Какой протокол аутентификации наиболее применим для маршрутизаторов cisco, juniper?

Question

[petrovkazanksvu1]

Доброго времени суток, ВСЕМ!
Есть такая задача:
Дано:
1) 10-15 маршрутизаторов cisco, juniper
2) серверное ПО Astra Linux
Задача для защиты диплома: обеспечить аутентификацию всех цисок через сервер аутентификации(Astra Linux), т.е. AAA модель.
Я уже накатил туда freeradius, web-морду прикрутил, немного РУСИФИЦИРОВАЛ и ПЕРЕДЕЛАЛ, все работает... вроде задача выполнена, но есть одно но.. Оказывается циска поддерживает не только radius и tacacs, а еще и ldap и kerberos. И я вот думаю стоит ли напрягаться и попытаться сделать аутентификацию через сервер по протоколу LDAP и kerberos, т е в роли клиента у нас выступает циска, в роли сервера аутентификации Astra linux.
ВОПРОС: Кто-то из вас настраивал удаленную аутентификацию для маршрутизаторов cisco через LDAP или Kerberos и стоит ЛИ оно того? Или ЖЕ Вы всегда использовали Radius или Tacacs???

Answer 1

[Валентин]

обеспечить аутентификацию всех цисок через сервер аутентификации(Astra Linux), т.е. AAA модель

• А для каких целей производится аутентификация? Для управления оборудованием или для предоставления доступа к сети?
  
• Нужна только аутентификация? Авторизация и учёт уже сделаны?
  

Вообще для доступа к управлению мелкие используют радиус, крупные - такакс. Такакс лучше в плане разделения авторизации и аутентификации. То есть в рамках уже аутентифицированной сессии вы можете вбивать разные команды, проверка прав на запуск которых будет проверяться на сервере. А уже за такаксом стоит какой-то другой бэкэнд в виде базы данных или Active Directory. На сетевом оборудовании обычно никто не настраивает прямую аутентификацию в AD или керберос по причине того, что протоколы слабо специфицированы, да и мало какое оборудование их поддерживает.

Стоит ли вам делать это для диплома кроме вас никто не знает. Но вообще сомнительная тема для защиты в учебном заведении.

Comments

[petrovkazanksvu1]

А для каких целей производится аутентификация? Для управления оборудованием или для предоставления доступа к сети?

Аутентификация исключительно для управления оборудования(чтобы вся информация о пользователях(администраторах цисок) и клиентах(самих цисках) хранилась на централизованном сервере).

Нужна только аутентификация? Авторизация и учёт уже сделаны?

Я доустановил на Astra Linux пакеты freeradius, связал с БД mysql, и веб оболочкой Daloradius. Аутентификация проходит через сервер. Авторизацию я настраиваю за счёт уровня привелегий от 1 до 7. А ВОТ УЧЕТ СОБЫТИЙ очень скромный(Выводятся только попытки входа определенных пользователей: т.е. запрет или разрешения входа, т.е. никаких логов). И я правильно понимаю, что КАСАЕМО УЧЕТА СОБЫТИЙ более подробно данную систему не настроить?

Вообще для доступа к управлению мелкие используют радиус, крупные - такакс.

Такакс это проприетарный протокол, и отрытого кода я так и не нашел. А у РАДИУСа есть хорошее комьюнити и достаточно реализаций. Я это так аргументировал, и что астра нуждается в расширении своих официальных репозиториев, и данный пакет freeradius - это достойный кандидат для обеспечения централизованной аутентификации на сетевых устройствах.

Стоит ли вам делать это для диплома кроме вас никто не знает. Но вообще сомнительная тема для защиты в учебном заведении.

Я не стал, брать темы связанные с написанием программ на коленке, ибо понимаю что это кровь во мне сугубо администрирующая а не разработчика.

БЛАГОДАРЮ ЗА РАЗВЕРНУТЫЙ ОТВЕТ!

[Валентин]

petrovkazanksvu1,

И я правильно понимаю, что КАСАЕМО УЧЕТА СОБЫТИЙ более подробно данную систему не настроить?

Обычно аккаунтинг используется для доступа к среде. Для управления просто логируют введённые команды средствами syslog. Что там ещё учитывать?

Такакс это проприетарный протокол, и отрытого кода я так и не нашел.

Плохо искали. Достаточно вбить в поиске tacacs Linux. Даже на хабре статьи есть. Такакс лучше, если вам надо дружить аутентификацию с внешними источниками учетных записей (например, LDAP).

[petrovkazanksvu1]

Валентин, открыли мне ГЛАЗА! Спасибо, нашёл хорошую реализацию Tacacs - TacacsGUI. Вы сталкивались с данным продуктом? Также нашел информацию про NOC Project, но у нее очень много функций, по сложности для меня ассоциации с кубернетесем, когда я посмотрел про NOC. Можно ли использовать NOC Project как службу ААА, Вы не работали с NOC?

[Валентин]

petrovkazanksvu1, работал с noc в 2012м, но не как с радиусом. Обычный радиус для авторизации мало интересен. Нужно решение, интегрируемое с внешними базами данных (LDAP или другой Identity Manager).

Answer 2

[Владимир Коротенко]

LDAP или Kerberos

Это все же виндовые решения (я знаю что нет, но в этой области) Так что думайте сами

Comments

[petrovkazanksvu1]

Linux поддерживает LDAP и Kerberos, это же непроприетарные протоколы.

[Владимир Коротенко]

petrovkazanksvu1, Вы при случае посмотрите куда это нацелено. Актуальных продуктов с этими технологиями нет кроме одной компании.

А вот эта компания забавно чудит внося всякие "вкусности" и "свое видение".
В общем квест еще тот, при всей моей любви к продукции этой компании.

[petrovkazanksvu1]

Вы про Microsoft я правильно понимаю?) Если да, то я не рассматриваю Windows как серверную платформу..

[Владимир Коротенко]

petrovkazanksvu1, Хм а бизнес рассматривает. В общем с такой позицией, вы упускаете значительную часть рынка.

Например я сейчас работаю над забавным набором:

SAP R3 / Azure / Dynamics 365 / SharePoint 365

Как видите тут и Oracle и MS SQL и AAD все вместе живет.