root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Config Cisco ACS 5.8 and Switch authentication with Radius Protocol


Cấu hình Switch và Cisco ACS 5.8 chứng thực với user Active Directory Windows Server 2012 bằng giao thức Radius Protocol.
- Series lab Cisco ACS 5.8 join domain
- Các bạn có thể tham khảo bài tại đây
- Cấu hình Cisco ACS 5.4 Join domain Active Directory windows server 2008
http://svuit.vn/threads/lab-5-3-tich-hop-ad-2k8-vao-acs-thuc-hien-authentication-394/
- Xem thêm tại phần tổng hợp các bài lab về AAA
http://svuit.vn/threads/tong-hop-lab-cisco-aaa-1225/

- Sơ đồ bài lab Config Cisco ACS 5 authentication with RADIUS PROTOCOL

WEubbrZEARXYGoFHAIYzv8TBQxMZeFt7Z8VODwuNWwMzlSUUE2uoYVKYEReDWCnSG6qWEpvnbb4bIk8CpDAJj-vWCUMEQ9N_geHTTR0rXoJqkOMCGFKrgfTHB7e6iRsiFqVMNt8p


Config Cisco ACS 5 authentication with RADIUS PROTOCOL


- Các bạn thực hiện add các thiết bị sử dụng chứng thực với Cisco ACS 5.8 bằng cách vào

Network ResourcesNetwork Devices and AAA Clients

9CVrHBfr8lMhTTLqJhM1aeTRxueDaP9VMFo35K6p5ibIVaRSXeZskiq0gM1jirmEDmvlN58Q49DSK1PKo7HEiK_ZBs_YKdutDNE9wGZxzbUnfFPtFEqwxsJ4_WBqAxsBmdwgXDGk4WqFbQoWuw



- Các bạn điền thông tin thiết bị mà bạn muốn add ở trên vào. Mình sẽ sử dụng Switch 2960 để làm Authenticator với Cisco ACS 5.8 sử dung RADIUS protocol.
  • Name: Switch 2960 (Đặt tên thiết bị Authenticator)
  • IP: 10.123.10.250 trên interface vlan 1 của Switch (2960ip của thiết bị Authenticator)
  • Authentication options: RADIUS
  • Shared secret: key để authentication giữa Switch 2960 với Cisco ACS 5.8
Sau khi cấu hình xong các bạn chọn “Submit” để hoàn tất việc cấu hình.

ZLfe64U0uEPqvYEVH32l4Bc7d_QaaqtjrfceSaE6QzqWSrT58nJRSHcw5WX6swOUyikqt3NSeHsw_uL5A-aivGOHp5HFSa3Jt-h8bMWXygA0rankl6xMfnE-0chAsdYWfvISlONuRVYcBPZdzg


- Như vậy mình đã cấu hình xong cho Switch 2960 authentication sử dụng Cisco ACS 5.8

MMCRwrH2JDg_vpouYB7ygVdPwyXxJFwMWnvp0xHl6HG2U5eqbq1SeapZMAKGFxpOTsQAphH6NIriMQoQ8crNX06CAiYThRyqEHAsc5EvSPbcHvmJ-gTFOu7m_v6MYQ6jxBY_D8dZyS-tzQJ-SA


Access policy on Cisco ACS 5.8 sử dụng RADIUS


- Sau khi cấu hình tạo Identity Store xong. Các bạn sẽ phải gán nó cho Access Policy của Cisco ACS để nó apply cấu hình chứng thực sử dụng Identity Store của bạn đã cấu hình ở trên.
- Ở đây mình sẽ sử dụng giao thức RADIUS để trao đổi chứng thực giữa Authenticator (Switch 2060) với Cisco ACS 5.8.
- Mình sẽ sử dụng Rule default có trên Cisco ACS 5.8 để edit thành Rule của mình cần.

5ybpf88TqHN7tOUTY9ULJjRafABWyMSe4dnWfXm5usjpxoUFTHzSoHszjl6TM4wOIAqOKG2ozfDk3LbROmi7a8IGduMxJpalt4VddLZxarwVQ_IyvsQe8kTNJNtoVrvNm9whuYkfCb2Q572q1A



- Các bạn phải thiết lập các điều kiện
  • Match: Radius. Như vậy nếu gói tin được gửi từ Switch tới Cisco ACS sử dụng giao thức Radius sẽ sử dụng Rule này.
  • Kết quả là nó sẽ đẩy gói tin RADIUS vào policy service “default Network Access”. Đây là rule có sẵn trên Cisco Acs. Bạn có thể tạo 1 policy service mới và add vào đây để nó có thể chạy theo policy mà bạn tạo.
nU0oVxocAbyQTQsNUyqVismUu8z7mCK9EZnVbD0lVTnJoUSEdGbZZauSWuHGqOLTnVq8Q8J-Ow9KVdvOFpc1Ko-lDSM7lT4UjwhrYwMxF35dgdd-X1uwm1GfYyD0sSzKqnvTet6hikS8bZNsLQ



- Trong “Access Policies” các bạn vào service policy mà chúng ta đã sử dụng cho Rule ở trên. Mình sử dụng service policy default của Cisco ACS 5.8 nên mình sẽ vào phần “Default Network Access → ldentity” để cấu hình.

- Trong phần “Identity Source” các bạn chọn “Select” và chọn Identity Store mà các bạn đã tạo ở trên. Như vậy các gói tin xác thực được tới Cisco ACS 5.8 sẽ phải chứng thực với các user có trong Identity Store mà chúng ta đã tạo ở phần trên.


ptO6qUHEQLQr85yffV1_rN6nVFQGAja9OPRiw0naBsR0RHrUFtSWW4T4RDKOtXr_Hfm-dfU00QOwkogElEKF9x7kA1Ts_hlKqvs_SENDM20UTJQaqMiRi0HrhGBJikeQnYBmW6NqaROlandobA


- Sau khi cấu hình xong các bạn nhơ chọn “Save changes” để lưu lại cấu hình mà chúng ta đã làm ở trên.

X5TV5Vf4hLkxQc9HjKcJOW7BDF2sX0em38beqDAfC_K8nLzBb0ngoxtR5s9H388DSQ_qyL_ewRGxTaAOnjxlGupmPvnVxwgqb0r0HCKKC3itOEMGjCVGs789LLHrKVhzhMHEi6arKu3BOwg6jg
 
Last edited:

Cấu hình trên Switch sử dụng RADIUS authentication với Cisco ACS 5.8


- Đặt Ip cho interface vlan 1
Code:
Switch(config)# interface vlan 1
Switch(config-if)# ip address 10.123.10.250 255.255.255.0
Switch(config-if)# no shutdown

- Tạo 1 username và password local trên Switch để sử dụng trong trường hợp Switch mất kết nối với Cisco ACS 5.8
Code:
Switch(config)# username admin password svuit.vn

- Bật chức năng chứng thực trên Switch 2960 sử dụng giao thức RADIUS
Code:
Switch(config)# aaa new-model
Switch(config)# aaa authentication login default group radius local
Switch(config)# radius-server host 10.123.10.100 auth-port 1812 acct-port 1813 key svuit.vn

Test Switch authentication witch Cisco ACS sử dụng RADIUS Protocol


- Trên Switch các bạn bật tính năng debug chứng thực RADIUS để monitor quá trình authentication bằng giao thức RADIUS
Code:
Switch#debug radius authentication

- Trên Switch các bạn sử dụng lệnh “test aaa…” để test thử việc chứng thực giữa Switch với Cisco ACS 5.8.

- Mình sẽ thực hiện kiểm tra với user domain “admin1”.
Code:
Switch#test aaa group radius admin1 123@abc legacy

- kết quả user domain “admin1” thực hiện chứng thực thành công với Cisco ACS 5.8
Switch#

*Mar 1 01:58:23.103: RADIUS: Pick NAS IP for u=0x32B2990 tableid=0 cfg_addr=0.0.0.0

*Mar 1 01:58:23.103: RADIUS: ustruct sharecount=1

*Mar 1 01:58:23.103: Radius: radius_port_info() success=0 radius_nas_port=1

*Mar 1 01:58:23.103: RADIUS/ENCODE: Best Local IP-Address 10.123.10.250 for Radius-Server 10.123.10.100

*Mar 1 01:58:23.103: RADIUS(00000000): Send Access-Request to 10.123.10.100:1812 id 1645/31, len 58

*Mar 1 01:58:23.103: RADIUS: authenticator 0A 0A C6 E8 E4 07 54 D7 - 9C E6 B4 36 0D D5 D5 F0

*Mar 1 01:58:23.103: RADIUS: NAS-IP-Address [4] 6 10.123.10.250

*Mar 1 01:58:23.103: RADIUS: NAS-Port-Type [61] 6 Async [0]

*Mar 1 01:58:23.103: RADIUS: User-Name [1] 8 "admin1"

*Mar 1 01:58:23.103: RADIUS: User-Password [2] 18 *

*Mar 1 01:58:23.171: RADIUS: Received from id 1645/31 10.123.10.100:1812, Access-Accept, len 51

*Mar 1 01:58:23.171: RADIUS: authenticator F1 4A C9 4C 69 B2 E2 C4 - 71 BC 55 23 70 34 5F E7

*Mar 1 01:58:23.171: RADIUS: User-Name [1] 8 "admin1"

*Mar 1 01:58:23.171: RADIUS: Class [25] 23

*Mar 1 01:58:23.171: RADIUS: 43 41 43 53 3A 41 43 53 2F 32 35 36 37 35 38 35 [CACS:ACS/2567585]

*Mar 1 01:58:23.171: RADIUS: 32 34 2F 33 38 [ 24/38]

*Mar 1 01:58:23.171: RADIUS: saved authorization data for user 32B2990 at 32B5420


- Tương tự chúng ta kiểm tra user domain “nv1” cũng thực hiện chứng thực thành công

Switch#test aaa group radius nv1@svuit.vn 123@abc legacy
Attempting authentication test to server-group radius using radius


*Mar 1 01:59:31.202: RADIUS: Pick NAS IP for u=0x21B5EF8 tableid=0 cfg_addr=0.0.0.0

*Mar 1 01:59:31.202: RADIUS: ustruct sharecount=1

*Mar 1 01:59:31.202: Radius: radius_port_info() success=0 radius_nas_port=1

*Mar 1 01:59:31.202: RADIUS/ENCODE: Best Local IP-Address 10.123.10.250 for Radius-Server 10.123.10.100

*Mar 1 01:59:31.202: RADIUS(00000000): Send Access-Request to 10.123.10.100:1812 id 1645/32, len 64

*Mar 1 01:59:31.User was successfully authenticated.


Switch#202: RADIUS: authenticator 82 CC DD 72 34 83 C2 BE - 50 50 44 A5 94 97 66 80

*Mar 1 01:59:31.202: RADIUS: NAS-IP-Address [4] 6 10.123.10.250

*Mar 1 01:59:31.202: RADIUS: NAS-Port-Type [61] 6 Async [0]

*Mar 1 01:59:31.202: RADIUS: User-Name [1] 14 "nv1@svuit.vn"

*Mar 1 01:59:31.202: RADIUS: User-Password [2] 18 *

*Mar 1 01:59:32.284: RADIUS: Received from id 1645/32 10.123.10.100:1812, Access-Accept, len 57

*Mar 1 01:59:32.284: RADIUS: authenticator E9 D5 BD D2 D9 E9 69 1E - 35 CA DE 50 1E F7 E1 B2

*Mar 1 01:59:32.284: RADIUS: User-Name [1] 14 "nv1@svuit.vn"

*Mar 1 01:59:32.284: RADIUS: Class [25] 23

*Mar 1 01:59:32.284: RADIUS: 43 41 43 53 3A 41 43 53 2F 32 35 36 37 35 38 35 [CACS:ACS/2567585]

*Mar 1 01:59:32.284: RADIUS: 32 34 2F 33 39 [ 24/39]

*Mar 1 01:59:32.284: RADIUS: saved authorization data for user 21B5EF8 at 224B28C
 
mình gặp trục trặc phần access poilicies, indentity cứ báo lỗi "This System Failure occurred: {0}. Your changes have not been saved.Click OK to return to the list page."
 
Bạn thử sử dụng trình duyệt khác xem thế nào.
Hoặc có thể do bạn đang cấu hình một tính năng nào đó trên ACS nên nó không cho bạn cấu hình thay đổi Policy hiện tại.

Bạn có thể show cái hình bị lỗi của bạn được không. Nếu bạn có snapshot ACS thì revert lại xem sao.
 
Chào bạn
Mình đang làm bài lab Access policy on Cisco ACS 5.8 sử dụng RADIUS và gặp lỗi :

Bình thường trong phần : Access Services => Default Device Admin - Enable có đèn xanh.
Default Network Access - Enable Có đèn xanh.
Nhưng sau khi mình vào phần “Default Network Access → ldentity” để cấu hình và lưu lại thì báo lỗi :

This system failure occurred :{0}. Your changes have not been saved. Click OK to return to the list page.



Rất mong nhận được hỗ trợ từ bạn.

Thanks !
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu