AAA [Lab 4.2] Cisco ACS 5 Radius Authentication Switch with AD 2012

Discussion in 'Lab 802.1x' started by root, Jul 2, 2016.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38

    Config Cisco ACS 5.8 and Switch authentication with Radius Protocol


    Cấu hình Switch và Cisco ACS 5.8 chứng thực với user Active Directory Windows Server 2012 bằng giao thức Radius Protocol.
    - Series lab Cisco ACS 5.8 join domain
    - Các bạn có thể tham khảo bài tại đây
    - Cấu hình Cisco ACS 5.4 Join domain Active Directory windows server 2008
    http://svuit.vn/threads/lab-5-3-tich-hop-ad-2k8-vao-acs-thuc-hien-authentication-394/
    - Xem thêm tại phần tổng hợp các bài lab về AAA
    http://svuit.vn/threads/tong-hop-lab-cisco-aaa-1225/

    - Sơ đồ bài lab Config Cisco ACS 5 authentication with RADIUS PROTOCOL

    [​IMG]

    Config Cisco ACS 5 authentication with RADIUS PROTOCOL


    - Các bạn thực hiện add các thiết bị sử dụng chứng thực với Cisco ACS 5.8 bằng cách vào

    Network ResourcesNetwork Devices and AAA Clients

    [​IMG]


    - Các bạn điền thông tin thiết bị mà bạn muốn add ở trên vào. Mình sẽ sử dụng Switch 2960 để làm Authenticator với Cisco ACS 5.8 sử dung RADIUS protocol.
    • Name: Switch 2960 (Đặt tên thiết bị Authenticator)
    • IP: 10.123.10.250 trên interface vlan 1 của Switch (2960ip của thiết bị Authenticator)
    • Authentication options: RADIUS
    • Shared secret: key để authentication giữa Switch 2960 với Cisco ACS 5.8
    Sau khi cấu hình xong các bạn chọn “Submit” để hoàn tất việc cấu hình.

    [​IMG]

    - Như vậy mình đã cấu hình xong cho Switch 2960 authentication sử dụng Cisco ACS 5.8

    [​IMG]

    Access policy on Cisco ACS 5.8 sử dụng RADIUS


    - Sau khi cấu hình tạo Identity Store xong. Các bạn sẽ phải gán nó cho Access Policy của Cisco ACS để nó apply cấu hình chứng thực sử dụng Identity Store của bạn đã cấu hình ở trên.
    - Ở đây mình sẽ sử dụng giao thức RADIUS để trao đổi chứng thực giữa Authenticator (Switch 2060) với Cisco ACS 5.8.
    - Mình sẽ sử dụng Rule default có trên Cisco ACS 5.8 để edit thành Rule của mình cần.

    [​IMG]


    - Các bạn phải thiết lập các điều kiện
    • Match: Radius. Như vậy nếu gói tin được gửi từ Switch tới Cisco ACS sử dụng giao thức Radius sẽ sử dụng Rule này.
    • Kết quả là nó sẽ đẩy gói tin RADIUS vào policy service “default Network Access”. Đây là rule có sẵn trên Cisco Acs. Bạn có thể tạo 1 policy service mới và add vào đây để nó có thể chạy theo policy mà bạn tạo.
    [​IMG]


    - Trong “Access Policies” các bạn vào service policy mà chúng ta đã sử dụng cho Rule ở trên. Mình sử dụng service policy default của Cisco ACS 5.8 nên mình sẽ vào phần “Default Network Access → ldentity” để cấu hình.

    - Trong phần “Identity Source” các bạn chọn “Select” và chọn Identity Store mà các bạn đã tạo ở trên. Như vậy các gói tin xác thực được tới Cisco ACS 5.8 sẽ phải chứng thực với các user có trong Identity Store mà chúng ta đã tạo ở phần trên.


    [​IMG]

    - Sau khi cấu hình xong các bạn nhơ chọn “Save changes” để lưu lại cấu hình mà chúng ta đã làm ở trên.

    [​IMG]
     
    Last edited: Jul 2, 2016
  2. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38

    Cấu hình trên Switch sử dụng RADIUS authentication với Cisco ACS 5.8


    - Đặt Ip cho interface vlan 1
    Code:
    Switch(config)# interface vlan 1
    Switch(config-if)# ip address 10.123.10.250 255.255.255.0
    Switch(config-if)# no shutdown
    - Tạo 1 username và password local trên Switch để sử dụng trong trường hợp Switch mất kết nối với Cisco ACS 5.8
    Code:
    Switch(config)# username admin password svuit.vn
    - Bật chức năng chứng thực trên Switch 2960 sử dụng giao thức RADIUS
    Code:
    Switch(config)# aaa new-model
    Switch(config)# aaa authentication login default group radius local
    Switch(config)# radius-server host 10.123.10.100 auth-port 1812 acct-port 1813 key svuit.vn

    Test Switch authentication witch Cisco ACS sử dụng RADIUS Protocol


    - Trên Switch các bạn bật tính năng debug chứng thực RADIUS để monitor quá trình authentication bằng giao thức RADIUS
    Code:
    Switch#debug radius authentication
    - Trên Switch các bạn sử dụng lệnh “test aaa…” để test thử việc chứng thực giữa Switch với Cisco ACS 5.8.

    - Mình sẽ thực hiện kiểm tra với user domain “admin1”.
    Code:
    Switch#test aaa group radius admin1 123@abc legacy
    - kết quả user domain “admin1” thực hiện chứng thực thành công với Cisco ACS 5.8

    - Tương tự chúng ta kiểm tra user domain “nv1” cũng thực hiện chứng thực thành công

    Switch#test aaa group radius nv1@svuit.vn 123@abc legacy
     
  3. Pham Thanh Tung

    Pham Thanh Tung New Member

    Joined:
    Sep 8, 2016
    Messages:
    2
    Likes Received:
    0
    Trophy Points:
    1
    Gender:
    Male
    mình gặp trục trặc phần access poilicies, indentity cứ báo lỗi "This System Failure occurred: {0}. Your changes have not been saved.Click OK to return to the list page."
     
  4. minhuit

    minhuit Administrator Staff Member

    Joined:
    Dec 31, 2012
    Messages:
    538
    Likes Received:
    0
    Trophy Points:
    16
    Bạn thử sử dụng trình duyệt khác xem thế nào.
    Hoặc có thể do bạn đang cấu hình một tính năng nào đó trên ACS nên nó không cho bạn cấu hình thay đổi Policy hiện tại.

    Bạn có thể show cái hình bị lỗi của bạn được không. Nếu bạn có snapshot ACS thì revert lại xem sao.
     
  5. Haokk

    Haokk New Member

    Joined:
    Oct 27, 2016
    Messages:
    1
    Likes Received:
    0
    Trophy Points:
    1
    Gender:
    Male
    Chào bạn
    Mình đang làm bài lab Access policy on Cisco ACS 5.8 sử dụng RADIUS và gặp lỗi :[​IMG]
    Bình thường trong phần : Access Services => Default Device Admin - Enable có đèn xanh.
    Default Network Access - Enable Có đèn xanh.
    Nhưng sau khi mình vào phần “Default Network Access → ldentity” để cấu hình và lưu lại thì báo lỗi :

    This system failure occurred :{0}. Your changes have not been saved. Click OK to return to the list page.
    [​IMG]


    Rất mong nhận được hỗ trợ từ bạn.

    Thanks !
     

Share This Page