PDF 下载中心 配置 Cisco 路由器使用活动目录验证 配置 Windows 活动目录验证登陆路由器 在使用 Windows 的公司中, 雇员们每天都使用他们的活动目录用户名和口令来使用自己的 电脑 那么, 为什么在路由器上你就要使用不同的信任呢? 其实你不需要 你可以直接 使用 Windows 的活动目录数据库来登录你的 Cisco 路由器和交换机 本文中我将会解释如何在你的路由器以及交换机上配置活动目录验证 上一次, 我教你了如 何安装, 配置, 以及调试 Windows 的 IAS( 互联网认证服务 ) 下面我们将会继续本教程, 并解释如何配置你的路由器和交换机, 以使用活动目录认证 在开始之前, 首先复习一下本文的前提条件 我们假设, 你已经将你的路由器或者交换机连接到了局域网上, 启用了它的局域网接口, 并在该局域网端口上获得了一个 IP 地址 如果存取这台交换机或者路由器是需要通过一个路由网络的话, 那么它还需要一个配置好的默认网关 就本文而言, 我使用了一台 Cisco 871W 路由器, 它运行 Cisco IOS 软件,C870 软件 (C870-ADVIPSERVICESK9-M), 版本 12.4(4)XC2, RELEASE SOFTWARE (fc1) 特 别的, 它有这个 IOS 文件 : c870-advipservicesk9-mz.124-4.xc2. 这个路由器有一个 VLAN1, 是 4 个局域网以太端口默认共享的 这就是我配置自己 IP 地 址的地方, 如下所示 : interface Vlan1 ip address 192.168.1.100 255.255.255.0 interface FastEthernet0 no shutdown 配置路由器或交换机 虽然我是在使用一台 Cisco 871W 路由器, 但你也可以使用一台 Cisco 交换机, 其配置过程 是类似的 你甚至可以在 Cisco PIX 防火墙或者 ASA 设备上配置这种类型的 RADIUS 认 证 要想为了管理的目的, 配置一台路由器或者交换机来和 Windows IAS RADIUS 服务器交谈, 以便认证登录, 首先应当确认你已经启用了一个秘密口令, 如下所示 : enable secret 5 Secret!Pass1 然后, 配置路由器用于 RADIUS 认证 表格 A 提供了一个示例 Page 1 of 5
PDF 下载中心在这个示例中,IP 地址就是我们的 Windows IAS RADIUS 服务器的 IP 地址, 而 Key 就是我们在 IAS 服务器上配置 RADIUS 客户端时所输入的 Key 另外, 我们已经配置了源端口, 以确保 RADIUS 服务器的 IP 地址和我们在 IAS 中所配置的 RADIUS 客户端 IP 地址相符 我们同样也配置了一个认证列表, 叫做 TRAuthList 虽然你可以使用默认的认证列表, 但 是我不推荐你这么做 默认列表会自动应用于所有登录设备, 包括控制台 所以, 如果 RADIUS 认证不能通过的话, 可能会导致同时将你锁于控制台之外 我也建议配置一个本地用户名 / 口令, 以备 RADIUS 服务器万一不可用, 而你又需要存取网 络设备时使用 因为我们使用了登录认证模式覆盖本地, 所以如果 RADIUS 服务器瘫痪的 话, 那么路由器也无法回归本地认证服务器 这里是如何配置一个本地用户 : R1-871W(config)# user netadmin pass secretpass1 下一步, 我们需要使用我们建立的认证列表来配置所有的线路 就本例而言, 我们使用了普 通的 5 条线路 (0 到 4), 但是你的设备可能会有更多线路 这里是一个示例 : R1-871W(config)# line vty 0 4 R1-871W(config-line)# login authentication TRAuthList 在这一点上, 如果我们使用 Telnet 连接路由器或者交换机, 那么 Windows 活动目录认证 就会生效 不过, 基于安全方面的理由, 我推荐使用 SSH 来替代 Telnet, 所以我们还需要 配置 SSH 首先确保我们已经在路由器上有了主机名 这里是一个示例 : Router(config)# hostname R1-871W 然后, 确保已经配置了一个 IP 域名 这里是一个示例 : R1-871W(config)# ip domain-name TechRepublic.com 下一步, 生成加密 key, 如下所示, 并以默认设置回答所有问题 R1-871W(config)# crypto key generate rsa 最后, 限定 VTY 线路只能使用 SSH 而不是 Telnet 这里是一个示例 : R1-871W(config)# Line vty 0 4 R1-871W(config-line)# Transport input ssh 测试配置 Page 2 of 5
PDF 下载中心我推荐离开控制台或者其他现存到路由器的连接, 直到你能确认新配置工作生效为止 另外, 除非你确认它已经正常起作用了, 否则不要保存配置 如果它不起作用, 你总是可以移除它, 或者重启设备, 以恢复先前的配置 要测试新配置, 我会使用 SecureCRT 连接到路由器上, 但你也可以使用 PuTTY, 这是免费 的 图 A 显示了会话选项 新对话框, 显示了我的连接设置 注意是 SSH1 协议, 而不 是 SSH2 图 A 注意我们用的是 SSH1, 而不是 SSH2 图 B 显示的是输入用户名对话框, 我通过它, 用我的 Windows 用户名进行登录 Page 3 of 5
PDF 下载中心 通过它, 我成功的连接上了, 如图 C 所示 我使用 show users 命令来确认这的确是我 图 C 使用 show users 命令, 显示了一个成功的连接 调试配置 如果要在这个复杂配置上的 Cisco IOS 端进行调试, 使用 debug 命令以及 test 命令是较好 的选择 这里是一个示例 : Router# debug aaa authentication AAA Authentication debugging is on Router# debug aaa authentication Radius protocol debugging is on Radius protocol brief debugging is off Radius protocol verbose debugging is off Radius packet hex dump debugging is off Radius packet protocol (authentication) debugging is on Radius packet protocol (accounting) debugging is off Radius packet retransmission debugging is off Radius server fail-over debugging is off Router# Router# test aaa group radius ddavis MyPass1 port 1645 new-code Page 4 of 5
PDF 下载中心除了使用 IAS 记录文件这种方式外 ( 我在上文中讨论过的方式 ), 这种方法让你可以看到配置两端背后的进行情况 ( 路由器或者交换机, 以及 RADIUS 服务器 ) 如果你碰到了一个不认识的错误信息, 那么不妨去网页上搜索看看 很可能别人已经碰到过这种问题, 从而能为你指点迷津 Page 5 of 5