9
AAA Software
Cisco ACS 3.2 im Einsatz
Hallo Administratoren,
jeder der VPN verwaltet kennt sicher auch die AAA-Software ACS von Cisco.
Wir haben Version 3.2 im Einsatz.
Um an die neue Software zu kommen, braucht man einen Wartungsvertrag.
Jetzt meine Frage, welche Alternativen gibt es?
Ich will TACACS+ und RADIUS verwenden um VPN clients zu authorisieren via AD.
Hallo Administratoren,
jeder der VPN verwaltet kennt sicher auch die AAA-Software ACS von Cisco.
Wir haben Version 3.2 im Einsatz.
Um an die neue Software zu kommen, braucht man einen Wartungsvertrag.
Jetzt meine Frage, welche Alternativen gibt es?
Ich will TACACS+ und RADIUS verwenden um VPN clients zu authorisieren via AD.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 149698
Url: https://administrator.de/contentid/149698
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
9 Kommentare
Neuester Kommentar
Nichts einfacher als das - auf dem Domaincontroller einen IAS (bzw. NPS bei Server2008) installieren.
Vergiss ACS, ausser du hast zu viel Zeit.
tacacs+ macht eigentlich nur Sinn wenn man verschiedene Privilege Level auf Cisco Endgeräten verwenden will.
Irgendwie alles quatsch.
IAS installieren auf dem Server (Systemsteuer.... Software...).
IAS im AD registrieren.
Auf dem IAS Server den VPN Server als "Radiusclient" anlegen mit Radius-Secret (langes komplexes Passwort, z. B. Afua7'$§$$§afa#"§$§ASDFdfa1526465465afds16&"§$")
RAS-Policies konfigurieren (z. B. Windows Group Domain Users).
Auf dem VPN Server den IAS als Radius-Server anlegen, Radius-Secret angeben wie auf dem IAS.
läuft. Nach jeder Änderung der IAS Konfiguration den IAS Service neu starten damit die Änderungen eingelesen werden.
Notwendige Ports udp1812 bzw. udp1645
So, das wäre jetzt für Anmeldung mit Domain-Passwort.
ob man das für den Zugriff von extern für "sicher genug" hält ist Geschmackssache.
viele Firmen verwenden für sowas 2-faktor anmeldung (zb. mit RSA Token oder clientzertifikaten).
Vergiss ACS, ausser du hast zu viel Zeit.
tacacs+ macht eigentlich nur Sinn wenn man verschiedene Privilege Level auf Cisco Endgeräten verwenden will.
Irgendwie alles quatsch.
IAS installieren auf dem Server (Systemsteuer.... Software...).
IAS im AD registrieren.
Auf dem IAS Server den VPN Server als "Radiusclient" anlegen mit Radius-Secret (langes komplexes Passwort, z. B. Afua7'$§$$§afa#"§$§ASDFdfa1526465465afds16&"§$")
RAS-Policies konfigurieren (z. B. Windows Group Domain Users).
Auf dem VPN Server den IAS als Radius-Server anlegen, Radius-Secret angeben wie auf dem IAS.
läuft. Nach jeder Änderung der IAS Konfiguration den IAS Service neu starten damit die Änderungen eingelesen werden.
Notwendige Ports udp1812 bzw. udp1645
So, das wäre jetzt für Anmeldung mit Domain-Passwort.
ob man das für den Zugriff von extern für "sicher genug" hält ist Geschmackssache.
viele Firmen verwenden für sowas 2-faktor anmeldung (zb. mit RSA Token oder clientzertifikaten).
Ok danke erstmal.
Da ich einen win2008 Server verwenden will, muss ich NPS installieren ?
Wie registriere ich denn NPS am AD ?
hast du vielleicht eine step by step Anleitung ?
Da ich einen win2008 Server verwenden will, muss ich NPS installieren ?
Wie registriere ich denn NPS am AD ?
hast du vielleicht eine step by step Anleitung ?
yo auch uber systemsteu...software...add windows komponents...network services glaub ich
registrieren via NPS Konsole
Start..ausführen... mmc.exe
snap in hinzufuegen ... nps
dann rechttsklick auf nps und "registrieren im AD".
hey, das ist in ca. 15min erlödigt.
registrieren via NPS Konsole
Start..ausführen... mmc.exe
snap in hinzufuegen ... nps
dann rechttsklick auf nps und "registrieren im AD".
hey, das ist in ca. 15min erlödigt.
ok danke.
Wie meinst du das mit dem Radiusclient anlegen ?
Kannst du das auch noch etwas genauer beschreiben ?
Wie meinst du das mit dem Radiusclient anlegen ?
Kannst du das auch noch etwas genauer beschreiben ?
der radius arbeitet nur mit "radiusclients" zusammen, die bei ihm eingetragen sind.
der radiusclient ist quasi die IP von deinem VPN Server.
Auf radiusclient (vpnserver) und auf radius muss das selbe "radiussecret" eingetragen sein.
sonst könnt ja jeder kommen und deinen radiusserver zur authentisierung benutzen.
doch der arbeitet halt nur mit radiusclients zusammen die bei ihm eingetragen sind.
der radiusclient ist nicht der "client", also der enduser, sondern das Gerät, das mit dem radiusserver kommunizieren soll.
der Enduser kommuniziert NIE direkt mit dem Radiussrever
Client-------------VPN-Server----------radiusprotokoll---------Radius-Server------------ldap-------------AD
der radiusclient ist quasi die IP von deinem VPN Server.
Auf radiusclient (vpnserver) und auf radius muss das selbe "radiussecret" eingetragen sein.
sonst könnt ja jeder kommen und deinen radiusserver zur authentisierung benutzen.
doch der arbeitet halt nur mit radiusclients zusammen die bei ihm eingetragen sind.
der radiusclient ist nicht der "client", also der enduser, sondern das Gerät, das mit dem radiusserver kommunizieren soll.
der Enduser kommuniziert NIE direkt mit dem Radiussrever
Client-------------VPN-Server----------radiusprotokoll---------Radius-Server------------ldap-------------AD
OK, in diesem Fall ist der VPN Server wohl meine Firewall, richtig ?
Denn dort ist VPN konfiguriert.
Und am Server01 sehe ich im IAS, das dort meine ASA der Radius client ist.
Richtig ?
Denn dort ist VPN konfiguriert.
Und am Server01 sehe ich im IAS, das dort meine ASA der Radius client ist.
Richtig ?
Hi, ich habe jetzt folgendes gemacht:
1. NPS auf Win2008 installiert und bei AD registriert.
2. Radius client installiert.
3. VPN Server ist unsere ASA. Einstellungen AAA sind in ASA für neuen Server.
Und jetzt funktioniert VPN auch ohne ACS von Cisco ?
1. NPS auf Win2008 installiert und bei AD registriert.
2. Radius client installiert.
3. VPN Server ist unsere ASA. Einstellungen AAA sind in ASA für neuen Server.
Und jetzt funktioniert VPN auch ohne ACS von Cisco ?
jo so wirds wohl sein.
sieht man was in den IAS (bzw. nps) eventlog wenn du dich am vpn server anzumelden versuchst?
Tip:
Network Monitor (sniffer) auf den Server, da kannst du während deiner tests die radiuspakete anschauen.
hilft beim begreifen und fehlersuche.
sieht man was in den IAS (bzw. nps) eventlog wenn du dich am vpn server anzumelden versuchst?
Tip:
Network Monitor (sniffer) auf den Server, da kannst du während deiner tests die radiuspakete anschauen.
hilft beim begreifen und fehlersuche.
Die Lösung war ganz einfach.
Wir haben einfach RADIUS von Win 2008 verwendet und unsere ASA integriert.
Die AAA Software von Cisco ist nicht notwendig und kostet nur einen Haufen Geld.
Wir haben einfach RADIUS von Win 2008 verwendet und unsere ASA integriert.
Die AAA Software von Cisco ist nicht notwendig und kostet nur einen Haufen Geld.
