Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

AAA Software

Frage Netzwerke Netzwerkmanagement

Mitglied: wiedenmann

wiedenmann (Level 1) - Jetzt verbinden

25.08.2010 um 12:15 Uhr, 3836 Aufrufe, 9 Kommentare

Cisco ACS 3.2 im Einsatz

Hallo Administratoren,

jeder der VPN verwaltet kennt sicher auch die AAA-Software ACS von Cisco.
Wir haben Version 3.2 im Einsatz.

Um an die neue Software zu kommen, braucht man einen Wartungsvertrag.

Jetzt meine Frage, welche Alternativen gibt es?
Ich will TACACS+ und RADIUS verwenden um VPN clients zu authorisieren via AD.
Mitglied: spacyfreak
25.08.2010 um 13:10 Uhr
Nichts einfacher als das - auf dem Domaincontroller einen IAS (bzw. NPS bei Server2008) installieren.
Vergiss ACS, ausser du hast zu viel Zeit.
tacacs+ macht eigentlich nur Sinn wenn man verschiedene Privilege Level auf Cisco Endgeräten verwenden will.
Irgendwie alles quatsch.

IAS installieren auf dem Server (Systemsteuer.... Software...).
IAS im AD registrieren.
Auf dem IAS Server den VPN Server als "Radiusclient" anlegen mit Radius-Secret (langes komplexes Passwort, z. B. Afua7'$§$$§afa#"§$§ASDFdfa1526465465afds16&"§$")
RAS-Policies konfigurieren (z. B. Windows Group Domain Users).
Auf dem VPN Server den IAS als Radius-Server anlegen, Radius-Secret angeben wie auf dem IAS.
läuft. Nach jeder Änderung der IAS Konfiguration den IAS Service neu starten damit die Änderungen eingelesen werden.
Notwendige Ports udp1812 bzw. udp1645

So, das wäre jetzt für Anmeldung mit Domain-Passwort.
ob man das für den Zugriff von extern für "sicher genug" hält ist Geschmackssache.
viele Firmen verwenden für sowas 2-faktor anmeldung (zb. mit RSA Token oder clientzertifikaten).
Bitte warten ..
Mitglied: wiedenmann
25.08.2010 um 13:27 Uhr
Ok danke erstmal.

Da ich einen win2008 Server verwenden will, muss ich NPS installieren ?
Wie registriere ich denn NPS am AD ?
hast du vielleicht eine step by step Anleitung ?
Bitte warten ..
Mitglied: spacyfreak
25.08.2010 um 13:34 Uhr
yo auch uber systemsteu...software...add windows komponents...network services glaub ich
registrieren via NPS Konsole
Start..ausführen... mmc.exe
snap in hinzufuegen ... nps
dann rechttsklick auf nps und "registrieren im AD".

hey, das ist in ca. 15min erlödigt.
Bitte warten ..
Mitglied: wiedenmann
25.08.2010 um 13:58 Uhr
ok danke.
Wie meinst du das mit dem Radiusclient anlegen ?
Kannst du das auch noch etwas genauer beschreiben ?
Bitte warten ..
Mitglied: spacyfreak
25.08.2010 um 14:05 Uhr
der radius arbeitet nur mit "radiusclients" zusammen, die bei ihm eingetragen sind.
der radiusclient ist quasi die IP von deinem VPN Server.
Auf radiusclient (vpnserver) und auf radius muss das selbe "radiussecret" eingetragen sein.
sonst könnt ja jeder kommen und deinen radiusserver zur authentisierung benutzen.
doch der arbeitet halt nur mit radiusclients zusammen die bei ihm eingetragen sind.


der radiusclient ist nicht der "client", also der enduser, sondern das Gerät, das mit dem radiusserver kommunizieren soll.
der Enduser kommuniziert NIE direkt mit dem Radiussrever



Client-------------VPN-Server----------radiusprotokoll---------Radius-Server------------ldap-------------AD
Bitte warten ..
Mitglied: wiedenmann
25.08.2010 um 16:54 Uhr
OK, in diesem Fall ist der VPN Server wohl meine Firewall, richtig ?
Denn dort ist VPN konfiguriert.
Und am Server01 sehe ich im IAS, das dort meine ASA der Radius client ist.

Richtig ?
Bitte warten ..
Mitglied: wiedenmann
26.08.2010 um 15:38 Uhr
Hi, ich habe jetzt folgendes gemacht:

1. NPS auf Win2008 installiert und bei AD registriert.
2. Radius client installiert.
3. VPN Server ist unsere ASA. Einstellungen AAA sind in ASA für neuen Server.

Und jetzt funktioniert VPN auch ohne ACS von Cisco ?
Bitte warten ..
Mitglied: spacyfreak
27.08.2010 um 14:53 Uhr
jo so wirds wohl sein.
sieht man was in den IAS (bzw. nps) eventlog wenn du dich am vpn server anzumelden versuchst?

Tip:
Network Monitor (sniffer) auf den Server, da kannst du während deiner tests die radiuspakete anschauen.
hilft beim begreifen und fehlersuche.
Bitte warten ..
Mitglied: wiedenmann
13.12.2010 um 18:26 Uhr
Die Lösung war ganz einfach.
Wir haben einfach RADIUS von Win 2008 verwendet und unsere ASA integriert.
Die AAA Software von Cisco ist nicht notwendig und kostet nur einen Haufen Geld.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
gelöst TeamViewer mit Software Restriction Policy (9)

Frage von geocast zum Thema Windows Userverwaltung ...

Windows Netzwerk
Software-Verteilung für 10 Rechner (6)

Frage von libaum2 zum Thema Windows Netzwerk ...

Backup
Backup-Software für IIS und MS SQL (2)

Frage von Ravelux zum Thema Backup ...

Voice over IP
gelöst Yealink CTI Wähl Software Callto Protokoll (1)

Frage von Maffi zum Thema Voice over IP ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte