AAA + radius

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
zawierta
wannabe
wannabe
Posty: 125
Rejestracja: 08 lis 2007, 09:49

AAA + radius

#1

#1 Post autor: zawierta »

Hej.
W sieci chciałbym wprowadzić logowanie na przełączniki przy pomocy kont z radiusa.
Zasada jest taka:
Jest N userów, każdy ma prawa do level 15, nie ma różnych praw dla różnych użytkowników.

Czyli sprawa dość prosta, działa mi logowanie już tak jak trzeba, niemniej jednak nie mogę poradzić sobie z enable.

Radius stoi na freeradiusie, a ten sprawdza konta w oparciu o PAM w linuksie.

Na testowym przełączniku mam:

Kod: Zaznacz cały

aaa new-model
aaa authentication login default group radius local
aaa authentication login KONSOLE local
[...]
radius-server host 192.168.17.99 auth-port 1812 acct-port 1813 key testing123
radius-server retransmit 2
radius-server timeout 3
radius-server key testing123
[...]
line con 0
 exec-timeout 0 0
 login authentication KONSOLE
line vty 0 15
 exec-timeout 15 0
 password qwerty
 logging synchronous
 length 0
 transport input telnet
Moje pytanie brzmi: czy da się to ustawić bez modyfikacji we freeradiusie - czyli czy mogę sobie wskakiwanie na enable zagwarantować w configu przełącznika.

R.

EDIT: Do listingow konfiguracji, show, etc stosujemy znaczniki
Ostatnio zmieniony 30 sty 2008, 11:29 przez zawierta, łącznie zmieniany 1 raz.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

#2

#2 Post autor: drake »

hej,

oczywiscie ze sie da, oprocz authentication musisz dodac do konfiguracji:

Kod: Zaznacz cały

aaa authorization exec .......
Wowczas po zalogowaniu sie zostanie ci przydzielony odpowiedni priv level per user.

Pozdrawiam!
Ostatnio zmieniony 30 sty 2008, 11:29 przez drake, łącznie zmieniany 1 raz.
Never stop exploring :)

https://iverion.de

Awatar użytkownika
mx_krzak
CCIE
CCIE
Posty: 798
Rejestracja: 18 lis 2005, 00:19
Lokalizacja: Wrocław

#3

#3 Post autor: mx_krzak »

drake pisze: aaa authorization exec .......
Wowczas po zalogowaniu sie zostanie ci przydzielony odpowiedni priv level per user.
Zastanawiam się skąd IOS będzie wiedział jaki level przydzielić. Kolega pisał, że używa PAMa. Takiej opcji nie testowałem. Natomiast przy bazie userów trzymanej w pliku tekstowym musisz podać odpowiedni Cisco-AVPair w tym przypadku "shell:priv-lvl=15". Jak do tego skonfigurować PAMa, nie wiem...

cobico
wannabe
wannabe
Posty: 284
Rejestracja: 27 maja 2006, 12:57
Lokalizacja: Milton Keynes, UK

#4

#4 Post autor: cobico »

A tu pytanie, gdzies kiedys znalazlem wrsje Tacacs+ cisco dla sys unixowych calkowicie za darmo ale byla to wersja alfa. Czy Cisco udostepnia pelna wersje Tacacs+ dla Unixopodobnych za free ?

Awatar użytkownika
pitti
rookie
rookie
Posty: 13
Rejestracja: 05 paź 2007, 00:25
Lokalizacja: Warszawa

#5

#5 Post autor: pitti »

cobico pisze:...Czy Cisco udostepnia pelna wersje Tacacs+ dla Unixopodobnych za free ?
na cisco.com znalazlem w dziale download sofcik: CiscoSecure for Unix version 2.3.6.2 (CSCEacs-2.3.6.2.solaris.pkg.Z) z mozliwoscia pobrania go. Nie jestem pewien czy to full wersja ale np. ACS dla windy nie jest dostepny do pobierania (ew. jawnie oznaczona wersja trial). moze warto sprobowac...

