Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

AAA Software

Frage Netzwerke Netzwerkmanagement

Mitglied: wiedenmann

wiedenmann (Level 1) - Jetzt verbinden

25.08.2010 um 12:15 Uhr, 3816 Aufrufe, 9 Kommentare

Cisco ACS 3.2 im Einsatz

Hallo Administratoren,

jeder der VPN verwaltet kennt sicher auch die AAA-Software ACS von Cisco.
Wir haben Version 3.2 im Einsatz.

Um an die neue Software zu kommen, braucht man einen Wartungsvertrag.

Jetzt meine Frage, welche Alternativen gibt es?
Ich will TACACS+ und RADIUS verwenden um VPN clients zu authorisieren via AD.
Mitglied: spacyfreak
25.08.2010 um 13:10 Uhr
Nichts einfacher als das - auf dem Domaincontroller einen IAS (bzw. NPS bei Server2008) installieren.
Vergiss ACS, ausser du hast zu viel Zeit.
tacacs+ macht eigentlich nur Sinn wenn man verschiedene Privilege Level auf Cisco Endgeräten verwenden will.
Irgendwie alles quatsch.

IAS installieren auf dem Server (Systemsteuer.... Software...).
IAS im AD registrieren.
Auf dem IAS Server den VPN Server als "Radiusclient" anlegen mit Radius-Secret (langes komplexes Passwort, z. B. Afua7'$§$$§afa#"§$§ASDFdfa1526465465afds16&"§$")
RAS-Policies konfigurieren (z. B. Windows Group Domain Users).
Auf dem VPN Server den IAS als Radius-Server anlegen, Radius-Secret angeben wie auf dem IAS.
läuft. Nach jeder Änderung der IAS Konfiguration den IAS Service neu starten damit die Änderungen eingelesen werden.
Notwendige Ports udp1812 bzw. udp1645

So, das wäre jetzt für Anmeldung mit Domain-Passwort.
ob man das für den Zugriff von extern für "sicher genug" hält ist Geschmackssache.
viele Firmen verwenden für sowas 2-faktor anmeldung (zb. mit RSA Token oder clientzertifikaten).
Bitte warten ..
Mitglied: wiedenmann
25.08.2010 um 13:27 Uhr
Ok danke erstmal.

Da ich einen win2008 Server verwenden will, muss ich NPS installieren ?
Wie registriere ich denn NPS am AD ?
hast du vielleicht eine step by step Anleitung ?
Bitte warten ..
Mitglied: spacyfreak
25.08.2010 um 13:34 Uhr
yo auch uber systemsteu...software...add windows komponents...network services glaub ich
registrieren via NPS Konsole
Start..ausführen... mmc.exe
snap in hinzufuegen ... nps
dann rechttsklick auf nps und "registrieren im AD".

hey, das ist in ca. 15min erlödigt.
Bitte warten ..
Mitglied: wiedenmann
25.08.2010 um 13:58 Uhr
ok danke.
Wie meinst du das mit dem Radiusclient anlegen ?
Kannst du das auch noch etwas genauer beschreiben ?
Bitte warten ..
Mitglied: spacyfreak
25.08.2010 um 14:05 Uhr
der radius arbeitet nur mit "radiusclients" zusammen, die bei ihm eingetragen sind.
der radiusclient ist quasi die IP von deinem VPN Server.
Auf radiusclient (vpnserver) und auf radius muss das selbe "radiussecret" eingetragen sein.
sonst könnt ja jeder kommen und deinen radiusserver zur authentisierung benutzen.
doch der arbeitet halt nur mit radiusclients zusammen die bei ihm eingetragen sind.


der radiusclient ist nicht der "client", also der enduser, sondern das Gerät, das mit dem radiusserver kommunizieren soll.
der Enduser kommuniziert NIE direkt mit dem Radiussrever



Client-------------VPN-Server----------radiusprotokoll---------Radius-Server------------ldap-------------AD
Bitte warten ..
Mitglied: wiedenmann
25.08.2010 um 16:54 Uhr
OK, in diesem Fall ist der VPN Server wohl meine Firewall, richtig ?
Denn dort ist VPN konfiguriert.
Und am Server01 sehe ich im IAS, das dort meine ASA der Radius client ist.

Richtig ?
Bitte warten ..
Mitglied: wiedenmann
26.08.2010 um 15:38 Uhr
Hi, ich habe jetzt folgendes gemacht:

1. NPS auf Win2008 installiert und bei AD registriert.
2. Radius client installiert.
3. VPN Server ist unsere ASA. Einstellungen AAA sind in ASA für neuen Server.

Und jetzt funktioniert VPN auch ohne ACS von Cisco ?
Bitte warten ..
Mitglied: spacyfreak
27.08.2010 um 14:53 Uhr
jo so wirds wohl sein.
sieht man was in den IAS (bzw. nps) eventlog wenn du dich am vpn server anzumelden versuchst?

Tip:
Network Monitor (sniffer) auf den Server, da kannst du während deiner tests die radiuspakete anschauen.
hilft beim begreifen und fehlersuche.
Bitte warten ..
Mitglied: wiedenmann
13.12.2010 um 18:26 Uhr
Die Lösung war ganz einfach.
Wir haben einfach RADIUS von Win 2008 verwendet und unsere ASA integriert.
Die AAA Software von Cisco ist nicht notwendig und kostet nur einen Haufen Geld.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

LAN, WAN, Wireless
Software für Backup oder Datensynchronisation über WAN gesucht (4)

Frage von Rubiks zum Thema LAN, WAN, Wireless ...

Drucker und Scanner
gelöst Scanner Software pls schnelle Hilfe (5)

Frage von TheScanner zum Thema Drucker und Scanner ...

Windows Userverwaltung
gelöst Ist tenfold eine Preiswerte Software? (4)

Frage von ALucaK zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...