Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
BLOG (http://www.brainwork.com.br/)
CONTATO (http://www.brainwork.com.br/contato/)
08/03/2015
Autenticao do roteador no AD
(Windows Server 2008)
BY ANDR ORTEGA (HTTP://WWW.BRAINWORK.COM.BR/AUTHOR/ANDREORTEGA/) /
PUBLISHED
Anteriormente aqui no blog, vimos como configurar um roteador para a utilizao de usurio e senha local
(Configurando usurio e senha para o roteador (http://www.brainwork.com.br/2009/07/27/configurando-usurioe-senha-para-o-roteador/)). Naquele exemplo utilizamos os usurios criados no prprio equipamento para fazer a
autenticao.
Agora, evoluindo a soluo, vamos ver como fazer a integrao do equipamento com o AD (Microsoft Active
Directory), e assim utilizar o mesmo usurio da rede para acessar o roteador. Para isso, alm do roteador e do
AD, vamos precisar do IAS.
Neste exemplo utilizamos o Windows Server 2008 R2 com AD e IAS e um roteador 2801.
Configurao do Roteador
Apesar de usarmos um roteador no exemplo, as mesmas configuraes podem ser aplicadas aos switches.
Temos que criar um usurio local, para que caso a comunicao com o servidor IAS falhe ainda tenhamos acesso
ao equipamento. Depois basta habilitar o AAA e especificar o IP do Servidor, bem como a shared secret.
2) Na tela Add Roles Wizard, selecione a opo Network Policy and Access Services. Depois Next duas vezes.
4) Por fim clique Install, espere a instalao ser concluda, clique em Close e reinicie o servidor.
Configurando o IAS
Agora, com o IAS instalado, vamos configur-lo.
1) De volta ao Sever Manager, expanda a rvore Roles > Network Policy and Access Service > NPS (Local), e ento
clique com o boto direito do mouse e selecione a opo Register service in Active Directory.
Obs.: Nesse momento ser solicitada a autenticao de um login com permisses administrativas no domnio
para integrao do servio.
Nas duas mensagens que aparecero em seguida (liberao de Dial-in para os usurios do AD e confirmao),
clique Ok.
3) Agora expanda a rvore NPS (Local) RADIUS Clients and Servers > RADIUS Client, e clique com o boto direito.
Em seguida selecione New Radius Client. Nesse momento iremos informar que roteador poder utilizar o servio
de autenticao.
4) Preencha os campos com os dados do equipamento que utilizar o Radius para autenticao, onde Friendly
name = hostname, Address = IP do equipamento. Selecione a opo Manual e informe a Shared Secret
(cisco@123, neste exemplo). Essa chave tambm cadastrado no roteador. Na opo Vendor Name selecione
RADIUS Standard e clique ok.
Obs: O Friendly name pode ser qualquer coisa, mas fica mais fcil a administrao se associarmos o hostname.
Repita este passo para todos os equipamentos que forem utilizar a autenticao via IAS (Radius).
5) Novamente no menu do lado esquerdo, expanda a rvore Policies e selecione Network Policies. Renomeie
Connections to Microsoft Routing and Remote Access Server para Priv 1 e renomeie Connections to other
access servers para Priv 15.
7) Aps renomear as Policies, clique com o boto direito em Priv 1 > Propriedades. Na tela Priv 1 Properties,
marque a opo Grant Access. Grant Access if the connection request matches the policy, no item Access
Permission.
TOP
8) Agora, na aba Conditions, remova o grupo padro, e em seguida clique em Add e selecione a opo Windows
Groups.
9) Busque o grupo que ter acesso somente leitura aos equipamentos (nvel 1), previamente definido no AD. No
exemplo Acesso Priv 1 para Roteadores.
10) Na aba Constraints, remova as opes em EAP Types. A nica opo selecionada nesta tela ser:
Unencrypted authentication (PAP, SPAP).
11) Agora na aba Settings RADIUS ATTRIBUTES, remova o item chamado Framed-Protocol. Em seguida clique
Service-Type > Edit. Na janela Attribute Information selecione a opo Others > Login e Ok.
Novamente Ok. Ir aparecer uma mensagem perguntando se voc quer ver um tpico da ajuda, pois foi
selecionando um mtodo de autenticao inseguro (PAP). Clique No.
12) No menu do lado esquerdo selecione a opo Vendor Specific e em seguida Add. Na janela que se abrir
selecione Cisco e novamente clique em Add.
Continuando, clique em Add, no campo Attribute Value insira shell:priv-lvl=1. Clique em Ok, Ok, Close, Ok, No,
Ok.
ATENO: nesse momento que definimos que o grupo Acesso Priv 1 para Roteadores ter permisso 1 (um), ou
seja, acesso limitado (modo usurio).
Pronto. O IAS foi instalado e configurado para os usurios do grupo Acess Priv 1 para Roteadores (grupo criado
no AD), que tero acesso limitado.
Para os usurios do grupo Acesso Priv 15 para Roteadores (modo privilegiado), repita o procedimento,
selecionando em Network Policies o grupo Priv 15 e repetindo os passos anteriores, alterando o grupo Acesso
Priv 15 para Roteadores (grupo existente no AD) no item 7 e o Atributte Value para shell:priv-lvl=15 no item 12.
Assim, basta o administrador adicionar os usurios a um dos dois grupos no AD para que o usurio tenha acesso
limitado ou completo.
Throubleshoot
Para verificar o funcionamento da soluo, podemos utilizar os seguintes comandos no roteador:
Ufa! At a prxima.
1
TAGS: AD (HTTP://WWW.BRAINWORK.COM.BR/TAG/AD/), AUTENTICAO AD (HTTP://WWW.BRAINWORK.COM.BR/TAG/AUTENTICACAO-AD/), IAS
(HTTP://WWW.BRAINWORK.COM.BR/TAG/IAS/), INTEGRAO COM AD; AUTENTICAO RADIUS
(HTTP://WWW.BRAINWORK.COM.BR/TAG/INTEGRACAO-COM-AD-AUTENTICACAO-RADIUS/), RADIUS
(HTTP://WWW.BRAINWORK.COM.BR/TAG/RADIUS/)
Parabns,
Muito bom esse material
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=1995#RESPOND)
Anderson says :
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=2062#RESPOND)
Thiago says :
Muito bom funciona tbm em switches? E access points ser que poderia adicionar grupo de
usurios para acessar wifi?
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=2127#RESPOND)
Thiago, funciona em switches e aps tambm. Para acessar o wifi semelhante, mas munda um
pouco (802.1x ser configurado).
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=4399#RESPOND)
Andr, muito bom, parabns, tenho um AP cisco e queria configurar a autenticao Wi-Fi no
Radius/AD, tem algum material que explica como configuro?
Obrigado
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=4400#RESPOND)
Vinicius, coloque sua pergunta no brainwork responde. Fica melhor para compartilharmos as
informaes.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=7973#RESPOND)
denzel says :
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=7976#RESPOND)
Ol Denzel,
1) Com estas configuraes os usurios usaro o nome e senha da rede. Ou seja, cada um tem o
seu. No vai precisar criar usurios nos equipamentos.
2) O acesso externo igual. Ser utilizado o usurio de rede, no precisa criar usurios locais.
3) Para VPN semenhante, mas no precisa da parte de privilgio. S a autenticao j basta.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=7977#RESPOND)
importante criar um usurio local apenas para gerencia do equipamento em caso do radius
server ficar off nesse caso o logon ser com o usurio local.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=12354#RESPOND)
Joe says :
Ola, estou tentando autenticar um switch 3com 4210G mas no caso no encontrei o attribute
value para colocar, algum saberia me informar isso?
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=14993#RESPOND)
Valdemberg says :
Ola, estou com difuculdade em conectar um roteador edimax wireless com firmware verso 9
da ap router no meu servidor windows server 2008 r2 enterprise, o servidor esta configurado
com ip fixos,
todos os pcs se conctar ao servidor e tem internet, mais no consigo liberar a internet para o
roteador edimax, alguem pode me ajudar.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=17962#RESPOND)
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=17967#RESPOND)
Ol Gil,
realmente o RADIUS no possui est opo de logar os comandos.