Awatar użytkownika
simer
wannabe
wannabe
Posty: 337
Rejestracja: 12 kwie 2005, 00:40

#6

#6 Post autor: simer »

To w takim razie pytanie w temacie - po instalacji ACS'a jest mozliwosc uzywania tak Radiusa jak i TACACS'a+ - wiem ze w tacacsie da sie skonfigurowac przywileje nawet do poziomu przelacznikow danej komendy - czy jest to tez mozliwe na Radiusie czy jest on zbyt prymitywny?
pozdrawiam
Szymon

"It's always a long day, 86,400 won't fit into a short."

cobico
wannabe
wannabe
Posty: 284
Rejestracja: 27 maja 2006, 12:57
Lokalizacja: Milton Keynes, UK

#7

#7 Post autor: cobico »

No i to jest wlasnie jego ograniczenie :)

zawierta
wannabe
wannabe
Posty: 125
Rejestracja: 08 lis 2007, 09:49

#8

#8 Post autor: zawierta »

No ok, zmieniłem zdanie i przestawiłem na autoryzowanie z pliku users.
Co ciekawe w piątek działało tak jak trzeba, ale przestało :)
Chodzi o to, że nie wpada mi na level15.

Konfiguracja:

Kod: Zaznacz cały

aaa new-model
aaa authentication login default group radius local
aaa authorization exec default if-authenticated group radius
...
radius-server host 192.168.17.99 auth-port 1812 acct-port 1813 key 123
radius-server retransmit 2
radius-server timeout 3
radius-server key 123
line vty 0 4
 exec-timeout 15 0
 password qwerty
 logging synchronous
 length 0
 transport input telnet
line vty 5 15
 password qwerty
[A na serwerze]

Kod: Zaznacz cały

tadek Auth-Type := Local, Cleartext-Password :="mama2"
         Service-Type = NAS-Prompt-User,
         cisco-avpair = "shell:priv-lvl=15"
Ostatnio musiałem coś zrobić, że działało jak trzeba. A jak trzeba?
Jeśli loguję się lokalnie (console) to chcę mieć disable level i ręcznie na enable
Jak loguję via telnet - od razu na enable.
W configu radiusa wychodzi na to, że jest ok i zgodnie z zaleceniami. Ale czemu to nie śmiga to nie wiem.
Ostatnio zmieniony 30 sty 2008, 11:30 przez zawierta, łącznie zmieniany 1 raz.

Awatar użytkownika
mx_krzak
CCIE
CCIE
Posty: 798
Rejestracja: 18 lis 2005, 00:19
Lokalizacja: Wrocław

#9

#9 Post autor: mx_krzak »

Spróbuj tak:

Kod: Zaznacz cały

aaa new-model
aaa authentication login vtymethod group radius local
aaa authorization exec default if-authenticated group radius
line vty 0 15
 exec-timeout 15 0
 password qwerty
 logging synchronous
 length 0
 transport input telnet
 login authentication vtymethod
line con 0
 login authentication vtymethod


Awatar użytkownika
Archi_p
wannabe
wannabe
Posty: 191
Rejestracja: 03 sie 2007, 20:35
Lokalizacja: Swindon/UK

#10

#10 Post autor: Archi_p »

simer pisze:To w takim razie pytanie w temacie - po instalacji ACS'a jest mozliwosc uzywania tak Radiusa jak i TACACS'a+ - wiem ze w tacacsie da sie skonfigurowac przywileje nawet do poziomu przelacznikow danej komendy - czy jest to tez mozliwe na Radiusie czy jest on zbyt prymitywny?
To nie jest tak ze Radius jest zbyt prymitywny do tego zastosowania - jest to stara zaszlosc okreslajaca Radiusa jako AAA, podczas gdy "czysty" protokol Radius jest raczej AA (autentykacja i accounting, ale bez autoryzacji). Autoryzacje na Radiusie mozemy robic przez rozszerzone atrybuty, ale jest to rzezbienie - daje sie to zrobic czasami jest ladne z pounktu widzenia estetyki - ale do wbijania gwozdzi stosujemy mlotek, a nie obcegi - mimo ze obcegami tez da sie to zrobic. Mimo niecheci do TACACSa -polecam ten mlotek.

Jezeli zastosowanie jest komercyjne to kwestia licencji ...
Jezeli labowo/testowo/prywatne - ja uzywam ACS trial na MS-W - mam virtualna maszyne skonfigurowana jak trzeba i klonuje ja co 3 miesiace, na klonie instaluje trial ACS z konfiguracja trzymana na shared folders - 5 minut zabawy i spokojna glowa na 3 miechy

pozdro

Awatar użytkownika
simer
wannabe
wannabe
Posty: 337
Rejestracja: 12 kwie 2005, 00:40

#11

#11 Post autor: simer »

Archi_p pisze:
simer pisze:To w takim razie pytanie w temacie - po instalacji ACS'a jest mozliwosc uzywania tak Radiusa jak i TACACS'a+ - wiem ze w tacacsie da sie skonfigurowac przywileje nawet do poziomu przelacznikow danej komendy - czy jest to tez mozliwe na Radiusie czy jest on zbyt prymitywny?
To nie jest tak ze Radius jest zbyt prymitywny do tego zastosowania - jest to stara zaszlosc okreslajaca Radiusa jako AAA, podczas gdy "czysty" protokol Radius jest raczej AA (autentykacja i accounting, ale bez autoryzacji). Autoryzacje na Radiusie mozemy robic przez rozszerzone atrybuty, ale jest to rzezbienie - daje sie to zrobic czasami jest ladne z pounktu widzenia estetyki - ale do wbijania gwozdzi stosujemy mlotek, a nie obcegi - mimo ze obcegami tez da sie to zrobic. Mimo niecheci do TACACSa -polecam ten mlotek.

Jezeli zastosowanie jest komercyjne to kwestia licencji ...
Jezeli labowo/testowo/prywatne - ja uzywam ACS trial na MS-W - mam virtualna maszyne skonfigurowana jak trzeba i klonuje ja co 3 miesiace, na klonie instaluje trial ACS z konfiguracja trzymana na shared folders - 5 minut zabawy i spokojna glowa na 3 miechy

pozdro
Dokladnie robie tak samo :) Beta 2 VMWare jest naprawde nuizla (interfejs webowy!)

Pytanie jest innej natury teraz - czy jesli ktos mnie przekonuje ze servery linuxowe powinny byc autentykowane bezposrednio na serwerze LDAP`a zamiast terminowac to na ACS`ie ktory jest podlaczony do LDAPA to chyba nie ma racji - lepiej sobie wszystko streamingowac na ACS's a z niego podlaczyc wszystko do servera LDAP'a (w tym przypadku MS AD) ? Logicznie powoduje to mniej ruchu.

Troche mnie tylko martwi w dokumentacji wspomnienie o tym ze dobrze by bylo zeby ACS nie znajdowal sie daleko od AD poniewaz moga byc problemy z timeoutowaniem.
pozdrawiam
Szymon

"It's always a long day, 86,400 won't fit into a short."

Awatar użytkownika
Archi_p
wannabe
wannabe
Posty: 191
Rejestracja: 03 sie 2007, 20:35
Lokalizacja: Swindon/UK

#12

#12 Post autor: Archi_p »

Z tym daleko-niedaleko to znowu w wiekszosci przypadkow pozostalosc w dokumentacji z epoki kamienia lupanego - niedaleko moze byc z Tokio do NY, a daleko pomiedzy dwoma maszynami w tym samym racku.

Zazwyczaj uzywam LDAPa os SUNa, i czasami mam daleko :wink: , czasami trzeba to przeskoczyc przez redundacje lub balans serverow AAA i LDAP, no ale to juz kwestia zainzynierowania sieci

ODPOWIEDZ