Konfiguracja serwera Radius

Czym jest Radius

Usługa zdalna, która polega na uwierzytelnianiu użytkowników wdzwaniających się do systemu – przy użyciu połączeń wdzwanianych. Powszechnie Remote Authentication Dial in User Service protokół używany często celem autoryzacji i uwierzytelniania sieci tunelowych i telefonicznych. Z RADIUS korzysta się także w sieciach bezprzewodowych. 

Chcesz posłuchać więcej na ten temat? Kliknij.

Radius – działanie AAA

Warto zdefiniować czym są trzy litery A. Po rozszerzeniu skrótu z angielskiego wyłania się authentication, authorization oraz accounting.

Authentication(inaczej uwierzytelnianie) – dzięki temu istnieje możliwość sprawdzenia czy dany użytkownik rzeczywiście jest wiarygodny, jego dane rzeczywiście są prawdziwe

Authorization(inaczej autoryzacja) – przy użyciu weryfikacji można przekonać się do jakich zasobów ma dostęp poszczególny użytkownik

Accounting(inaczej raportowanie, rozliczalność) – za pomocą raportowania można zebrać informację tzw. logi o poszczególnych czynnościach jakie dokonał użytkownik

Czym jest protokół RADIUS

Mówiąc o RADIUS należy wspomnieć iż jest to protokół typu klient-serwer przy użyciu UDP. Powstał w roku 1991. Port do wykonania accounting(raportowania) to 1813. Natomiast authentication(uwierzytelnianie) wraz z authorization(autoryzacja) to port 1812. Głównie urządzenia końcowe są w roli klienta np. laptop. Pakiety, które są transportowane przez RADIUS to oczywiście powiązanie z uwierzytelnianiem, autoryzacją oraz raportowaniem jakie występuje między klientem a serwerem. Poniższy przykładowy rysunek ilustruję sposób wymiany pakietów klient-serwer RADIUS.

Obecne wykorzystanie serwera RADIUS

Korzyść z użycia serwera RADIUS dotyczy przede wszystkim jego otwartego standardu – nie jest własnością żadnego producenta. Obecnie wspiera go większość producentów sprzętu sieciowego. Mówiąc o serwerach logowania ma na myśli się poszczególne usługi sieciowe jakie wykorzystują protokół – konfiguracja odbywa się na konkretnym oprogramowaniu np. CISCO SECURE, ale dodatkowo można skorzystać z Linuxa czy Windowsa(konfiguracja serwera logowania i podłączenie jej z Active Directory).

Topologia wykorzystana do konfiguracji autentykacji serwera RADIUS  

Scenariusz opiera się o dwa urządzenia R1 i R2 oraz SERVER RADIUS. Nastąpi skorzystanie z serwisu AAA na serwerze. Na routerach zostanie skonfigurowana autentykacja i możliwość połączenia się po ssh do SERVER RADIUS.

Przypisanie adresów IP do urządzeń:

R1:

Router>enable

Router#

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#interface FastEthernet0/0

Router(config-if)#no shutdown

Router(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

ip address 192.168.1.1 255.255.255.0

Router(config-if)#ip address 192.168.1.1 255.255.255.0

Router(config-if)#exit

Router(config)#ping 192.168.1.3

^

% Invalid input detected at '^' marker.

Router(config)#exut

^

% Invalid input detected at '^' marker.

Router(config)#exit

Router#

%SYS-5-CONFIG_I: Configured from console by console

Router#ping 192.168.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 3/9/29 ms

Router#ping 192.168.1.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 0/2/4 ms

!komunikacja prawidłowa z R2 i SERVER RADIUS!
R2:

Router>enable

Router#

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#interface FastEthernet0/0

Router(config-if)#speed 100

Router(config-if)#speed auto

Router(config-if)#no shutdown

Router(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

ip address

% Incomplete command.

Router(config-if)#ip address 192.168.1.2 255.255.255.0

Router(config-if)#ip address 192.168.1.2 255.255.255.0

Router(config-if)#

SERVER RADIUS:

Skonfigurowanie serwisu AAA na serwerze z dodaniem dwóch użytkowników:

Konfiguracja protokołu SSH na routerze i autentykacji

R1:

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#aaa new-

Router(config)#aaa new-model

Router(config)#username backup secret backup1

!skonfigurowanie użytkownika backup z haslem celem bezpieczeństwa gdy łącze między switchem a serwerem będzie np. wyłączone!

Router(config)#aaa

Router(config)#aaa a

Router(config)#aaa auth

Router(config)#aaa authen

Router(config)#aaa authentication login d

Router(config)#aaa authentication login default g

Router(config)#aaa authentication login default group ra

Router(config)#aaa authentication login default group radius loc

Router(config)#aaa authentication login default group radius local

Router(config)#aaa authentication login default group radius local

Router(config)#aaa authentication ena

Router(config)#aaa authentication enable de

Router(config)#aaa authentication enable default g

Router(config)#aaa authentication enable default group ra

Router(config)#aaa authentication enable default group radius local

!uruchomienie lokalnej autentykacji aaa!

Router(config)#radius-s

Router(config)#radius-server host 192.168.1.3 key cisco

!przypisanie adresa hosta serwera radius!

Router(config)#ip dom

Router(config)#ip domain-name cisco.com

Router(config)#ip ssh version 2

!skonfigurowanie ssh!

Please create RSA keys (of at least 768 bits size) to enable SSH v2.

Router(config)#crypto ke

Router(config)#crypto key ge

Router(config)#crypto key generate rsa

% Please define a hostname other than Router.

Router(config)#hostname R1

R1(config)#cryp

R1(config)#crypto key

R1(config)#crypto key gen

R1(config)#crypto key generate rsa

The name for the keys will be: R1.cisco.com

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

a few minutes.

How many bits in the modulus [512]: 2014

% Generating 2014 bit RSA keys, keys will be non-exportable...[OK]

R1(config)#crypto key generate rsa!wygenrowanie klucza 1024bitowego!

*mar 1 0:26:52.455: %SSH-5-ENABLED: SSH 2 has been enabled

% You already have RSA keys defined named R1.cisco.com .

% Do you really want to replace them? [yes/no]: yes

The name for the keys will be: R1.cisco.com

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

a few minutes.

How many bits in the modulus [512]: 1024

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

R1(config)#line vty 0 4

*mar 1 0:27:6.749: %SSH-5-ENABLED: SSH 2 has been enabled

R1(config-line)#tra

R1(config-line)#transport inp

R1(config-line)#transport input ssh

!na liniach wirtualnych transport SSH klucza!

R1(config-line)#login a

R1(config-line)#login authentication de

R1(config-line)#login authentication default

!wlaczenie domyślnej autentykacji dla Radius!

Sprawdzenie możliwości podłączenia się po ssh z R2 do serwera

Router>en

Router#ssh -l test -v 192.168.1.1

^

% Invalid input detected at '^' marker.

Router#ssh -l test -v 2 192.168.1.1

!podłączenie się po ssh wersji 2 do serwera RADIUS!

Password:

R1>exit

[Connection to 192.168.1.1 closed by foreign host]

Router#ssh -l test1 -v 2 192.168.1.1

Password:

R1>

Sprawdzenie połączenia się po ssh kiedy łącze jest wyłączone między Serwerem a switchem

Router#ssh -l backup -v 2 192.168.1.1

Password:

R1>