当前位置:   article > 正文

开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录

开源radius

前言
大部门企业的IT运维团队人员较多,同时负责网络设备上千台,所以不可能将网络设备的telnet用户名和密码告诉所有的IT人员,但是IT人员又需要telnet部分网络设备进行配置信息,这就可以利用AAA认+RADIUS(internet验证服务)的方式让所有的部分的域用户能够利用域帐号+密码登录telnet了。访问设备不能要做到命令审计、人员访问资源控制等功能。
一、准备工作
1台Centos6.5主机搭建堡垒机192.168.1.2;
1台Windows server 2012搭建radius服务器配置192.168.1.1。拓扑图如下:
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录
二、开源堡垒机
堡垒机能够对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,支持IT运维人员对多种远程维护方式,如字符终端方式(SSH、Telnet、Rlogin)、图形方式(RDP、X11、VNC、Radmin、PCAnywhere)、文件传输(FTP、SFTP)以及多种主流数据库的的详细记录和提供细粒度的审计,并支持操作过程的全程回放。网域IT运维安全审计将运维审计由事件审计提升为内容审计,并将身份认证、授权、管理、审计有机地结合,保证只有合法用户才能使用其拥有运维权限的关键资源。 本次使用Jumpserver搭建堡垒机
详见:http://docs.jumpserver.org/zh/docs/setup_by_centos7.html
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录
三、radius安装
3.1,安装
首先在windows server 2012 中添加服务器角色网络策略和访问服务(Network Policy Server)功能选第一个策略,其他不选 然后右击NPS在AD中注册(每次重启后NPS默认不运行)
3.2,NPS(网络策略服务器)的设置
1)添加radius客户端定义友好名称(后面按这个调用)
输入需要认证的设备IP 密码供应商radius
Radius客户端新建
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录
2)定义连接请求策略(这个值定义radius接入访问控制)
先定义名称
然后条件选择客户端友好名称输入开始定义的友好名称(文档上显示支持“×”补全)
下一步直到radius属性出现 在标准中添加login-server 选择telnet
图片如下
1)  连接请求策略新建
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录
 
2)添加客户端友好名称
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录
 
3)  下一步
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录

4)在标准中添加login-server 选择telnet
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录
 
3)定义网络策略(认证与授权)
先定义名称下一步
指定Windows组(在AD中定义)
还要添加客户端友好名称
1)网络策略的概述,新建
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录

(2)这边需要添加客户端友好名称和windows组,组里面成员需要自己添加,作为后来telent连接的用户名和密码
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录

下一步
在EAP界面去掉微软下面的用户的勾,然后勾上CHAP和PAP
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录

下一步出现提示点否(点是跳出手册,毫无意义)
在radius属性中删掉原有配置添加Service-Type Login
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录

3.3,AD的设置添加用户组,再加入用户,用户的拨入属性改成NPS
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录

四、交换机radius配置
交换机的配置如下:
Ruijie#enable
Ruijie#configure terminal
Ruijie(config)#aaa new-model ------>开启AAA功能
Ruijie(config)#aaa domain enable ------>开启域名功能
Ruijie(config)#radius-server host 192.168.1.1 ------>配置radius IP
Ruijie(config)#radius-server key ruijie ------>配置与radius通信的key
Ruijie(config)#aaa authentication login ruijie group radius local ------>设置登入方法认证列表为ruijie,先用radius组认证,如果radius无法响应,将用本地用户名和密码登入
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login authentication ruijie ------>vty模式下应用login认证
Ruijie(config-line)#exit
Ruijie(config)#username admin password ruijie ------>配置本地用户名和密码
Ruijie(config)#enable password ruijie ------>配置enable密码
Ruijie(config)#service password-encryption ------>对密码进行加密,这样show run就是密文显示配置的密码
Ruijie(config)#aaa local authentication attempts 3 ------>配限制用户尝试次数为3次,如果3次输入对了用户名但是输错了密码,将会无法登入交换机
Ruijie(config)#aaa local authentication lockout-time 1 ------>如果无法登入后,需要等待1小时才能再次尝试登入系统
五、测试
5.1、登录堡垒机(登录方式有两种web、客户端)
1)方式1,登录堡垒机web界面 http://192.168.1.2
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录
输入aaa账号和密码即可
2)方式2,使用xshel、crt等客户端工具登录
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录
登录后的界面
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录
开源堡垒机+免费radius 统一管理网络设备telnet、ssh登录

注:
堡垒机不支持短的RSA,网络配置RSA秘钥时长度建议为1024以上。

转载于:https://blog.51cto.com/1194325/2300255

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小蓝xlanll/article/detail/546477
推荐阅读
相关标签
  

闽ICP备14008679号