hivo 10 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Hallo Leute, folgendes Problem quaelt mich seid gestern. Bei uns wird die Rollenbasierte authentifizierung abgeschafft. Admin Logins auf die Router und Switches sollen per Radius abgewickelt werden und nur bei Ausfall des Radius auf die lokalen Benutzer zurueckfallen. Soweit so gut, das hab ich auch hinbekommen. Was ich allerdings nicht geschafft habe... wie kann ich den Zugriff auf die Geraete beschraenken in dem ich die User einer Benutzergruppe zuweise? Ich habe den Benutzer "Admin1" in der Gruppe "test" und den Benutzer "Admin2" in der Gruppe "CiscoAdmins". Aber was ich auch mache, ich krieg es nicht gebacken, dass nur User der Gruppe CiscoAdmins auf den Switch duerfen. Wo in der aaa-config kann ich diese Einstellung definieren? Zum Testen setze ich derzeit WinRadius ein. Spaeter soll ein W2k3 Server mit AD-Anbindung dafuer herhalten. Danke schonmal, Markus Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Ich wuerd mal tippen: conf t line vty 0 4 login authentication <gruppe> Ist aber nur geraten :) 1 Zitieren Link zu diesem Kommentar
hivo 10 Geschrieben 22. November 2006 Autor Melden Teilen Geschrieben 22. November 2006 Hi Wordo, danke ;) Ich glaube aber falsch geraten. bisher hatte ich: aaa authentication login default group radius local line vty 0 4 login authentication default jetzt hab ich: aaa authentication login cisco group radius local line vty 0 4 login authentication cisco Leider kann ich immer noch mit dem User in der Gruppe Test rein :( Gruß, Markus Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Wo definierst du denn, zu welcher Gruppe welche User gehören? Das Setzen des Privilege-Levels muss m.E. auf der Radius-Seite passieren über Cisco-AVPairs. Ein ganz einfaches Beispiel anhand eines einzelnen Users in FreeRADIUS: Admin1 Auth-Type := Local, User-Password == "test123" Cisco-AVPair = "shell:priv-lvl=1" Admin2 Auth-Type := Local, User-Password == "test345" Cisco-AVPair = "shell:priv-lvl=15" Ein gutes Dokument von Cisco zum Thema: How to Assign Privilege Levels with TACACS+ and RADIUS [Authentication Protocols] - Cisco Systems Gruß, Martin Zitieren Link zu diesem Kommentar
hivo 10 Geschrieben 22. November 2006 Autor Melden Teilen Geschrieben 22. November 2006 Danke, ich glaube das koennte mir weiterhelfen. :) Markus Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Wobei ich grad überlesen habe, dass der Zweck war, der Gruppe Test überhaupt keinen Zugriff zu gewähren. Mein Beispiel bezieht sich auf die Vergabe eines niedrigen Privilege Levels. Hab da auch spontan keine Idee, evtl. mit priv-lvl=0 o.ä. - werd das bei Gelegenheit mal ausprobieren. Zitieren Link zu diesem Kommentar
hivo 10 Geschrieben 22. November 2006 Autor Melden Teilen Geschrieben 22. November 2006 Ah =) Danke, werd wohl einen FreeRadius aufsetzen. Besser als mein Test-WinRadius-Freeware-Teil-des-nix-kann :D Markus Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Hab das grad mal getestet - meine Vermutung, das mit priv-lvl=0 regeln zu können, hat sich nicht bestätigt. Stattdessen muss der Radius-Server dafür sorgen, dass nur User bestimmter Gruppen Zugang bekommen. Mit FreeRADIUS kann man das hinbekommen, indem man sog. Huntgroups definiert in /etc/freeradius/huntgroups, z.B. switches NAS-IP-Address == 10.0.0.1 Group = admin Alle anderen User werden dann automatisch verweigert für dieses NAS, d.h. die Cisco-AVPair-Geschichte ist dafür eigentlich garnicht nötig, nur, wenn man halt Unterscheidungen in den Privilege Levels machen will. Evtl. kann man Winradius auch dazu überreden, nur bestimmte User für die Authentifizierung an einem NAS zuzulassen. Zitieren Link zu diesem Kommentar
hivo 10 Geschrieben 22. November 2006 Autor Melden Teilen Geschrieben 22. November 2006 WinRadius ist geschichte ;) Hab den freeradius in betrieb genommen und bin gerade am konfigurieren. Und da der nun unter Linux (jaaa schlagt mich!=) laeuft, bin ich guter Dinge das es nun besser funktioniert ;) Zitieren Link zu diesem Kommentar
hivo 10 Geschrieben 23. November 2006 Autor Melden Teilen Geschrieben 23. November 2006 Sodala, das funktioniert ja wunderbar. Danke nochmal. Eine Frage haette ich allerdings noch... In den Huntgroups, kann ich dort auch ganze Netze regeln? Bis jetzt habe ich ja switches NAS-IP-Address == 10.1.1.1 User-Name = admin Kann ich irgendwie ein ganzes Netz mit x.x.x.x/xx einbeziehen? Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 23. November 2006 Melden Teilen Geschrieben 23. November 2006 @hivo: Gerne, kein Problem... Soweit mir bekannt ist, nicht... in der clients.conf ist das ja kein Problem, da definiert man einfach nur, welche Radius-Clients akzeptiert werden und mit welchem Key. Im huntgroups-Configfile geht es darum, jedes einzelne NAS einer bestimmten Huntgroup zuzuordnen, um dann dafür die Zugriffsrechte einzuschränken. Deswegen ist das dort wohl nicht vorgesehen, das pauschal für ein ganzes Netz zu machen. Das ist allerdings nur meine Vermutung, beim Überfliegen der Doku hab ich auch keine Möglichkeit gefunden. Evtl. weiß da aber jemand anders mehr drüber... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.