Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

AAA Software

Frage Netzwerke Netzwerkmanagement

Mitglied: wiedenmann

wiedenmann (Level 1) - Jetzt verbinden

25.08.2010 um 12:15 Uhr, 3830 Aufrufe, 9 Kommentare

Cisco ACS 3.2 im Einsatz

Hallo Administratoren,

jeder der VPN verwaltet kennt sicher auch die AAA-Software ACS von Cisco.
Wir haben Version 3.2 im Einsatz.

Um an die neue Software zu kommen, braucht man einen Wartungsvertrag.

Jetzt meine Frage, welche Alternativen gibt es?
Ich will TACACS+ und RADIUS verwenden um VPN clients zu authorisieren via AD.
Mitglied: spacyfreak
25.08.2010 um 13:10 Uhr
Nichts einfacher als das - auf dem Domaincontroller einen IAS (bzw. NPS bei Server2008) installieren.
Vergiss ACS, ausser du hast zu viel Zeit.
tacacs+ macht eigentlich nur Sinn wenn man verschiedene Privilege Level auf Cisco Endgeräten verwenden will.
Irgendwie alles quatsch.

IAS installieren auf dem Server (Systemsteuer.... Software...).
IAS im AD registrieren.
Auf dem IAS Server den VPN Server als "Radiusclient" anlegen mit Radius-Secret (langes komplexes Passwort, z. B. Afua7'$§$$§afa#"§$§ASDFdfa1526465465afds16&"§$")
RAS-Policies konfigurieren (z. B. Windows Group Domain Users).
Auf dem VPN Server den IAS als Radius-Server anlegen, Radius-Secret angeben wie auf dem IAS.
läuft. Nach jeder Änderung der IAS Konfiguration den IAS Service neu starten damit die Änderungen eingelesen werden.
Notwendige Ports udp1812 bzw. udp1645

So, das wäre jetzt für Anmeldung mit Domain-Passwort.
ob man das für den Zugriff von extern für "sicher genug" hält ist Geschmackssache.
viele Firmen verwenden für sowas 2-faktor anmeldung (zb. mit RSA Token oder clientzertifikaten).
Bitte warten ..
Mitglied: wiedenmann
25.08.2010 um 13:27 Uhr
Ok danke erstmal.

Da ich einen win2008 Server verwenden will, muss ich NPS installieren ?
Wie registriere ich denn NPS am AD ?
hast du vielleicht eine step by step Anleitung ?
Bitte warten ..
Mitglied: spacyfreak
25.08.2010 um 13:34 Uhr
yo auch uber systemsteu...software...add windows komponents...network services glaub ich
registrieren via NPS Konsole
Start..ausführen... mmc.exe
snap in hinzufuegen ... nps
dann rechttsklick auf nps und "registrieren im AD".

hey, das ist in ca. 15min erlödigt.
Bitte warten ..
Mitglied: wiedenmann
25.08.2010 um 13:58 Uhr
ok danke.
Wie meinst du das mit dem Radiusclient anlegen ?
Kannst du das auch noch etwas genauer beschreiben ?
Bitte warten ..
Mitglied: spacyfreak
25.08.2010 um 14:05 Uhr
der radius arbeitet nur mit "radiusclients" zusammen, die bei ihm eingetragen sind.
der radiusclient ist quasi die IP von deinem VPN Server.
Auf radiusclient (vpnserver) und auf radius muss das selbe "radiussecret" eingetragen sein.
sonst könnt ja jeder kommen und deinen radiusserver zur authentisierung benutzen.
doch der arbeitet halt nur mit radiusclients zusammen die bei ihm eingetragen sind.


der radiusclient ist nicht der "client", also der enduser, sondern das Gerät, das mit dem radiusserver kommunizieren soll.
der Enduser kommuniziert NIE direkt mit dem Radiussrever



Client-------------VPN-Server----------radiusprotokoll---------Radius-Server------------ldap-------------AD
Bitte warten ..
Mitglied: wiedenmann
25.08.2010 um 16:54 Uhr
OK, in diesem Fall ist der VPN Server wohl meine Firewall, richtig ?
Denn dort ist VPN konfiguriert.
Und am Server01 sehe ich im IAS, das dort meine ASA der Radius client ist.

Richtig ?
Bitte warten ..
Mitglied: wiedenmann
26.08.2010 um 15:38 Uhr
Hi, ich habe jetzt folgendes gemacht:

1. NPS auf Win2008 installiert und bei AD registriert.
2. Radius client installiert.
3. VPN Server ist unsere ASA. Einstellungen AAA sind in ASA für neuen Server.

Und jetzt funktioniert VPN auch ohne ACS von Cisco ?
Bitte warten ..
Mitglied: spacyfreak
27.08.2010 um 14:53 Uhr
jo so wirds wohl sein.
sieht man was in den IAS (bzw. nps) eventlog wenn du dich am vpn server anzumelden versuchst?

Tip:
Network Monitor (sniffer) auf den Server, da kannst du während deiner tests die radiuspakete anschauen.
hilft beim begreifen und fehlersuche.
Bitte warten ..
Mitglied: wiedenmann
13.12.2010 um 18:26 Uhr
Die Lösung war ganz einfach.
Wir haben einfach RADIUS von Win 2008 verwendet und unsere ASA integriert.
Die AAA Software von Cisco ist nicht notwendig und kostet nur einen Haufen Geld.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Tools
Netzwerkkarte pro Software bestimmen (19)

Frage von SirTobi27 zum Thema Windows Tools ...

Backup
Empfehlung Backup-Software für Server 2012R2 (12)

Frage von MartinL zum Thema Backup ...

Microsoft
Wo kauft ihr ältere Microsoft-Software? (5)

Frage von rudeboy zum Thema Microsoft ...

Backup
gelöst Backup-Software (privat) (7)

Frage von Domain-Jane zum Thema Backup ...

Heiß diskutierte Inhalte
Zusammenarbeit
Als Administrator im Großraumbüro (30)

Frage von Dopamin85 zum Thema Zusammenarbeit ...

Hardware
Laptop ins Salzwasser gefallen (18)

Frage von Marcel94 zum Thema Hardware ...

Hardware
Lenovo Yoga 500 über angeschlossene USB Tastatur booten (13)

Frage von thomasreischer zum Thema Hardware ...

CPU, RAM, Mainboards
Hardware Fragen (12)

Frage von xaver-2 zum Thema CPU, RAM, Mainboards ...