05/08/2015
Autenticação doroteador no AD
(Windows Server 2008)
Autenticação do roteador noAD (Windows Server 2008)
Anteriormente aqui no blog, vimos como configurar um roteador para a utilização deusuário e senha local (Configurando usuário e senha para o roteador(http://brainwork.com.br/2009/07/27/configurando-usurio-e-senha-para-o-roteador/)).Naquele exemplo utilizamos os usuários criados no próprio equipamento para fazer aautenticação.
Agora, evoluindo a solução, vamos ver como fazer a integração do equipamento com oAD (Microsoft Active Directory), e assim utilizar o mesmo usuário da rede para acessaro roteador. Para isso, além do roteador e do AD, vamos precisar do IAS.
Neste exemplo utilizamos o Windows Server 2008 R2 com AD e IAS e um roteador2801.
Configuração do Roteador
Apesar de usarmos um roteador no exemplo, as mesmas configurações podem seraplicadas aos switches.
Temos que criar um usuário local, para que caso a comunicação com o servidor IASfalhe ainda tenhamos acesso ao equipamento. Depois basta habilitar o AAA eespecificar o IP do Servidor, bem como a shared secret.
Select Month
Select Category
(http://www.blogoversary.com)
Arquivo
Categorias
Tags
Ano 7
Login
Entrar›
Posts RSS (Really
Simple
Syndication)
›
BLOG (http://brainwork.com.br/) CONTATO (http://brainwork.com.br/contato/)
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
1 de 17 05/08/2015 11:02
Habilitando autenticação via Radius/AD!Criando um usuário localusername brain privi 15 secret cisco! Habilitando o aaaaaa new-model! Especificando os métodos de autenticação (primeiro via Radius, depois Local)aaa authentication login default group radius localaaa authentication enable default group radius enableaaa authorization consoleaaa authorization exec default group radius local! IP do Servidor onde está instalado o IAS (Radius) e a shared Secretradius-server host 192.168.1.41 auth-port 1812 acct-port 1813 key cisco@123! IP que o roteador enviará para o servidor, durante a autenticaçãoip radius source-interface f0/0!
Com esta configuração o acesso via Telnet e console já será autenticado via Radius.Caso o SSH esteja habilitado, também passará a usar a autenticação via Radius.
Já para o acesso HTTP, caso necessário, devemos adicionar o comando ip httpauthentication aaa.
Configuração no AD
Considerando-se que o AD já esteja funcionando, com as contas de usuários e tudomais, não será necessário nenhuma configuração adicional.
Opcionalmente podem ser criados grupos, onde os usuários que terão acesso aosequipamentos devem ser adicionados.
Neste exemplo, temos dois grupos no AD: Acesso Priv 1 para Roteadores e AcessoPriv 15 para Roteadores. No grupo Priv 1 estão os usuários que não podem acessaro modo privilegiado e no grupo Priv 15 estão os usuários que tem acesso full aoroteador.
Instalando o IAS (Radius Microsoft)
O Internet Authentication Server – IAS é o servidor Radius da Microsoft, e nesteexemplo vamos utilizá-lo para fazer o “proxy” entre os equipamentos e o AD. Ou seja,ao logar no roteador o mesmo enviará as credenciais para o Radius (IAS), que por suavez passará estas informações para o AD.
Se o usuário for válido (usuário existir e a senha estiver correta) ele terá acesso aoequipamento, caso contrário o acesso será negado.
Apesar de extensa a configuração é simples… so don’t worry
1°) No Windows Server 2008, Clique em Start > Administrative Tools > ServerManager e em seguida Add Roles.
Bartulihe
(http://bartulihe.wordpress.com/
Blog LabCisco
(http://labcisco.blogspot.com.br
/?m=0)
Cisco Certified
(Blog CCNA)
(http://www.blog.ccna.com.br/)
Cisco IOS hints
and tricks
(http://blog.ioshints.info/)
Cisco Support
Community
(https://supportforums.cisco.com
/community
/portuguese)
Coruja de TI
(http://blog.corujadeti.com.br/)
Estude CCNA
(http://estudeccna.com.br/)
Internetwork
Expert´s
(http://blog.internetworkexpert.com/
Netfinders Brasil
(http://netfindersbrasil.blogspot.com/
Rodrigo Rovere
(http://ciscoredes.com.br/)
Rota Default
(http://www.rotadefault.com.br/
Tekcert
(http://www.tekcert.com/)
The Cisco
Learning Network
(https://learningnetwork.cisco.com
/index.jspa)
Everton
Niwmar
(http://brainwork.com.br
/2010/01
/13/comandos-
bsicos-
para-roteadores-
cisco/#comment-
128295) 03.08.15
Comandos
RSS (em inglês:
Really Simple
Syndication) dos
comentários
›
WordPress.org›
Acesse Também
Participações
recentes
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
2 de 17 05/08/2015 11:02
2°) Na tela Add Roles Wizard, selecione a opção Network Policy and AccessServices. Depois Next duas vezes.
3°) Selecione a opção Network Policy Server e clique em Next.
4°) Por fim clique Install, espere a instalação ser concluída, clique em Close e reinicieo servidor.
Configurando o IAS
Agora, com o IAS instalado, vamos configurá-lo.
1°) De volta ao Sever Manager, expanda a árvore Roles > Network Policy andAccess Service > NPS (Local), e então clique com o botão direito do mouse eselecione a opção Register service in Active Directory.
Obs.: Nesse momento será solicitada a autenticação de um login com permissõesadministrativas no domínio para integração do serviço.
básicos para
roteadores
Cisco
(http://brainwork.com.br
/2010/01
/13/comandos-
bsicos-
para-roteadores-
cisco/#comment-
128295)
Daniel
(http://brainwork.com.br
/2009/07/06/vpn-
ipsec-parte-
2/#comment-
127950) 31.07.15
VPN IPSec –
Parte 2
(http://brainwork.com.br
/2009/07
/06/vpn-
ipsec-parte-
2/#comment-
127950)
Guilherme
(http://brainwork.com.br
/2009/12
/10/autenticao-
do-roteador-
no-ad-windows-
server-
2008/#comment-
126807) 24.07.15
Autenticação
do roteador
no AD
(Windows
Server 2008)
(http://brainwork.com.br
/2009/12
/10/autenticao-
do-roteador-
no-ad-
windows-
server-
2008/#comment-
126807)
Leandro
(http://brainwork.com.br
/2008/11
/28/editando-
acl-numerada
/#comment-
126296) 22.07.15
Editando ACL
numerada
(http://brainwork.com.br
/2008/11
/28/editando-
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
3 de 17 05/08/2015 11:02
Nas duas mensagens que aparecerão em seguida (liberação de Dial-in para os usuáriosdo AD e confirmação), clique Ok.
3°) Agora expanda a árvore NPS (Local) RADIUS Clients and Servers > RADIUSClient, e clique com o botão direito. Em seguida selecione New Radius Client. Nessemomento iremos informar que roteador poderá utilizar o serviço de autenticação.
4°) Preencha os campos com os dados do equipamento que utilizará o Radius paraautenticação, onde Friendly name = hostname, Address = IP do equipamento.Selecione a opção Manual e informe a Shared Secret (cisco@123, neste exemplo).Essa chave também é cadastrado no roteador. Na opção Vendor Name selecioneRADIUS Standard e clique ok.
acl-numerada
/#comment-
126296)
Wislley
(http://brainwork.com.br
/2015/07
/07/jumbo-
frames-
em-switches-
catalyst
/#comment-
123603) 08.07.15
Jumbo
Frames em
switches
Catalyst
(http://brainwork.com.br
/2015/07
/07/jumbo-
frames-
em-switches-
catalyst
/#comment-
123603)
Marcos
(http://brainwork.com.br
/2010/04
/09/monte-
topologia-
no-cacti-com-o-
weathermap
/#comment-
121286) 26.06.15
Monte
topologia no
Cacti com o
Weathermap
(http://brainwork.com.br
/2010/04
/09/monte-
topologia-
no-cacti-
com-o-
weathermap
/#comment-
121286)
Honorio
Adolfo
(http://brainwork.com.br
/2009/12
/10/autenticao-
do-roteador-
no-ad-windows-
server-
2008/#comment-
116892) 18.06.15
Autenticação
do roteador
no AD
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
4 de 17 05/08/2015 11:02
Obs: O Friendly name pode ser qualquer coisa, mas fica mais fácil a administração seassociarmos o hostname.
Repita este passo para todos os equipamentos que forem utilizar a autenticação viaIAS (Radius).
5°) Novamente no menu do lado esquerdo, expanda a árvore Policies e selecioneNetwork Policies. Renomeie “Connections to Microsoft Routing and RemoteAccess Server” para “Priv 1“ e renomeie “Connections to other access servers”para “Priv 15“.
