ser9ey Dec 28 2011 at 15:04

Аутентификация на сетевых устройствах CISCO средствами Active Directory

5 min

83K

System administration*

From sandbox

+20

Comments 18

divetoh Dec 28 2011 at 16:39

Задумывался над настройкой доменной аутентификации для сетевого оборудования, останавливает вероятность возникновения ситуации, когда контроллер домена будет недоступен с циски.
Пришел к выводу, что в моей ситуации (мало устройств и два равноправных админа) — смысла настраивать нет. При аварии причины можно установить по сислогу (в том числе время авторизации админа, ip адрес с которого она происходила и изменения конфигурации).

kaoz Dec 28 2011 at 20:20

пару раз теряли доступ к цискам в такой ситуации, благо консольный доступ был на внутренней авторизации

fluke Dec 28 2011 at 22:22

Паследнее слово 'local' в строчке конфигурации у автора 'aaa authetication… local' — в случае недоступности сервера позволяет аутентифицироваться пользователям настроенным локально на устройстве. Об этом автор также упоминает в коменте.

divetoh Dec 29 2011 at 09:36

Если паролем не пользоваться — его забудешь. Хранить его в сейфе на бумажке можно, но опять таки специфика: час простоя телемеханики приводит к разбирательствам на уровне ростехнадзора, сейчас в случае аварии достаточно одного из админов (возможно хватит удалённого входа), а если пароль в сейфе — потребуется ещё и человек с ключом от сейфа, да и с доступом из дома ничего не получается.

Я не хочу сказать, что данный метод плох, при большом количестве устройств и/или администраторов — единой базы необходима, но в моих условиях работы это не лучший вариант.

ser9ey Dec 29 2011 at 17:50

Резервирование никто не отменил
AAA позволяет настроить группу RADIUS серверов, ну а то что контроллеров AD должно быть быть как минимум два считаю само собой разумеющимся.

Насчет паролей в конверте — это же на случай «забывания».

WarP Dec 28 2011 at 19:05

Хм, вроде читал в описании 15.1 версии — что там есть возможность аутентикации напрямую в AD, без радиус сервера. Я что-то неверное прочитал или такое таки-да, возможно?

navion Dec 28 2011 at 20:36

Поддержка Kerberos появилась задолго до версии 15.1, но мне тоже было бы интересно почитать про его настройку с примерами.

nshopik Dec 28 2011 at 21:08

Ниже отписал, насколько мне известно с текущей версии софта это невозможно сделать «Kerberos-way» без ввода пароля. И к слову говоря код, в IOS очень старый насколько я знаю еще написанный CyberSafe и там поддержка была только DES. Возможно недавно чтото и изменилось, но я не слышал об этом.

nshopik Dec 28 2011 at 21:04

Там речь шла только про LDAP сервер судя по описанию. А вобще ситуация там такая SSH через Kerberos есть, но совсем не Kerberos-way. Ты можешь залогинься на роутер, с помощью пароля, но нельзя допустим получить доступ без ввода пароля когда у тебя уже есть тикет, например: kinit nshopik/admin и потом ssh nshopik/admin@switch без ввода пароля

WarP Dec 28 2011 at 21:08

А.
Любопытно.
А для впн можно керберос таки пользовать? Мне бы для этого LDAP бы пользовать, и вроде именно об этом я читал в релиз нотисах… я уже не помню =)

nshopik Dec 28 2011 at 21:13

www.cisco.com/en/US/docs/ios/15_1/release/notes/151TNEWF.html#wp42593 — вот эту строку вы читали скорее всего.
LDAP этож хранилище лишь, оно не управляет выдачей паролей тикетов. Да и я как-то слабо представляю себе ваш кейс, обычно VPN устанавливают чтобы получить доступ к домен контролеру, т.е. вы никак не можете получить Kerberos Тикет прежде чем установите VPN :)
Если в вашем понимании просто использовать единую базу паролей, то я думаю тут нет никаких паролей чтобы использовать AD, чтобы пользователь использова свой логин и пароль. Тут и правда не нужен Kerberos достаточно RADIUS, мне так кажеться.

WarP Dec 28 2011 at 21:19

Да, именно ее и читал =) Как раз полез искать, чтобы указать.

По логике — действительно, тикет не получить до VPN, а значит впн не будет без тикета.

Просто для VPN тогда надо прикручивать RADIUS сервер, я думал попробовать обойтись без этого. А оно никак оказывается, на Microsoft AD то.

nshopik Dec 28 2011 at 21:27

Не забывайте Kerberos — это authentication, а вам еще надо чтобы ктото делал authorization, техническии для этого подходит LDAP. Если он позволит сделать authorization тогда я думаю это возможно, а иначе без RADIUS никак нельзя ведь это AAA.

Burmuley Dec 28 2011 at 19:51

Друзья, а никто не занимался скрешиванием Cisco ASA и Cisco AD Agent для аутентификации и авторизации пользователей ломящихся в интернет? Нет людей успешно реализовавших эту схему?