Есть несколько вопросов по реализации Radius для моих сетевых устройств:
Как безопасно реализовать аутентификацию aaa Radius, чтобы убедиться, что пользователи вошли в систему с использованием ЛОКАЛЬНОЙ базы данных в случае сбоя Radius.
Как предоставить доступ только для чтения для нескольких пользователей и полный доступ администраторам.
Если я сохраню конфигурацию ... будет ли возможно войти на устройства (при условии, что и радиус, и локальные учетные данные не работают).
Как восстановить пароль для устройств, особенно межсетевых экранов.
Как безопасно реализовать аутентификацию aaa Radius, чтобы убедиться, что пользователи вошли в систему с использованием ЛОКАЛЬНОЙ базы данных в случае сбоя Radius.
Похоже, вы уже на правильном пути; ты хочешь иметь local
как резервный механизм в вашей команде аутентификации. Установите минимальный тайм-аут (я обычно использую 2 или 3 секунды) в конфигурации сервера аутентификации, чтобы убедиться, что вы не будете вечно ждать возврата.
Для маршрутизатора IOS это выглядит так:
aaa authentication login default group radius local
И для межсетевого экрана ASA:
aaa authentication http console radius-server-group-name LOCAL
aaa authentication ssh console radius-server-group-name LOCAL
Это приведет к локальной аутентификации в случаях, когда сервер RADIUS не отвечает. Дополнительная мера, которую вы можете рассмотреть при желании, - это безоговорочно использовать локальную аутентификацию на последовательной консоли устройства:
IOS:
aaa authentication login consoleport local
line con 0
login authentication consoleport
КАК:
aaa authentication enable console LOCAL
aaa authentication serial console LOCAL
Но не верьте мне на слово. Разберитесь с конфигурацией, затем проверить это черт возьми на устройстве каждого типа. Отключите его от сети, возитесь с сервером RADIUS, вызовите все типы интересных сбоев, которые вы можете себе представить, и убедитесь, что вы все еще можете попасть в устройство.
Как предоставить доступ только для чтения для нескольких пользователей и полный доступ администраторам.
Получите авторизацию обработчика сервера RADIUS.
IOS:
aaa authorization exec default group radius if-authenticated
КАК:
aaa authorization exec authentication-server
Установите для пользователей с правами только для чтения уровень привилегий 1, а для администраторов - 15. См. Вот для того, как настроить это на вашем сервере RADIUS. В качестве альтернативы, если бы вы использовали TACACS + вместо RADIUS, вы могли бы назначить, какие команды каждый пользователь был способен выполнять мелким образом (например, если им нужен доступ к очень ограниченному набору команд только для администратора).
Если я сохраню конфигурацию ... будет ли возможно войти на устройства (при условии, что и радиус, и локальные учетные данные не работают).
Если ни одна из учетных данных не работает, вам нужно перейти к сбросу паролей.
Как восстановить пароль для устройств, особенно межсетевых экранов.
Процедура для обоих типов устройств очень похожа и включает в себя загрузку устройства, не позволяя системе загрузить сохраненную конфигурацию. Видеть здесь для ASA и здесь для роутеров IOS.