7°) Após renomear as Policies, clique com o botão direito em Priv 1 > Propriedades.Na tela Priv 1 Properties, marque a opção Grant Access. Grant Access if theconnection request matches the policy, no item Access Permission.
8°) Agora, na aba Conditions, remova o grupo padrão, e em seguida clique em Add eselecione a opção Windows Groups.
(Windows
Server 2008)
(http://brainwork.com.br
/2009/12
/10/autenticao-
do-roteador-
no-ad-
windows-
server-
2008/#comment-
116892)
Lu Wo
(http://brainwork.com.br
/2009/05
/07/conceitos-
sobre-ipsids-
parte-
1/#comment-
116389) 17.06.15
Conceitos
sobre IPS/IDS
(Parte 1)
(http://brainwork.com.br
/2009/05
/07/conceitos-
sobre-ipsids-
parte-
1/#comment-
116389)
Honorio
Adolfo
(http://brainwork.com.br
/2009/12
/10/autenticao-
do-roteador-
no-ad-windows-
server-
2008/#comment-
114803) 14.06.15
Autenticação
do roteador
no AD
(Windows
Server 2008)
(http://brainwork.com.br
/2009/12
/10/autenticao-
do-roteador-
no-ad-
windows-
server-
2008/#comment-
114803)
Emerson de
Melo Vala…
(http://brainwork.com.br
/2009/03
/16/configurando-
vlan/#comment-
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
5 de 17 05/08/2015 11:02
9°) Busque o grupo que terá acesso somente leitura aos equipamentos (nível 1),previamente definido no AD. No exemplo Acesso Priv 1 para Roteadores.
10°) Na aba Constraints, remova as opções em EAP Types. A única opçãoselecionada nesta tela será: Unencrypted authentication (PAP, SPAP).
114274) 13.06.15
Configurando
VLAN
(http://brainwork.com.br
/2009/03
/16/configurando-
vlan/#comment-
114274)
Recent commentsplugin(https://wordpress.org/plugins/recentcomments/)
Seguir @brainworkblog
Tweets
/user?user_id=35906179) via Twitter Web Client(http://twitter.com)
Blog: Treinamentos Cisco empromoção brainwork.com.br/2015/07/08/t… (http://t.co/OQYn8ljcfd)
Mês passado (https://twitter.com/twitterapi/status/618767864300875776) from brainwork'sTwitter (https://twitter.com/intent/user?user_id=35906179) via brainworkblog
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
6 de 17 05/08/2015 11:02
11°) Agora na aba Settings – RADIUS ATTRIBUTES, remova o item chamado“Framed-Protocol”. Em seguida clique Service-Type > Edit. Na janela AttributeInformation selecione a opção Others > Login e Ok.
Novamente Ok. Irá aparecer uma mensagem perguntando se você quer ver um tópicoda ajuda, pois foi selecionando um método de autenticação “inseguro” (PAP). CliqueNo.
12°) No menu do lado esquerdo selecione a opção Vendor Specific e em seguidaAdd…. Na janela que se abrirá selecione Cisco e novamente clique em Add….
Continuando, clique em Add…, no campo Attribute Value insira shell:priv-lvl=1.Clique em Ok, Ok, Close, Ok, No, Ok.ATENÇÃO: É nesse momento que definimos que o grupo Acesso Priv 1 paraRoteadores terá permissão 1 (um), ou seja, acesso limitado (modo usuário).
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
7 de 17 05/08/2015 11:02
Pronto. O IAS foi instalado e configurado para os usuários do grupo Acess Priv 1 paraRoteadores (grupo criado no AD), que terão acesso limitado.
Para os usuários do grupo Acesso Priv 15 para Roteadores (modo privilegiado),repita o procedimento, selecionando em Network Policies o grupo “Priv 15” erepetindo os passos anteriores, alterando o grupo Acesso Priv 15 para Roteadores(grupo existente no AD) no item 7 e o Atributte Value para shell:priv-lvl=15 no item12.
Assim, basta o administrador adicionar os usuários a um dos dois grupos no AD paraque o usuário tenha acesso limitado ou completo.
Throubleshoot
Para verificar o funcionamento da solução, podemos utilizar os seguintes comandosno roteador:
debug aaa authenticationdebug aaa authorizationdebug radius authentication
Também é possível visualizar o status da autenticação no servidor (IAS), através doEvent Viewer (Start > Administrative Tools > Event Viewer).
Com o Event Viewer aberto, clique em Custom Views > Server Roles > Network Policyand Account. No centro serão exibidos os eventos relacionados a login/falha noroteador.
Ufa! Até a próxima.
