/u/127821/Correcte.png?f=community)
Probleem:
De Cisco Firewall gebruikt dezelfde login (Active Directory gebruiker) voor het aanmelden en om in de “global configuration mode” te komen.
Achtergrond:
We hebben meerdere Cisco netwerk aparaten die gebruik maken van RADIUS om gebruikers aan te melden. We gebruiken Windows 2008 R2 met NPS gelinkt aan Active Directory. De switches zijn precies zoals we het hebben willen. De eerste login geeft je toegang tot het apparaat met enkel lees rechten. Wanneer het “enable” commando gebruikt wordt het wachtwoord gevraagd van een account genaamd Enable in Active Directory.
Switches:
Username:domain-username
Password:domain-password
SWITCH>enable
Password:enable-password-in-Active-Directory
SWITCH#
Firewalls:
Username:domain-username
Password:domain-password
FIREWALL>enable
Password:domain-password
FIREWALL #
Met de firewalls is het echter aan ander verhaal. Hoewel ze hetzelfde zijn geconfigureerd werkt het niet zoals we willen. De eerste login geeft toegang tot de firewall maar wanneer het “enable” commando gebruikt wordt dan wordt er gevraagd om het wachtwoord van de gebruiker die is ingelogd en niet van het “Enable” account. De huidige configuratie ziet eruit als volgt:
Huidige configuratie voor de switch:
aaa new-model
aaa authentication login default group radius local
aaa authentication enable default group radius enable
aaa authorization exec default group radius local
aaa session-id common
radius-server host 192.168.0.1 auth-port 1645 acct-port 1646
radius-server source-ports 1645-1646
radius-server key 7 1234abcd
Huidige configuratie voor de firewall:
aaa-server DC01 protocol radius
aaa-server DC01 (outside) host 192.168.0.1
aaa authentication ssh console DC01 LOCAL
aaa authentication enable console DC01 LOCAL
key 1234abcd
De firewalls zijn allen van Cisco maar zijn verschillende typen.
Wat kan de oorzaak zijn dat de switches wel werken met dezelfde configuratie als de firewalls maar de firewalls niet?
Korte opsomming:
Switch: we loggen in met onze domain account en wanneer we het commando Enable gebruiken wordt het wachtwoord gevraagd van het Enable account in Active Directory.
Firewall: we loggen in met onze domain account en wanneer we het commando Enable gebruiken wordt het wachtwoord gevraagd van het account waarmee we zijn ingelogd. Dit laatste moet worden gewijzigd zodat het wachtwoord wordt gevraagd van het Enable account.
De Cisco Firewall gebruikt dezelfde login (Active Directory gebruiker) voor het aanmelden en om in de “global configuration mode” te komen.
Achtergrond:
We hebben meerdere Cisco netwerk aparaten die gebruik maken van RADIUS om gebruikers aan te melden. We gebruiken Windows 2008 R2 met NPS gelinkt aan Active Directory. De switches zijn precies zoals we het hebben willen. De eerste login geeft je toegang tot het apparaat met enkel lees rechten. Wanneer het “enable” commando gebruikt wordt het wachtwoord gevraagd van een account genaamd Enable in Active Directory.
Switches:
Username:domain-username
Password:domain-password
SWITCH>enable
Password:enable-password-in-Active-Directory
SWITCH#
Firewalls:
Username:domain-username
Password:domain-password
FIREWALL>enable
Password:domain-password
FIREWALL #
Met de firewalls is het echter aan ander verhaal. Hoewel ze hetzelfde zijn geconfigureerd werkt het niet zoals we willen. De eerste login geeft toegang tot de firewall maar wanneer het “enable” commando gebruikt wordt dan wordt er gevraagd om het wachtwoord van de gebruiker die is ingelogd en niet van het “Enable” account. De huidige configuratie ziet eruit als volgt:
Huidige configuratie voor de switch:
aaa new-model
aaa authentication login default group radius local
aaa authentication enable default group radius enable
aaa authorization exec default group radius local
aaa session-id common
radius-server host 192.168.0.1 auth-port 1645 acct-port 1646
radius-server source-ports 1645-1646
radius-server key 7 1234abcd
Huidige configuratie voor de firewall:
aaa-server DC01 protocol radius
aaa-server DC01 (outside) host 192.168.0.1
aaa authentication ssh console DC01 LOCAL
aaa authentication enable console DC01 LOCAL
key 1234abcd
De firewalls zijn allen van Cisco maar zijn verschillende typen.
Wat kan de oorzaak zijn dat de switches wel werken met dezelfde configuratie als de firewalls maar de firewalls niet?
Korte opsomming:
Switch: we loggen in met onze domain account en wanneer we het commando Enable gebruiken wordt het wachtwoord gevraagd van het Enable account in Active Directory.
Firewall: we loggen in met onze domain account en wanneer we het commando Enable gebruiken wordt het wachtwoord gevraagd van het account waarmee we zijn ingelogd. Dit laatste moet worden gewijzigd zodat het wachtwoord wordt gevraagd van het Enable account.
Het leven is als een medaille, het heeft een glimmende en een donkere kant.
/u/96077/crop5b8d7c89bae9d_cropped.png?f=community)
