Cisco ASA [Lab 1.2] Dot1x authentication Switch and NAPS windows

Discussion in 'Lab 802.1x' started by root, Jun 7, 2016.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,133
    Likes Received:
    59
    Trophy Points:
    48

    Cấu hình telnet Switch Cisco 2960 Authentication với NPS Active Directory windows 2012 - Part 2



    Tiếp tục phần trước minh đã cài đặt Active Directory, NPS trên windows server 2012 xong và cấu hình khai báo Radius client trên NPS thanh công.
    Phần này chúng ta sẽ cấu hình chứng thực các user domain và cấp quyền cho các user đso khi truy cập vào switch Cisco 2960.

    1. Lab 1: http://svuit.vn/threads/lab-1-1-dot1x-authentication-switch-and-naps-windows-1196/
    2. Lab 2: http://svuit.vn/threads/lab-1-2-dot1x-authentication-switch-and-naps-windows-1197/
    3. Lab 3: http://svuit.vn/threads/lab-1-3-dot1x-authentication-switch-and-naps-windows-1198/
    - Download file cấu hình bài lab: Download

    - Video hướng dẫn:
    1. Part 1:

    2. Part 2:
    3/ Tạo Policy trên NPS
    - Bây giờ chúng ta sẽ tạo policy để chứng thực và cấp quyền truy cập đến Switch 2960 cho các user có trong Active Directory.
    - Trước tiên chúng ta sẽ tạo các user domain “admin1” thuộc group “ADMIN” và “nv1” thuộc group “STAFF”.

    [​IMG]


    - Để tạo một policy mới chúng ta vào phần “Network Policies” và chọn “New”.

    [​IMG]


    - Đặt tên cho policy cần tạo.


    [​IMG]


    - Cấu hình các yêu cầu chứng thực cho user. Khi user được chứng thực phù hợp với các điều kiện mà mình thiết lập ở đây thì nó sẽ được phép truy cập.
    - Mình sẽ thực hiện chứng thực với các user nằm trong group của Active Directory.

    [​IMG]


    Những user domain thuộc group ADMIN sẽ được chứng thành công

    [​IMG]


    [​IMG]


    - Chọn “Access Granted” để cho phép user được chứng thực sẽ có quyền truy cập.

    [​IMG]


    Cisco hỗ trợ phương thức “Unencrypted authentication (PAP, SPAP)” nên bạn không nên check vào các option khác mà chỉ nên check vào mục “Unencrypted authentication (PAP, SPAP)”.


    [​IMG]


    Chọn “no” và click “next” để hoàn thành cấu hình phương thức chứng thực cho RADIUS.


    [​IMG]


    - Ở phần “Configure Constraits” bạn có thể để mặc định.


    [​IMG]


    Trong bảng “Attributes” bạn xóa hết các thuộc tính có sẵn ở đây và chỉ thêm mục “Service-Type Login”.


    [​IMG]


    - Tiếp theo trong phần “Vendor Specific Attribute” chúng ta sẽ phân quyền cho các user domain thuộc group “ADMIN”.


    [​IMG]


    Mình sẽ cho các user domain thuộc group ADMIN có quyền ở level 15 khi truy cập vào Switch Cisco 2960.


    [​IMG]


    Các bạn xem lại các thông tin tóm tắt mà chúng ta đã cấu hình từ này giờ.


    [​IMG]



    Tương tự chúng ta sẽ tạo 1 policy cho user domain thuộc group “STAFF”. Những user domain thuộc group này sẽ được phân quyền ở level 5.


    [​IMG]
     
    Last edited: Jun 11, 2016

Share This Page