवानोवप को विशेषाधिकार प्राप्त होगा ।
वह सब ईस्वी सन् के साथ है।

MS इंटरनेट प्रमाणीकरण सेवा कॉन्फ़िगर करें

यदि आईएएस पहले से ही सर्वर पर स्थापित नहीं है, तो इसे स्थापित किया जाना चाहिए। ऐसा करने के लिए, नियंत्रण कक्ष में "प्रोग्राम जोड़ें / हटाएं" -> "विंडोज घटकों को जोड़ें / निकालें" का चयन करें, "नेटवर्क सेवा" चुनें, विवरण बटन पर क्लिक करें, "इंटरनेट सूचना सेवा (आईआईएस)" का चयन करें और फिर से विवरण पर क्लिक करें, इंटरनेट प्रमाणीकरण सेवा का चयन करें।
इंटरनेट प्रमाणीकरण सेवा स्नैप-इन खोलें और CiscoAAA_AD नाम के साथ एक नई रिमोट एक्सेस पॉलिसी (रिमोट एक्सेस नीतियां -> RClick -> नई रिमोट एक्सेस पॉलिसी) बनाएं। खुलने वाली विशेषता चुनें विंडो में, प्रमाणीकरण प्रकार चुनें और CHAP जोड़ें,
मानदंड - उपयोगकर्ता पहले से बनाए गए gsgrCiscoUserEXEC समूह के हैं। आइटम का चयन करें विंडोज-समूह, gsgrCiscoUserEXEC जोड़ें।
और सबसे महत्वपूर्ण बात - विशेषाधिकार के लिए उपयोगकर्ता और प्रशासनिक के लिए "सेवा-प्रकार" = लॉगिन का चयन करें:

अंजीर। २। सेवा प्रकार विशेषता का चयन करें

विज़ार्ड के अंत में, "दूरस्थ पहुँच अनुमति दें" चुनें
अब आपको उन उपकरणों के लिए खाते बनाने की आवश्यकता है, जिन तक पहुंच प्रदान की जाएगी। ऐसा करने के लिए, IAS स्नैप-इन में, RADIUS ग्राहक चुनें -> RClICK -> नया RADIUS ग्राहक आइटम

चित्र 3। एक उपकरण खाता बनाएँ

दिखाई देने वाली विंडो में, एक दोस्ताना नाम दर्ज करें, उदाहरण के लिए, स्विच 1 और डिवाइस का आईपी पता, अगला क्लिक करें, "क्लाइंट-विक्रेता" = "सिस्को" चुनें , RADIUS सर्वर और क्लाइंट (छवि 4) के प्रमाणीकरण के लिए कुंजी दर्ज करें।

अंजीर। 4. RADUIS सत्र के प्रमाणीकरण के लिए डेटा

IAS के हिस्से पर कॉन्फ़िगरेशन पूरा हो गया है, हम नेटवर्क उपकरणों के कॉन्फ़िगरेशन के लिए आगे बढ़ते हैं।

उत्प्रेरक 2960 स्विच उदाहरण के साथ सिस्को नेटवर्क डिवाइस कॉन्फ़िगरेशन

!
service password-encryption
!
enable secret *******
!!! !!!
! AAA , ,
!
!
! RADIUS - ,
! , .
username recover password *********
!
aaa new-model
!. ,
aaa authentication banner ^ Access only for persons explicitly authorized. All rights reserved.
^
! .
aaa authentication fail-message ^ Authentication failed
^
!
!
aaa authentication login login-RADIUS group radius local
! .
aaa authorization exec auth-RADIUS-exec group radius local
! RADIUS.
! AD, 1
radius-server retransmit 1
! RADUIS
radius-server host 10.0.0.2
!
radius-server key SupErkEy
!
!
line vty 0 15
exec-timeout 15 0
login authentication login-RADIUS
authorization exec auth-RADIUS-exec
timeout login response 180
no password

सेटअप पूरा हो गया है, चलो परीक्षण के लिए आगे बढ़ते हैं।

हम काम की जांच करते हैं

अंजीर। 5. काम का सत्यापन

डिबगिंग

सब कुछ ठीक नहीं चल रहा है। इस स्थिति में, सिस्को IOS डिबगिंग कमांड का उपयोग करें:

# debug radius events # debug aaa authentication # debug aaa authorization # debug aaa protocols # debug radius [authentication | elog | verbose]
और ईवेंट लॉग AD और IAS को देखना भी न भूलें।

निष्कर्ष

इस प्रकार, कुछ समय केंद्रीय खातों को खर्च करने से, हम भविष्य में बहुत समय बचाएंगे और खातों से समझौता करने का जोखिम कम करेंगे। किसी प्रशासक की गलती की स्थिति में, अपराधी को उसकी साख से पहचानना आसान होगा, साथ ही उपकरणों के उपयोग के अधिकारों में अंतर करना, प्रशासकों को उनके कर्तव्यों के अनुसार अधिकारों में सीमित करना

सूत्रों का कहना है

1) प्रमाणीकरण, प्राधिकरण और लेखा अवलोकन [http://www.cisco.com/en/US/products/ps6638/products_data_sheet09186a00804fe332.html]
2) CISCO पर AAA कॉन्फ़िगर करना - एक संक्षिप्त अवलोकन [http://faq-cisco.ru/index.php?option=com_content&task=view&id=26&Itemid=30]
3) उपयोगकर्ता सेवा (RADIUS) में दूरस्थ प्रमाणीकरण डायल [http://en.wikipedia.org/wiki/RADIOS]
4) नए विंडोज सर्वर 2008 नेटवर्क पॉलिसी सर्वर को समझना http://www.windowsnetworking.com/articles_tutorials/Understanding-new-Windows-Server-2008-Network-Policy-Server.html]

सक्रिय निर्देशिका का उपयोग करके CISCO नेटवर्क उपकरणों पर प्रमाणीकरण