堡垒机Jumpserver与radius管理网络安全设备
一、目的
通过开源堡垒机Jumpserver与radius服务器管理网络设备可以实现以下功能:
1、ssh、telnet登录网络设备的账户统一在radius进行,方便定期修改密码、账户删减;
2、通过堡垒机登录设备能控制权限、资源,并且有操作记录,符合安全等报;
二、安装步骤
21 开源堡垒机Jumpserver安装
可以参考jumperserver官网安装步骤;
22、radius服务器安装
radius可以使用Windows的NPS(Network Policy Server )或者是freeradius。
本次使用Windows server 2008安装NPS
23 交换机配置
Ruijie#enable
Ruijie#configure terminal
Ruijie(config)#aaa new-model ------>开启AAA功能
Ruijie(config)#aaa domain enable ------>开启域名功能
Ruijie(config)#radius-server host XXXX------>配置radius IP
Ruijie(config)#radius-server key RADIUS ------>配置与radius通信的key
Ruijie(config)#aaa authentication login radius group radius local ------>设置登入方法认证列表为ruijie,先用radius组认证,如果radius无法响应,将用本地用户名和密码登入
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login authentication radius ------>vty模式下应用login认证
Ruijie(config-line)#exit
Ruijie(config)#username admin password ruijie ------>配置本地用户名和密码
Ruijie(config)#enable password ruijie ------>配置enable密码
Ruijie(config)#service password-encryption ------>对密码进行加密,这样show run就是密文显示配置的密码
Ruijie(config)#aaa local authentication attempts 3 ------>配限制用户尝试次数为3次,如果3次输入对了用户名但是输错了密码,将会无法登入交换机
Ruijie(config)#aaa local authentication lockout-time 1 ------>如果无法登入后,需要等待1小时才能再次尝试登入系统
注:锐捷交换机3760设备型号较老旧,使用ip domain-lookup
22 ssh配置
1)开启交换机的web服务功能
Ruijie#configure terminal
Ruijie(config)#enable service ssh-server
2) 生成加密密钥:
Ruijie(config)#crypto key generate dsa ------>加密方式有两种:DSA和RSA,可以随意选择
Choose the size of the key modulus in the range of 360 to 2048 for your
Signature Keys Choosing a key modulus greater than 512 may take
a few minutes
How many bits in the modulus [512]: 1024 ------>输入1024直接敲回车
% Generating 512 bit DSA keys [ok]
注:Jumpserver管理网络设备建议使用ssh方式,同时交换机、路由器、防火墙等网络安全设备创建ssh秘钥长度一定要大于1024
该认证意思是指在其服务器上,客户端发送的认证请求在一定的时间内没有得到服务器的响应。
Radius认证超时是指在Radius服务器上,客户端发送的认证请求在一定的时间内没有得到服务器的响应,就会出现超时。
对于这种情况通常是由于网络故障、Radius服务器性能不佳或者其他原因导致的。
要打开“ISA 服务器管理”,请单击“开始”,依次指向“所有程序”、“Microsoft ISA Server”,然后单击“ISA 服务器管理”。 当为 RADIUS 身份验证配置 ISA 服务器时,RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象。 共享机密用于验证 RADIUS 消息(Access-Request 消息除外)是否是配置了相同的共享机密且启用了 RADIUS 的设备发送的。 请务必更改 RADISU 服务器上的默认预共享密钥。 配置强共享密钥,并经常更改,以防止词典攻击。强共享机密是一串很长(超过 22 个字符)的随机字母、数字和标点符号。 如果选择“总是使用消息验证程序”,请确保 RADIUS 服务器能够接收并配置为接收消息验证程序。 对于 *** 客户端,可扩展的身份验证协议(EAP) 消息始终是随同消息验证程序一起发送的。对于 Web 代理客户端,将仅使用密码身份验证协议 (PAP)。 如果 RADIUS 服务器运行了 Internet 身份验证服务 (IAS),并且为此服务器配置的 RADIUS 客户端选择了“请求必须包含消息验证程序属性”选项,则必须选择“总是使用消息验证程序”。
0条评论