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
8 de 17 05/08/2015 11:02
1
Sugestão e colaboração do leitor Daniel Gurgel.
TAGS: AD (HTTP://BRAINWORK.COM.BR/TAG/AD/), AUTENTICAÇÃO AD (HTTP://BRAINWORK.COM.BR
/TAG/AUTENTICACAO-AD/), IAS (HTTP://BRAINWORK.COM.BR/TAG/IAS/), INTEGRAÇÃO COM AD;
AUTENTICAÇÃO RADIUS (HTTP://BRAINWORK.COM.BR/TAG/INTEGRACAO-COM-AD-AUTENTICACAO-
RADIUS/), RADIUS (HTTP://BRAINWORK.COM.BR/TAG/RADIUS/)
33 Responses to “Autenticação do roteador no AD(Windows Server 2008)”
Jean Carlos says :08/10/2010 at 18:48 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-1430)
Parabéns,
Muito bom esse material
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=1430#RESPOND)
Anderson says :07/11/2010 at 19:43 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-1995)
UFAAA! Excelente trabalho ! Venho procurando um explicação dessas
há 2 semanas! Parabéns! Sem comentários pela sua facilidade e
capacidade para criar esse post.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=1995#RESPOND)
Thiago says :11/11/2010 at 18:52 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-2062)
Muito bom funciona tbm em switches? E access points será que
poderia adicionar grupo de usuários para acessar wifi?
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=2062#RESPOND)
André Ortega (http://brainwork.com.br/blog) says :15/11/2010 at 11:44 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-2127)
Thiago, funciona em switches e aps também. Para acessar o wifi é
semelhante, mas munda um pouco (802.1x será configurado).
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=2127#RESPOND)
Vinicius Francez says :06/06/2011 at 16:24 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-4399)
André, muito bom, parabéns, tenho um AP cisco e queria configurar a
autenticação Wi-Fi no Radius/AD, tem algum material que explica
como configuro?
Obrigado
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=4399#RESPOND)
André Ortega (http://brainwork.com.br/blog) says :06/06/2011 at 16:45 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-4400)
Vinicius, coloque sua pergunta no brainwork responde. Fica melhor
para compartilharmos as informações.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=4400#RESPOND)
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
9 de 17 05/08/2015 11:02
denzel says :31/07/2012 at 12:39 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-7973)
Caro Andre Ortega!
Muito obrigado mesmo por etste post. realmente é uma grande
materia que eu venho procurando a faz tempo. A minha pergunta é a
seguinte:
1. Caso eu tenha mais de 10 pessoas ou mesmo 5, que eu queira dar
acesso ou que precisam aceder ao dispositivo (router, switc, ASA
etc.)….será que todos estes 5 ou 10 utilizadores usariam a mesma
username e palavra passe??? ou teriamos neste caso que criar
igualmente 5 ou 10 outras contas com seus usernames e palavra
passe??
2. Relativamente ao acesso ao dispositivo fora da minha instalaçao ou
empresa..
a)devo criar outras contas? ou bastaria que fosse por exemplo acima;
!Criando um usuário local
username brain privi 15 secret cisco??
3. Ja que estamos a falar de RADIUS.
Como seria entao caso eu tenha uma VPN, como seria a Autenticaçao
dos utilizadores remotos que se queiram ligar a minha rede interna
para aceder recursos da rede?
Criaria eu outros usernames e senha?? ou o username e senha acima
seria o suficiente!!
Muito obrigado uma vez mais pelo Post
E fico no Aguardo de sua resposta.
Denzel.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=7973#RESPOND)
André Ortega (http://brainwork.com.br/blog) says :31/07/2012 at 16:35 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-7976)
Olá Denzel,
1) Com estas configurações os usuários usarão o nome e senha da
rede. Ou seja, cada um tem o seu. Não vai precisar criar usuários nos
equipamentos.
2) O acesso externo é igual. Será utilizado o usuário de rede, não
precisa criar usuários locais.
3) Para VPN é semenhante, mas não precisa da parte de privilégio. Só
a autenticação já basta.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=7976#RESPOND)
Daniel Gurgel says :31/07/2012 at 16:42 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-7977)
É importante criar um usuário local apenas para gerencia do
equipamento em caso do radius server ficar off… nesse caso o logon
será com o usuário local.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=7977#RESPOND)
Joe says :06/02/2013 at 15:33 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-12354)
Ola, estou tentando autenticar um switch 3com 4210G mas no caso
não encontrei o attribute value para colocar, alguém saberia me
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=12354#RESPOND)
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
10 de 17 05/08/2015 11:02
informar isso?
Valdemberg says :18/04/2013 at 12:51 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-14993)
Ola, estou com difuculdade em conectar um roteador edimax
wireless com firmware versão 9 da ap router no meu servidor
windows server 2008 r2 enterprise, o servidor esta configurado com
ip fixos,
todos os pc’s se conctar ao servidor e tem internet, mais não consigo
liberar a internet para o roteador edimax, alguem pode me ajudar.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=14993#RESPOND)
Gil Amaral says :09/08/2013 at 09:20 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-17962)
Caro André Ortega,
estou buscando uma solução de AAA para minha empresa. A solução
até então levantada seria o TACACS, mas como tenho outros
dispositivos que não CISCO na rede, estou optando por RADIUS. Uma
dúvida que me bateu depois de ler este excelente tutorial é como
ficam os logs dos comandos executados pelo usuário nos devices?
Ou seja, no TACACS, tenho log de todos os comandos executados
pelo user para uma futura análise de falha.
Obrigado.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=17962#RESPOND)
André Ortega (http://brainwork.com.br/blog) says :09/08/2013 at 11:23 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-17967)
Olá Gil,
realmente o RADIUS não possui está opção de logar os comandos.
Neste caso TACACS+ (evolução do TACACS) é a melhor opção.
Note que o TACACS+, apesar de ter sido criado pela Cisco, foi
publicado como draft no IETF, assim equipamentos de outros
fabricantes podem suportar este protocolo.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=17967#RESPOND)
Wislley (http://brainwork.com.br) says :10/06/2014 at 10:57 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-26790)
Bom dia André,
Excelente tópico.
Seguindo seu tutorial consegui autenticar com sucesso um SWITCH
CISCO no servidor Windows 2008 R2 com NPS (RADIUS), mas na parte
dos comandos no SWITCH tenho algumas dúvidas sobre algumas
linhas que eu fiz.
Primeiro vou relatar todos os passos que estou fiz:
– Primeiro criei um usuário local para o caso do servidor RADIUS ficar
indisponível.
Switch(config)#username admin privilege 15 password cisco
– Depois ativei o AAA.
Switch(config)#aaa new-model
– Depois configurei autenticação AAA apontando primeiro para o
grupo RADIUS-SERVERS e no caso do server ficar indisponível ele vai
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=26790#RESPOND)
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
11 de 17 05/08/2015 11:02
autenticar com o usuário local.
Switch(config)#aaa authentication login default group RADIUS-
SERVERS local
– Depois configurei a autorização do AAA.
– Aqui tenho dúvida nessas linhas.
– Sei que ele autoriza o grupo RADIUS-SERVERS, mas não entendi a
diferença da linha de comando que tem EXEC e a linha de comando
que tem NETWORK.
Switch(config)#aaa authorization exec default group RADIUS-SERVERS
local
Switch(config)#aaa authorization network default group RADIUS-
SERVERS local
– Depois criei o grupo RADIUS-SERVER e adicionei meu servidor ao
grupo.
Switch(config)#aaa group server radius RADIUS-SERVERS
Switch(config-sg-radius)#server X.X.X.X auth-port 1812 acct-port 1813
– Depois especifico o servidor IP do server RADIUS, portas usadas e a
senha.
– Esses dados serão TAMBÉM serão inseridos no servidor RADIUS na
parte do NPS.
Switch(config)#radius-server host X.X.X.X auth-port 1812 acct-port
1813 key XXXXX
– O comando abaixo não sei sua função.
Switch(config)#aaa session-id common
– O comando abaixo habilita as conexões telnet para se autenticarem
no RADIUS.
Switch(config)#line vty 0 15
Switch(config-line)#login authentication default
Em resumo tenho dúvidas nos 3 comandos abaixo:
Switch(config)#aaa authorization exec default group RADIUS-SERVERS
local
Switch(config)#aaa authorization network default group RADIUS-
SERVERS local
Switch(config)#aaa session-id common
Agradecido pela atenção.
