radius服务可以方便的远程管理CISCO设备,所以公司架设了一台radius服务器用于远程管理CISCO设备,最近radius服务器崩溃,便重新配置了关于radius服务。
本文章主要是翻译了TechArt:TA0001-Windows 2008 RADIUS for CISCO Device Authenticationby John McManus中的内容,主要是windows2008的NPS中配置radius服务,如有不懂的专业术语,请找度娘或者谷歌。本文中配置的图片是从原文章中截取,英语不好的同学就只做参考了。本文根据实际情况有少许改动,如需原文请在附件中下载自行参考。
安装步骤
基础步骤
·安装网络策略和访问服务角色
·在活动目录中注册
·配置radius客户端
·配置接入策略
·配置CISCO设备
安装网络策略和访问服务角色
·在windows server服务器管理器中选择角色——》右键选择添加角色
·选择“网络策略和访问服务角色”
·选择角色服务中的“网络策略服务(NPS)”----这个服务可以提供CISCO设备需要的radius认证服务。
在活动目录中注册
·在服务器管理器中展开角色,然后选择网络策略和访问服务选项展开,可以看到NPS(本地)。
·右键单击NPS选择在Active Directory中注册服务。
图1 在Active Directory中注册服务
配置radius客户端
·在NPS(本地)中展开RADIUS客户端和服务器右键单击RADIUS客户端,选择新建。
·根据实际情况,输入CISCO设备名称(自定义的,非型号名称),IP地址。
·选择CISCO为设备提供商。
·在共享机密中填入CISCO设备中AAA认证配置的秘钥
图2 添加CISCO设备信息
配置接入策略
·在策略中选择网络策略,右击选择新建
·输入策略名称,网络访问服务器的类型选择Unspecified,单击下一步
·点击添加,然后选择windows组点击添加,然后添加组,组就是作为登录账号的组。配置完成后单击下一步
·默认选择已授予访问权限,单击下一步
·取消默认的microsoft加密身份验证版本的所有勾,勾上未加密的身份认证(PAP,SPAP),单击下一步
图3 选择未加密认证
·在约束中选择NAS端口类型,勾上Virtual(×××)选项,点击下一步。
·在配置设置中选择RADIUS属性中的标准,删除Framed-Protocol,选择供应商特定,单击添加,在供应商中找到cisco,点击添加,然后再次点击添加,添加其属性值—>shell:priv-lvl=15(注意,这里必须要小写,如果大写登陆客户端会是从观察者模式登陆,输入en将提示% Error in authentication.),再次单击下一步便可完成接入策略的配置。
图4 删除Framed-Protocol和Server-Type
图5 添加CISCO供应商
剩下的配置便是配置CISCO客户端配置,我将在别的文章中说明如何配置,如果两端都配置完成,便可以远程通过AAA认证操作交换机,再也不需要要拿个console线到处跑了。。。。。
注:如果你在使用radius认证过程中希望使用EAP验证的话,必须安装windows server证书服务。具体方式请看另一篇关于windows证书服务安装的文章:http://7492110.blog.51cto.com/7482110/1604270
