كيفية أعداد AAA على أجهزة سيسكو وربطه مع سيرفر RADIUS

Ayman Alnaimi أيمن النعيمي

14 سنة ago

أستكمالاً للموضوع الذي بدأناه بشرح كيفية أعداد وتثبيت الـRADIUS سيرفر على ويندوز سيرفر2003 من خلال تثبيت IAS على الرابط التالي كيفية تثبيت Radius Server على ويندوز اليوم سوف أشرح كيفية أعداد راوتر سيسكو لكي يقوم بالأتصال مع السيرفر والتأكد من التصريحات لكل شخص يحاول الدخول إلى الروتر

لنتوجه مباشرة إلى الروتر ونبدأ خطوات أعداد الروتر لكي يقوم بالأتصل مع الـRadius server

Cisco's IOS

Router(config)#aaa new-model
Router(config)#radius-server host 192.168.100.1
Router(config)#ip radius source-interface fastEthernet 0/0
Router(config)#radius-server key 123456
Router(config)#aaa authentication login default group radius
Router(config)#aaa authorization exec default group radius

الأمر الأول من أجل تفعيل الـ AAA وبعدها أقو بتحديد أيبي السيرفر وهو عندي 192.168.100.1 وبعدها أحدد المنفذ المربوط مع السيرفر الأمر الرابع لتحديد كلمة السر أو Shared Key وفي آخر أمرين آخبرت الروتر بأن يراقب كل محاولات الدخول ويخضعه لتصاريح سيرفر الـ Radius وهذا يشمل التلنت والكونسول والخ…

واذا في حال أردت أن أخضع فقط التلنت للسيرفر سوف أقوم بتنفيذ الأوامر التالية

Cisco's IOS

Router(config)#aaa new-model
Router(config)#radius-server host 192.168.100.1
Router(config)#ip radius source-interface fastEthernet 0/0
Router(config)#radius-server key 123456
Router(config)#aaa authentication login default radius local
Router(config)#aaa authorization exec default local
Router(config)#line vty 0 4
Router(config)#login authentication default

نحن لم ننتهي حتى الآن لان لو قمت بتطبيق هذا الأمر وحاولت أن تدخل من التلنت سوف تنجح في الدخول لكن لن يكون عندك أية تصريح في تغيير الأعدادات وحتى لن تتمكن من الدخول على User Mode والسبب مفهوم لكل شخص قد قرأ المقارنة التى قمت بعملها بين السيرفران على الرابط التالي مقارنة هامة بين +TACACS و RADIUS وقد أخبرتكم أن لسيرفر الـRadius هناك تصريحان أثنان فقط أما Login أو الحصول على كل الصلاحيات لننظر إلى هذه الصورة من الموضوع السابق ونحاول أن نفهم ما أريد أن أقوله

أرجو أن تركز على الصلاحيات الموجودة في البوليسي وهي فقط login يعني الشخص الذي سوف يحاول الدخول سوف يستطيع لكن لن يكون هناك أي تصريحات لذلك يجب أن نقوم بأنشاء بوليسي جديدة نخبر فيها السيرفر بأعطاء الشخص تصريحات للدخول على الروتر وتنفيذ كل شيء يريد أن يقوم به وللقيام بهذا الأمر سوف نضغط على زر ADD ونختار Cisco-AV-Pair

ونضغط على ADD مرة آخرى وبعدها ADD أيضا ونقوم بكتابة هذا الكود في خانة الـ Attribute Value ” shell:priv-lvl=15″ وهذه صورة توضيحة للأمر

وبعدها نغلق النافذة ونضغط على زر موافقة Apply ونقوم بتجربة الدخول مرة ثانية وسوف نلاحظ أننا دخلنا مباشرة على الـ User Mode ومبروك عليك السيرفر والتصريحات ومن الآن سوف تستطيع ان تضيف اسم الشخص وكلمة السر الخاصة فيه من الدومين مباشرة لكي يدخل على الروتر وأي سؤال أنا موجود ودمتم بود

لنتوجه مباشرة إلى الروتر ونبدأ خطوات أعداد الروتر لكي يقوم بالأتصل مع الـRadius server

واذا في حال أردت أن أخضع فقط التلنت للسيرفر سوف أقوم بتنفيذ الأوامر التالية

<img decoding="async" loading="lazy" title="cisco-radius" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2010/05/cisco-radius.png?resize=500%2C500" alt="" width="500" height="500">

<img decoding="async" loading="lazy" title="cisco-radius-0" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2010/05/cisco-radius-0.png?resize=500%2C410" alt="" width="500" height="410">

ونضغط على ADD مرة آخرى وبعدها ADD أيضا ونقوم بكتابة هذا الكود في خانة الـ Attribute Value ” shell:priv-lvl=15″ وهذه صورة توضيحة للأمر

<img decoding="async" loading="lazy" title="cisco-radius-1" src="https://i0.wp.com/www.networkset.net/wp-content/uploads/2010/05/cisco-radius-1.png?resize=500%2C400" alt="" width="500" height="400">

شارك هذا الموضوع: