为路由器、交换机和防火墙配置 RADIUS 身份验证时应采取哪些预防措施

为路由器、交换机和防火墙配置 RADIUS 身份验证时应采取哪些预防措施

对于为我的网络设备实施 Radius,有很多问题:

  1. 如何安全地实施 aaa Radius 身份验证,以确保用户在 Radius 失败的情况下使用本地数据库登录。

  2. 如何为少数用户提供读取权限并为管理员提供完全访问权限。

  3. 如果我保存了配置,是否可以登录到设备(假设半径和本地凭据都不起作用)。

  4. 如何恢复设备尤其是防火墙的密码。

答案1

如何安全地实施 aaa Radius 身份验证,以确保用户在 Radius 失败的情况下使用本地数据库登录。

听起来你已经走在正确的轨道上了;你想local在你的身份验证命令中拥有后备机制。在身份验证服务器的配置中设置一个较低的超时时间(我倾向于使用 2 或 3 秒),以确保您不会永远等待后备。

对于 IOS 路由器,它看起来像这样:

aaa authentication login default group radius local

对于 ASA 防火墙:

aaa authentication http console radius-server-group-name LOCAL
aaa authentication ssh console radius-server-group-name LOCAL

这将导致在 RADIUS 服务器没有响应的情况下在本地进行身份验证。如果需要,您可以考虑采取的额外措施是在设备的串行控制台上无条件使用本地身份验证:

iOS:

aaa authentication login consoleport local
line con 0
  login authentication consoleport

作为一个:

aaa authentication enable console LOCAL
aaa authentication serial console LOCAL

但不要相信我的话。先搞定你的配置,然后好好测试一下在每种类型的设备上。将其与网络断开,干扰 RADIUS 服务器,引发您能想象到的每种类型的有趣故障,并确保您仍能进入设备。


如何为少数用户提供读取权限并为管理员提供完全访问权限。

让 RADIUS 服务器处理授权。

iOS:

aaa authorization exec default group radius if-authenticated

作为一个:

aaa authorization exec authentication-server

将只读用户的权限级别设置为 1,将管理员的权限级别设置为 15。请参见这里了解如何在 RADIUS 服务器中配置此功能。或者,如果您要使用 TACACS+ 而不是 RADIUS,则可以以细粒度的方式指定每个用户能够运行的命令(例如,如果他们需要访问一组非常有限的管理员专用命令)。


如果我保存了配置,是否可以登录到设备(假设半径和本地凭据都不起作用)。

如果所有凭证均不起作用,则需要继续重置密码。


如何恢复设备尤其是防火墙的密码。

这两种设备类型的过程非常相似,并且涉及启动设备而不让系统加载已保存的配置。请参阅ASA 的适用于 IOS 路由器

相关内容