Implementación de autenticación RADIUS en Routers CISCO con integración de Active Directory


En esta ocasión vamos a implementar un método de autenticación diferente a TACACS+, vamos a realizar una integración de Active Directory con RADIUS para autenticar a los usuarios que se conectan de forma remota a un router CISCO, para ello vamos a requerir la configuración de un Servidor con Windows 2003 Server junto con la instalación del servicio de IAS (Internet Authentication Service).

Vamos a omitir la parte en la que promovemos nuestro Active Directory (AD), para los que deseen profundizar mas en esta parte pueden buscar en google el comando DCPROMO, el cual se utiliza para configurar nuestro AD.

Asumiendo que nuestro AD se encuentra configurado ya correctamente, procederemos a instalar el servicio de IAS, para ello nos dirigimos al panel de control y luego a la opción de agregar o quitar programas y seleccionamos la opción de agregar o quitar componentes de Windows y nos posicionamos sobre la opción de servicios de red.

 

Una vez que encontramos la opción de servicios de red, hacemos doble click sobre esta opción y en la siguiente pantalla que se despliega, seleccionamos la opción de servicios de autenticación de Internet, con ello procederemos a instalar el servicio IAS, en el proceso de instalación se nos solicitara ingresar el disco de instalación de Windows Server 2003.

Una vez instalado el servicio podemos ejecutarlo de la siguiente forma:

Se habilitara la ventana de administración del servicio, desde donde configuramos nuestro cliente, para este caso será un Router Cisco 2600 para poder autenticarnos contra un usuario que se encuentre en nuestro AD, para este caso el usuario de prueba que creamos lo asociamos al grupo CISCO ADMINS dentro de nuestro AD.

PASO 1: Lo primero que hacemos luego de iniciar el servicio de IAS, es habilitar el servicio para que se utilice el AD previamente configurado

Luego nos ubicamos en la pestaña de clientes RADIUS y dentro de la ventana donde se muestran los clientes previamente registrados hacemos click con el botón derecho y seleccionamos la opción de nuevo cliente RADIUS.

 

Colocamos un nombre descriptivo que nos permita identificar al cliente en cuestion y la direccion IP que este tenga asignado, para este ejemplo el router CISCO que se autenticara contra el servidor RADIUS tiene asignada la direcccion IP 172.16.1.2, luego hacemos click en siguiente.

Finalmente seleccionamos al cliente proveedor, para este caso ubicamos al proveedor CISCO y la clave pre compartida que será “cisco” y hacemos click en finalizar.

 

PASO 2: El segundo paso para configurar el servicio es crear la directiva de acceso que utilizara el servidor RADIUS para autenticar a los usuarios, para ello nos ubicamos en opción de Directivas de acceso remoto y dentro de la pantalla donde se muestran las políticas previamente configuradas seleccionamos la opción de Nueva directiva de acceso remoto.

Se desplegara el asistente para crear una nueva directiva, hacemos click en siguiente en la primera pagina, lo cual nos llevara a la siguiente pantalla donde seleccionaremos la opción de crear una directiva personalizada y en el nombre de directiva colocamos el nombre que nos haga referencia a esta política.

Se nos desplegara la pantalla para agregar una nueva directiva, acá seleccionaremos los siguientes atributos: Windows Group y NAS-IP-Address

Para el atributo NAS-IP-Address, colocamos la IP del cliente desde donde se originara la autenticación que utilizara el servicio de RADIUS

Para el atributo Windows Groups, seleccionamos el grupo al que pertenecen los usuarios que podrán ser autenticados al momento de iniciar una conexión remota

Finalizando esta parte, hacemos click en siguiente y nos mostrar la penúltima pantalla donde seleccionaremos la opción de Conceder permisos de acceso remoto

Finalizando el asistente para crear la directiva, solo queda pendiente editar el perfil de marcado, hacemos click en la opción editar perfil y seleccionamos la pestaña de autenticación y nos aseguramos que solamente este marcada la opción de autenticación sin cifrado.

En la pestaña de opciones avanzadas nos aseguramos que las opciones habilitadas queden como se muestran en la siguiente imagen y finalizamos el asistente.

 

PASO 3: Configurar el router con los siguientes comandos.

C2611(config)# aaa new-model

Habilita la opción para que el router se pueda autenticar mediante el uso de un servidor RADIUS

C2611(config)# aaa authentication login default group radius local

La primera parte del commando aaa authentication login habilita al router para que se autentica mediante diferentes métodos, la palabra default indica que será la política por defecto para autenticar a los usuarios, la parte group radius indica que la primera prioridad es autenticar mediante un servidor RADIUS, la palabra local indica que la segunda prioridad de autenticación es la base de datos local del router en caso no se tenga conexión con el servidor RADIUS

C2611(config)# aaa authorization exec default group radius if-authenticated local

El comando aaa authorization exec permite que los usuarios que se autentiquen mediante el servidor RADIUS tengan acceso directamente al modo EXEC privilegiado

C2611(config)# ip radius source-interface Ethernet0/0

Le indica al router la interfaz que esta conectada directamente al servidor RADIUS

C2611(config)# radius-server host 172.16.1.2 auth-port 1645 acct-port 1646 key cisco

Con este comando indicamos la dirección local que tiene configurado el servidor RADIUS y los puertos que están configurados para establecer la comunicación, la parte del comando donde se involucra la palabra key indica que este es el secreto compartido entre el servidor RADIUS y el cliente.

 

 

2 Respuestas a “Implementación de autenticación RADIUS en Routers CISCO con integración de Active Directory

  1. seria bueno que el servidor radius estuviera en windows server 2008 R2, ya que he estado haciendo esta misma paractica con esta plataforma de windows y no me funciona. seria bueno que si tiene un paso a paso sobre como hacerlo con windows server 2008 R2 me serviria de mucho

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s