Neste caso TACACS+ (evoluo do TACACS) a melhor opo.
Note que o TACACS+, apesar de ter sido criado pela Cisco, foi publicado como draft no IETF,
assim equipamentos de outros fabricantes podem suportar este protocolo.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=26790#RESPOND)
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=26792#RESPOND)
Ol Wislley,
Seguem as definies:
aaa authorization exec default group RADIUS-SERVERS local: faz com que o switch
contacte o servidor Radius para determinar se o usurio pode acesar o EXEC Shell. Se
houver falha na comunicao com o servidor Radius, o usurio tem acesso a CLI
normalmente, j que foi ao menos autenticado.
aaa authorization network default group RADIUS-SERVERS local: Este comando
configura a autorizao via Radius. Ou seja, alm de autorizar, o Radius poderia
informar qual o IP o usurio deve receber, a utilizao de uma ACL e outros parmetros
que podem ser especificados por usurio.
aaa session-id common: Garante que toda informao de identificao de uma sesso
seja idntica para a sesso. a opo padro.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=26793#RESPOND)
RESPONDER
(/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=26803#RESPOND)
Andr
Ortega (http://www.brainwork.com.br/blog) says :
Uma coisa ter autorizao, outra o nvel de autorizao voc est autorizao,
mas que comandos pode usar?
E isso s possvel no TACACS, Radius no suporta este nvel de autorizao
Shell Exec a linha de comando do roteador, e quanto ao session-id, imagine que esto
sendo gerados vrios logs sobre a sesso, com este comando seria mantido um
identificador da sesso nestes logs.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-2008/?REPLYTOCOM=26827#RESPOND)
Obrigado Andr.
EnvieoComentrio
Avise-me sobre comentrios seguintes por email.
Avise-me sobre novas publicaes por email.
Arquivo
SelectMonth
Categorias
SelectCategory
Tags
Ano 7
(http://www.blogoversary.com)
Login
Entrar
Posts RSS (Really Simple Syndication)
RSS (em ingls: Really Simple Syndication) dos comentrios
WordPress.org
Acesse Tambm
Bartulihe (http://bartulihe.wordpress.com/)
Blog LabCisco (http://labcisco.blogspot.com.br/?m=0)
Cisco Certified (Blog CCNA) (http://www.blog.ccna.com.br/)
Cisco IOS hints and tricks (http://blog.ioshints.info/)
Cisco Support Community (https://supportforums.cisco.com/community/portuguese)
Coruja de TI (http://blog.corujadeti.com.br/)
Participaes recentes
BrDigital (http://www.brainwork.com.br/2010/01/13/comandos-bsicos-para-roteadores-cisco/#comment81640) 03.03.15
Comandos bsicos para roteadores Cisco (http://www.brainwork.com.br/2010/01/13/comandos-bsicos-pararoteadores-cisco/#comment-81640)
Gustavo (http://www.brainwork.com.br/2012/09/10/configurando-3g-no-cisco-819/#comment-81616)
03.03.15
Tweets
Nopossvelexibirestapgina
Combasenaspolticasdeacessodasuaorganizao,oacessoaestesite
(https://www.facebook.com/plugins/likebox.php?
href=http%3A%2F%2Fwww.facebook.com%2Fbrainworkblog&width=250&colorscheme=light&show_fac
foibloqueadoporqueacategoriadaWeb"SocialNetworking"nopermitida.
AcessosDatacenter
Emcasodedvidas,entreemcontatocomohelpdesk,atravsdosite
http://suporteti.odebrecht.com
Data:Sun,08Mar
201519:52:22BRT
Nomedeusurio:
ODEBRECHT\gilneyas@CDARealm
IPdeorigem:
10.118.20.65
GET SOCIAL
(http://www.brainwork.com.br)
2014 Brainwork. Todos os direitos reservados.
Customizao e hospedagem da pgina por Brainwork (http://www.brainwork.com.br).