Ситуация:
Пользователи входящие в определенную доменную группу в Active Directory
должны иметь возможность входить на коммутаторы D-Link DES-38xx (Firmware 4.50B12) используя свои учетные записи из Active Directory по SSH, при этом Telnet/Web доступ должен быть отключен, а консольный доступ на устройство должен позволять входить на устройство используя запасную (резервную) учетную запись из базы данных самого коммутатора.
Конфигурация коммутатора:
# ACCESS_AUTHENTICATION_CONTROL
create authen server_host <NPS IP> protocol radius port 1812 key "<RADIUS Password>" timeout 5 retransmit 2
config authen server_group radius delete server_host <NPS IP> protocol radius
config authen server_group radius add server_host <NPS IP> protocol radius
config authen_login default method local
create authen_login method_list_name rad_ext
config authen_login method_list_name rad_ext method radius local
config authen_enable default method local_enable
config authen application console login default
config authen application console enable default
config authen application telnet login default
config authen application telnet enable default
config authen application ssh login method_list_name rad_ext
config authen application ssh enable default
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 30
config authen parameter attempt 3
config authen enable_admin all state enable
enable authen_policy
config accounting type exec state disable
config accounting type system state disable
Пользователи входящие в определенную доменную группу в Active Directory
должны иметь возможность входить на коммутаторы D-Link DES-38xx (Firmware 4.50B12) используя свои учетные записи из Active Directory по SSH, при этом Telnet/Web доступ должен быть отключен, а консольный доступ на устройство должен позволять входить на устройство используя запасную (резервную) учетную запись из базы данных самого коммутатора.
Конфигурация коммутатора:
# ACCESS_AUTHENTICATION_CONTROL
create authen server_host <NPS IP> protocol radius port 1812 key "<RADIUS Password>" timeout 5 retransmit 2
config authen server_group radius delete server_host <NPS IP> protocol radius
config authen server_group radius add server_host <NPS IP> protocol radius
config authen_login default method local
create authen_login method_list_name rad_ext
config authen_login method_list_name rad_ext method radius local
config authen_enable default method local_enable
config authen application console login default
config authen application console enable default
config authen application telnet login default
config authen application telnet enable default
config authen application ssh login method_list_name rad_ext
config authen application ssh enable default
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 30
config authen parameter attempt 3
config authen enable_admin all state enable
enable authen_policy
config accounting type exec state disable
config accounting type system state disable
Эти настройки позволяют при правильных настройках на Windows NPS входить в режиме обычного пользователя (operator mode), для получения административного доступа
в консоли нужно из пользовательского режима переключаться в административный режим:
enable admin
В данной модели коммутатора список ААА для режима enable admin поддерживается только локальный (default), данный пароль хранится в локальной базе данных коммутатора, в связи с чем _до всего_ этого нужно не забыть сконфигурировать пароль для переключения из пользовательского режима в административный режим:
config admin local_password
Конфигурация cетевой политике на Windows RADIUS (NPS):
Комментариев нет:
Отправить комментарий