Procedimiento para configurar la autenticación de Radius utilizando Microsoft NPS Radius

Última respuesta oct. 07, 2019 10:21:01 122 1 1 0

Hola a todos,


Como saben, en muchas redes podemos usar la solución NPS de Microsoft para Radius para crear usuarios e iniciar sesión en nuestros dispositivos mediante la autenticación SSH / WEB basada en Radius. Aun así, después de configurar AAA y NPS, nos damos cuenta de que no tenemos el privilegio de ejecutar comandos de administración, y solo hacemos ping / trace.



En este post, le mostraré toda la configuración necesaria para los productos Huawei y qué cambio se requiere en el lado de NPS para poder funcionar correctamente en este escenario.



Entonces, comencemos primero con la configuración del lado del switch de Huawei:



# Configure la interfaz de usuario de VTY.


[Switch] stelnet server enable // Habilita la función del servidor STelnet.

[Switch] user-interface vty 0 14 // Ingrese las vistas de la interfaz de usuario de VTY 0 a VTY 14.

[Switch-ui-vty0-14] autenticación-mode aaa // Establece el modo de autenticación de usuarios en VTY 0 a VTY 14 a AAA.

[Switch-ui-vty0-14] ] protocol inbound ssh // Configure las vistas de la interfaz de usuario en VTY 0 a VTY 14 para admitir SSH.

# Ejecute el siguiente comando para especificar la autenticación de contraseña como el modo de autenticación predeterminado de los usuarios de SSH.

 

[Switch] ssh authentication-type password


# Configure una plantilla de servidor RADIUS en el Switch para implementar la comunicación con el servidor RADIUS.

 

[Switch] radius-server template 1// Ingrese a la vista de plantilla de servidor RADIUS.

[Switch-radius-1] radius-server authentication 10.2.1.1 1812 // Configure la IP y el puerto del servidor RADIUS.

[Switch-radius-1] radius-server shared-key cipher Huawei@6789// Establezca la clave compartida del servidor RADIUS en Huawei @ 6789.

 

# Especifique un servidor de autorización RADIUS.

[HUAWEI] radius-server authorization 10.1.1.116 shared-key cipher Huawei@2012

 

# Configure un esquema de autenticación / autorización / contabilidad AAA, con el modo de autenticación como RADIUS.

[Switch] aaa

[Switch-aaa] authentication-scheme sch1 // Cree un esquema de autenticación llamado sch1.

[Switch-aaa-authen-sch1] authentication-mode radius // Establezca el modo de autenticación en RADIUS.

 

[Switch-aaa] authorization-scheme sch1  // Crea un esquema de autorización llamado sch1.

[Switch-aaa-autho-sch1] authorization-mode if-authenticated local.

 

[Switch-aaa] accounting-scheme sch1 // Crea un esquema contable llamado sch1.

[Switch-aaa-autho-sch1] accounting-mode radius

 

# Cree un dominio y aplique el esquema de autenticación AAA y la plantilla de servidor RADIUS en el dominio.

 

[Switch-aaa] domain huawei.com // Cree un dominio llamado huawei.com e ingrese a la vista de dominio.

 

[Switch-aaa-domain-huawei.com] authentication-scheme sch1 // Configure el esquema de autenticación sch1 para el dominio.

 

[Switch-aaa-domain-huawei.com] authorization-scheme sch1 // Configure el esquema de autorización sch1 para el dominio.

 

[Switch-aaa-domain-huawei.com] accounting-scheme sch1 // Configure el esquema de contabilidad sch1 para el dominio.

 

[Switch-aaa-domain-huawei.com] radius-server 1 // Aplica la plantilla de servidor RADIUS 1 al dominio.

 

 

# Configure el dominio huawei.com como el dominio de administración global predeterminado para que un administrador no necesite ingresar el nombre de dominio para iniciar sesión en el Switch.


[Switch] domain huawei.com admin


Con esta configuración actual, si intentamos iniciar sesión con un usuario creado en NPS, tendríamos acceso solo a las operaciones de ping / rastreo (nivel 1).

 

Para tener el privilegio de más operaciones, necesitamos asignar un privilegio más alto usando este atributo:

 

Este es el atributo que necesitamos enviar desde NPS, el número de atributo es 29 y la identificación del proveedor de Huawei es 2011.


e13f9b6bedbe47f2938474d3fa4e1d89


Y la configuración de NPS debería verse así, donde el valor del atributo es el nivel de privilegio asignado *****PS:


aaa


Si comenzamos la depuración de la siguiente manera, necesitamos ver este privilegio para confirmar que la configuración está bien.


<Huawei>debugging radius all

<Huawei>t m

<Huawei>t d

Authenticate and collect the output of debugging.

 

Deberíamos esperar ver el atributo Privilege, así:


aaf


Y si vemos este atributo, seguro tenemos mayores privilegios y podemos emitir más comandos.


Espero les haya servido la informacion, saludos. 





  • x
  • convención:

Jorge
VIP Publicado 2019-10-7 10:21:01 Útil(0) Útil(0)
@LuisJimenez

Thanks for sharing
  • x
  • convención:

Senior Cybersecurity Engineer

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje