wiedenmann
Goto Top

AAA Software

Cisco ACS 3.2 im Einsatz

Hallo Administratoren,

jeder der VPN verwaltet kennt sicher auch die AAA-Software ACS von Cisco.
Wir haben Version 3.2 im Einsatz.

Um an die neue Software zu kommen, braucht man einen Wartungsvertrag.

Jetzt meine Frage, welche Alternativen gibt es?
Ich will TACACS+ und RADIUS verwenden um VPN clients zu authorisieren via AD.

Content-ID: 149698

Url: https://administrator.de/forum/aaa-software-149698.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

spacyfreak
spacyfreak 25.08.2010 um 13:10:40 Uhr
Goto Top
Nichts einfacher als das - auf dem Domaincontroller einen IAS (bzw. NPS bei Server2008) installieren.
Vergiss ACS, ausser du hast zu viel Zeit.
tacacs+ macht eigentlich nur Sinn wenn man verschiedene Privilege Level auf Cisco Endgeräten verwenden will.
Irgendwie alles quatsch.

IAS installieren auf dem Server (Systemsteuer.... Software...).
IAS im AD registrieren.
Auf dem IAS Server den VPN Server als "Radiusclient" anlegen mit Radius-Secret (langes komplexes Passwort, z. B. Afua7'$§$$§afa#"§$§ASDFdfa1526465465afds16&"§$")
RAS-Policies konfigurieren (z. B. Windows Group Domain Users).
Auf dem VPN Server den IAS als Radius-Server anlegen, Radius-Secret angeben wie auf dem IAS.
läuft. Nach jeder Änderung der IAS Konfiguration den IAS Service neu starten damit die Änderungen eingelesen werden.
Notwendige Ports udp1812 bzw. udp1645

So, das wäre jetzt für Anmeldung mit Domain-Passwort.
ob man das für den Zugriff von extern für "sicher genug" hält ist Geschmackssache.
viele Firmen verwenden für sowas 2-faktor anmeldung (zb. mit RSA Token oder clientzertifikaten).
wiedenmann
wiedenmann 25.08.2010 um 13:27:40 Uhr
Goto Top
Ok danke erstmal.

Da ich einen win2008 Server verwenden will, muss ich NPS installieren ?
Wie registriere ich denn NPS am AD ?
hast du vielleicht eine step by step Anleitung ?
spacyfreak
spacyfreak 25.08.2010 um 13:34:45 Uhr
Goto Top
yo auch uber systemsteu...software...add windows komponents...network services glaub ich
registrieren via NPS Konsole
Start..ausführen... mmc.exe
snap in hinzufuegen ... nps
dann rechttsklick auf nps und "registrieren im AD".

hey, das ist in ca. 15min erlödigt.
wiedenmann
wiedenmann 25.08.2010 um 13:58:32 Uhr
Goto Top
ok danke.
Wie meinst du das mit dem Radiusclient anlegen ?
Kannst du das auch noch etwas genauer beschreiben ?
spacyfreak
spacyfreak 25.08.2010 um 14:05:29 Uhr
Goto Top
der radius arbeitet nur mit "radiusclients" zusammen, die bei ihm eingetragen sind.
der radiusclient ist quasi die IP von deinem VPN Server.
Auf radiusclient (vpnserver) und auf radius muss das selbe "radiussecret" eingetragen sein.
sonst könnt ja jeder kommen und deinen radiusserver zur authentisierung benutzen.
doch der arbeitet halt nur mit radiusclients zusammen die bei ihm eingetragen sind.


der radiusclient ist nicht der "client", also der enduser, sondern das Gerät, das mit dem radiusserver kommunizieren soll.
der Enduser kommuniziert NIE direkt mit dem Radiussrever


Client-------------VPN-Server----------radiusprotokoll---------Radius-Server------------ldap-------------AD
wiedenmann
wiedenmann 25.08.2010 um 16:54:32 Uhr
Goto Top
OK, in diesem Fall ist der VPN Server wohl meine Firewall, richtig ?
Denn dort ist VPN konfiguriert.
Und am Server01 sehe ich im IAS, das dort meine ASA der Radius client ist.

Richtig ?
wiedenmann
wiedenmann 26.08.2010 um 15:38:28 Uhr
Goto Top
Hi, ich habe jetzt folgendes gemacht:

1. NPS auf Win2008 installiert und bei AD registriert.
2. Radius client installiert.
3. VPN Server ist unsere ASA. Einstellungen AAA sind in ASA für neuen Server.

Und jetzt funktioniert VPN auch ohne ACS von Cisco ?
spacyfreak
spacyfreak 27.08.2010 um 14:53:16 Uhr
Goto Top
jo so wirds wohl sein.
sieht man was in den IAS (bzw. nps) eventlog wenn du dich am vpn server anzumelden versuchst?

Tip:
Network Monitor (sniffer) auf den Server, da kannst du während deiner tests die radiuspakete anschauen.
hilft beim begreifen und fehlersuche.
wiedenmann
wiedenmann 13.12.2010 um 18:26:22 Uhr
Goto Top
Die Lösung war ganz einfach.
Wir haben einfach RADIUS von Win 2008 verwendet und unsere ASA integriert.
Die AAA Software von Cisco ist nicht notwendig und kostet nur einen Haufen Geld.