Hej,
Od dluzszego czasu ciekawi mnie jaka stosujecie polityke odnosnie hasel na routerach i innych urzadzeniach. U mnie w firmie robi sie mala bitwa, poniewaz ja osobiscie jestem za stosowaniem strategii 1urzadzenie - 1haslo, ewentualnie 1firma - xurzadzen - jedno haslo. Najbardziej przeciwny mi koles twierdzi, ze skoro wszedzie i tak mamy access-listy ktore zezwalaja tylko nam na dostep z zewnatrz, to moga byc hasla wszedzie takie same. Zdarza sie ze zmienia hasla na swoje, bo te poprzednie "nie dzialaly". Zaznaczam ze mamy sporo malych klientow, gdzie implementacja np. RADIUSa niekoniecznie ma sens. Chociaz moglibysmy my w firmie ustawic centralny serw uwierzytelniania... Sam nie wiem? Jakie wy stosujecie rozwiazania, wszelkie pomysly mile widziane
pozdro
fro
Hasla i tysiace urzadzen.
Hasla i tysiace urzadzen.
Ostatnio zmieniony 20 lip 2017, 12:23 przez frontier, łącznie zmieniany 1 raz.
Re: Hasla i tysiace urzadzen.
To wydaje sie byc bardzo dobrym rozwiazaniem.frontier pisze:...Chociaz moglibysmy my w firmie ustawic centralny serw uwierzytelniania...
gubit
Re: Hasla i tysiace urzadzen.
To jest jedyne dobre rozwiązanie. Mając 300 urządzeń w zarządzaniu pomyśl, że zwalniasz administratoragubit pisze:To wydaje sie byc bardzo dobrym rozwiazaniem.frontier pisze:...Chociaz moglibysmy my w firmie ustawic centralny serw uwierzytelniania...
Bez centralnego systemu AAA:
- nie jesteś w stanie powiedzieć kto i kiedy np. potencjalnie zepsuł konfigurację.
- hasła na 300% będą zapisane na kartkach lub w plikach tekstowych
- nie będziesz w stanie implementować norm bezpieczeństwa BS czy ISO
Warto postawić 2 serwery i uruchomić między nimi replikację.
Do takiego systemu AAA dodaj jeszcze Worksy/Tivoli/OV zalezy jakie masz potrzeby biznesowe.
<: Enceladus :>
Dzieki za odpowiedzi.
A co jesli mam IAS i chce uwierzytelniac czesc uzytkownikow np. tylko przez VPN Concentrator (VPN Client) a czesc tylko na routerach?
Albo drugi wariant, da sie stworzyc grupy routerow i powiazac z tymi grupami jakis uzytkownikow? Tak aby user a mogl sie uwierzytelnic tylko na routerze z grupy A, b z B itd.?
pozdro
fro
A co jesli mam IAS i chce uwierzytelniac czesc uzytkownikow np. tylko przez VPN Concentrator (VPN Client) a czesc tylko na routerach?
Albo drugi wariant, da sie stworzyc grupy routerow i powiazac z tymi grupami jakis uzytkownikow? Tak aby user a mogl sie uwierzytelnic tylko na routerze z grupy A, b z B itd.?
pozdro
fro
Ostatnio zmieniony 20 lip 2017, 12:24 przez frontier, łącznie zmieniany 1 raz.
IAS - nie lubię ... wszelkie moje podejścia do niego doprowadzały mnie do wściekłości ... debugowanie jest na tragicznym poziomie ...frontier pisze:Dzieki za odpowiedzi.
A co jesli mam IAS i chce uwierzytelniac czesc uzytkownikow np. tylko przez VPN Concentrator (VPN Client) a czesc tylko na routerkach?
Albo drugi wariant, da sie stworzyc grupy routerow i powiazac z tymi grupami jakis uzytkownikow? Tak aby user a mogl sie uwierzytelnic tylko na routerze z grupy A, b z B itd.?
Natomiast jeśli chodzi o CiscoSecure ACS to nie jest to też produkt idealny, ma poważne niedociągnięcia, za wolno się rozwija .. itp (może inni vendorzy robią lepsze produkty - nie znam). ACSem załatwisz wszystkie kwestie o które pytasz:
- można zintegrować z domeną Windows
- wspiera tokeny RSA (własnie te mechanizmy sprawiły że stosuje ACSa)
- grupy/userów mozesz przypisać do konkretnych urządzeń nawet na poziomie portu (mechanizm NAR)
- userom możesz nadać uprawnienie do dostępu typu exec, PPP ustawić mu poziom uprawnień, możesz dać uprawnienia do określonych komend ... itp itd...
Jest więc pełna separacja - user może się logować tylko na VPN koncentrator i nigdzie więcej...
Jest wersja free udostępniona przez Cisco, ale wspiera tylko protokół TACACS+ (ACS wspiera jeszcze Radiusa) i nie ma prostego interfejsu zarządzania.
Możesz sprawdzić freeRadiusa podobno jest bardzo dobry i szybko się rozwija ... wspiera wszystko co teraz jest potrzebne ... np. EAP do sieci WiFi
<: Enceladus :>