Op deze pagina wordt er beschreven hoe je Cisco componenten voorbereid voor het authenticeren met het gebruik van Radius geïnstalleerd op Windows 2003. Verder zullen we waar mogelijk gebruik maken van DNS.
Maak eerst een groep aan in je radius source, authenticatie geschiedt aan de hand van group membership:
CISCO_RADIUS onder .SecurityGroups.svc.company
Als je de groep hebt aangemaakt dan log je in op de Radius server en begin je met het configureren:
Ga naar start Administrative tools –> Internet Authentication Service
Ga naar Remote Acces Policies. Rechtermuisknop en selecteer New Remote Access Policy
Click op “Next”
Selecteer “Set up a custom policy” en geef het de naam die wenst
Click “Next”
Click “Add”
Selecteer de “Windows Groups”
Click “Add” Zoek de groep op die je net hebt aangemaakt in Console one en voeg die toe
Click “Ok”
Click “Next”
Select “Grant remote access permission”
Click “Next”
Click “Edit Profile”
Selecteer de “Authentication” tab
Selecteer “Unencrypted Authentication” only
Selecteer de “Advanced” tab
Verander de service-type from “framed” to “login”
Verwijder “Framed-Protocol” Click “Add”
Verwijder “Vendor Specific” Click “Add”
Selecteer “Cisco” uit de drop-down box
Selecteer “Yes. It conforms” Click “Configure Attribute”
Verander de Attribute Number to “1”
Pas de Attribute Format naar “String”
Type “shell:priv-lvl=15” in de Attribute Value veld
Click “Ok”
Click “Ok”
Click “Close”
Click “Next”
Click “Finish”
Click “RADIUS Clients”
Right-Click and click “New Radius Client”
Geef de client een friendly name en voeg het ip adress toe
Click “Next”
Enter a shared secret password
Click “Finish”
Voor het configureren van Radius op Cisco moet je de volgende stappen volgen:
Radius server werkt via een DNS naam, dus voeg eerst de DNS gegevens toe in je switch config (enable level 15, conf t):
ip domain-name company.local
ip name-server 10.10.10.100
ip name-server 10.10.10.101
Stel vervolgens de radius authenticatie in:
aaa new-model
radius-server host radius.company.local <shared secret>
ip radius source-interface Gigabit Interface X/X
-
aaa authentication enable default group radius line enable none
aaa authorization exec default group radius local none
line vty 0 15
login authentication default
end
wr
logout
and test if it works!
Discussion