Какой протокол аутентификации наиболее применим для маршрутизаторов cisco, juniper?
Доброго времени суток, ВСЕМ!
Есть такая задача:
Дано:
1) 10-15 маршрутизаторов cisco, juniper
2) серверное ПО Astra Linux
Задача для защиты диплома: обеспечить аутентификацию всех цисок через сервер аутентификации(Astra Linux), т.е. AAA модель.
Я уже накатил туда freeradius, web-морду прикрутил, немного РУСИФИЦИРОВАЛ и ПЕРЕДЕЛАЛ, все работает... вроде задача выполнена, но есть одно но.. Оказывается циска поддерживает не только radius и tacacs, а еще и ldap и kerberos. И я вот думаю стоит ли напрягаться и попытаться сделать аутентификацию через сервер по протоколу LDAP и kerberos, т е в роли клиента у нас выступает циска, в роли сервера аутентификации Astra linux. ВОПРОС: Кто-то из вас настраивал удаленную аутентификацию для маршрутизаторов cisco через LDAP или Kerberos и стоит ЛИ оно того? Или ЖЕ Вы всегда использовали Radius или Tacacs???
обеспечить аутентификацию всех цисок через сервер аутентификации(Astra Linux), т.е. AAA модель
А для каких целей производится аутентификация? Для управления оборудованием или для предоставления доступа к сети?
Нужна только аутентификация? Авторизация и учёт уже сделаны?
Вообще для доступа к управлению мелкие используют радиус, крупные - такакс. Такакс лучше в плане разделения авторизации и аутентификации. То есть в рамках уже аутентифицированной сессии вы можете вбивать разные команды, проверка прав на запуск которых будет проверяться на сервере. А уже за такаксом стоит какой-то другой бэкэнд в виде базы данных или Active Directory. На сетевом оборудовании обычно никто не настраивает прямую аутентификацию в AD или керберос по причине того, что протоколы слабо специфицированы, да и мало какое оборудование их поддерживает.
Стоит ли вам делать это для диплома кроме вас никто не знает. Но вообще сомнительная тема для защиты в учебном заведении.
А для каких целей производится аутентификация? Для управления оборудованием или для предоставления доступа к сети?
Аутентификация исключительно для управления оборудования(чтобы вся информация о пользователях(администраторах цисок) и клиентах(самих цисках) хранилась на централизованном сервере).
Нужна только аутентификация? Авторизация и учёт уже сделаны?
Я доустановил на Astra Linux пакеты freeradius, связал с БД mysql, и веб оболочкой Daloradius. Аутентификация проходит через сервер. Авторизацию я настраиваю за счёт уровня привелегий от 1 до 7. А ВОТ УЧЕТ СОБЫТИЙ очень скромный(Выводятся только попытки входа определенных пользователей: т.е. запрет или разрешения входа, т.е. никаких логов). И я правильно понимаю, что КАСАЕМО УЧЕТА СОБЫТИЙ более подробно данную систему не настроить?
Вообще для доступа к управлению мелкие используют радиус, крупные - такакс.
Такакс это проприетарный протокол, и отрытого кода я так и не нашел. А у РАДИУСа есть хорошее комьюнити и достаточно реализаций. Я это так аргументировал, и что астра нуждается в расширении своих официальных репозиториев, и данный пакет freeradius - это достойный кандидат для обеспечения централизованной аутентификации на сетевых устройствах.
Стоит ли вам делать это для диплома кроме вас никто не знает. Но вообще сомнительная тема для защиты в учебном заведении.
Я не стал, брать темы связанные с написанием программ на коленке, ибо понимаю что это кровь во мне сугубо администрирующая а не разработчика.
И я правильно понимаю, что КАСАЕМО УЧЕТА СОБЫТИЙ более подробно данную систему не настроить?
Обычно аккаунтинг используется для доступа к среде. Для управления просто логируют введённые команды средствами syslog. Что там ещё учитывать?
Такакс это проприетарный протокол, и отрытого кода я так и не нашел.
Плохо искали. Достаточно вбить в поиске tacacs Linux. Даже на хабре статьи есть. Такакс лучше, если вам надо дружить аутентификацию с внешними источниками учетных записей (например, LDAP).
Валентин, открыли мне ГЛАЗА! Спасибо, нашёл хорошую реализацию Tacacs - TacacsGUI. Вы сталкивались с данным продуктом? Также нашел информацию про NOC Project, но у нее очень много функций, по сложности для меня ассоциации с кубернетесем, когда я посмотрел про NOC. Можно ли использовать NOC Project как службу ААА, Вы не работали с NOC?
petrovkazanksvu1, работал с noc в 2012м, но не как с радиусом. Обычный радиус для авторизации мало интересен. Нужно решение, интегрируемое с внешними базами данных (LDAP или другой Identity Manager).