Какие меры предосторожности следует соблюдать при настройке аутентификации RADIUS для маршрутизаторов, коммутаторов и брандмауэров [закрыто]
У вас есть несколько вопросов по реализации Radius для моих сетевых устройств:
Как безопасно реализовать аутентификацию aaa Radius, чтобы убедиться, что пользователи вошли в систему с использованием ЛОКАЛЬНОЙ базы данных в случае сбоя Radius .
Как предоставить доступ только для чтения для нескольких пользователей и полный доступ администраторам.
Если я сохраню конфигурацию, можно будет войти в систему на устройствах (при условии, что и радиус, и локальные учетные данные не работают).
Как восстановить пароль для устройств, особенно межсетевых экранов.
Как безопасно реализовать аутентификацию aaa Radius, чтобы убедиться, что у пользователей есть логин с использованием ЛОКАЛЬНОЙ базы данных на случай сбоя Radius.
Похоже, вы уже на правильном пути; вы хотите иметь local в качестве механизма отката в вашей команде аутентификации. Установите минимальный тайм-аут (я обычно использую 2 или 3 секунды) в конфигурации сервера аутентификации, чтобы убедиться, что вы не будете вечно ждать возврата.
Для маршрутизатора IOS это выглядит следующим образом:
aaa authentication login default group radius local
И для межсетевого экрана ASA:
aaa authentication http console radius-server-group-name LOCAL
aaa authentication ssh console radius-server-group-name LOCAL
Это вызовет локальную аутентификацию в случаях, когда сервер RADIUS не отвечает. Дополнительной мерой, которую вы можете рассмотреть при желании, было бы безоговорочное использование локальной аутентификации на последовательной консоли устройства:
IOS:
aaa authentication login consoleport local
line con 0
login authentication consoleport
ASA:
aaa authentication enable console LOCAL
aaa authentication serial console LOCAL
Но не верьте мне на слово. Разберитесь с конфигурацией, затем проверьте все чертовски на устройстве каждого типа. Отключите его от сети, возитесь с сервером RADIUS, вызовите все типы интересных сбоев, которые вы можете себе представить, и убедитесь, что вы все еще можете попасть в устройство.
Как предоставить доступ только для чтения для нескольких пользователей и полный доступ к Администраторы.
Иметь авторизацию для обработки сервера RADIUS.
IOS:
aaa authorization exec default group radius if-authenticated
ASA:
aaa authorization exec authentication-server
Установите для пользователей только для чтения уровень привилегий 1, а для администраторов - 15. См. здесь ], чтобы узнать, как настроить это на вашем сервере RADIUS. В качестве альтернативы, если бы вы использовали TACACS + вместо RADIUS, вы могли бы точно назначить, какие команды каждый пользователь мог выполнять (например, если им нужен доступ к очень ограниченному набору команд только для администратора).
Если я сохраню конфигурацию… можно ли будет входить в систему на устройствах (при условии, что и радиус, и локальные учетные данные не работают).
Если ни одна из учетных данных не работает, вам необходимо переместить на сброс паролей ..
Как восстановить пароль для устройств, особенно брандмауэров.
Процедура для обоих типов устройств очень похожа и включает в себя загрузку устройства, не позволяя системе загрузить сохраненную конфигурацию. См. здесь для ASA и здесь для маршрутизаторов IOS .
Процедура для обоих типов устройств очень похожа и включает загрузку устройства, не позволяя системе загрузить сохраненную конфигурацию. См. здесь для ASA и здесь для маршрутизаторов IOS .
Процедура для обоих типов устройств очень похожа и включает загрузку устройства, не позволяя системе загрузить сохраненную конфигурацию. См. здесь для ASA и здесь для маршрутизаторов IOS .