André Ortega (http://brainwork.com.br/blog) says :10/06/2014 at 11:40 (http://brainwork.com.br/2009/12/10/autenticao-
do-roteador-no-ad-windows-server-2008/#comment-26792)
Olá Wislley,
Seguem as definições:
aaa authorization exec default group RADIUS-SERVERS local:
faz com que o switch contacte o servidor Radius para
determinar se o usuário pode acesar o “EXEC Shell”. Se
houver falha na comunicação com o servidor Radius, o
usuário tem acesso a CLI normalmente, já que foi ao menos
autenticado.
aaa authorization network default group RADIUS-SERVERS
local: Este comando configura a autorização via Radius. Ou
seja, além de autorizar, o Radius poderia informar qual o IP o
usuário deve receber, a utilização de uma ACL e outros
parâmetros que podem ser especificados por usuário.
aaa session-id common: Garante que toda informação de
identificação de uma sessão seja idêntica para a sessão. É a
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=26792#RESPOND)
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
12 de 17 05/08/2015 11:02
opção padrão.
Wislley (http://brainwork.com.br) says :10/06/2014 at 12:33 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-26793)
Obrigado pela resposta Andre,
Mas ainda não entendi bem as linhas de autorização.
O conceito que tenho de AAA é que depois da AUTENTICAÇÃO vem a
AUTORIZAÇÃO e que ela tem a função de diferenciar o privilégio do
usuário que está autenticando.
Pelo que entendi as permissões são definidas pela linha shell:priv-
lvl=15 no NPS que estão apontadas para determinado grupo do AD.
O que seria o EXEC SHELL que você informou?
Sobre o comando AAA SESSION-ID COMMON não entendi sua
explicação.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=26793#RESPOND)
André Ortega (http://brainwork.com.br/blog) says :10/06/2014 at 17:21 (http://brainwork.com.br/2009/12/10/autenticao-
do-roteador-no-ad-windows-server-2008/#comment-26803)
Uma coisa é ter autorização, outra é o nível de autorização…
você está autorização, mas que comandos pode usar?
E isso só é possível no TACACS, Radius não suporta este nível
de autorização…
Shell Exec é a linha de comando do roteador, e quanto ao
session-id, imagine que estão sendo gerados “vários logs”
sobre a sessão, com este comando seria mantido um
identificador da sessão nestes logs.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=26803#RESPOND)
Wislley (http://brainwork.com.br) says :11/06/2014 at 12:20 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-26827)
Obrigado André.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=26827#RESPOND)
Jonas (http://www.hitekinformatica.com.br) says :24/03/2015 at 22:23 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-88075)
Caro André, Parabéns pelo post, muito bom!!!
Porém eu estou com uma duvida, gostaria de autenticar via WiFi (será
para usuários públicos) equipamentos que não estão no AD
(Smartphones, Ipads, Notes…) , e não quero usar certificado, apenas
autenticação com login e senha do AD na hora de se conectar via WiFi
com roteador apontando para servidor Radius, é possível ? Como ?
Abraços!
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=88075#RESPOND)
Jonas (http://www.hitekinformatica.com.br) says :24/03/2015 at 22:25 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-88077)
Esqueci de mencionar o roteador é um simples da Tp-link 300 mbps.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=88077#RESPOND)
André Ortega (http://brainwork.com.br/blog) says :RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
13 de 17 05/08/2015 11:02
26/03/2015 at 16:17 (http://brainwork.com.br/2009/12/10/autenticao-
do-roteador-no-ad-windows-server-2008/#comment-88443)
É possível sim, mas não sei se este equipamento suporta esta
funcionalidade.
2008/?REPLYTOCOM=88443#RESPOND)
Jonas (http://www.hitekinformatica.com.br) says :27/03/2015 at 12:12 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-88580)
André o roteador tem a função de radius, gostaria de saber como
fazer autenticação sem precisar de certificado.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=88580#RESPOND)
Jonas (http://www.hitekinformatica.com.br) says :27/03/2015 at 12:34 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-88583)
Ele tem a função Radius mas acho q não aplica a mesma
configuração deste procedimento, pois vi que tem uns parametros
cisco, eu testei com um servidor Linux (ipcop) e funcionou, mas
preciso funcionar somente com esse roteador mesmo, acho que meu
problema está na parte de autenticação.
Desde já agradeço,
Abraços!!!
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=88583#RESPOND)
André Ortega (http://brainwork.com.br/blog) says :27/03/2015 at 16:36 (http://brainwork.com.br/2009/12/10/autenticao-
do-roteador-no-ad-windows-server-2008/#comment-88622)
Com certeza a configuração deste post não se aplica, pois
este post trata de controle de acesso administrativo, e não
acesso a rede. O que você procura na verdade é isto:
http://www.cisco.com/c/en/us/support/docs/wireless/5500-
series-wireless-controllers/115988-nps-wlc-config-000.html
(http://www.cisco.com/c/en/us/support/docs/wireless/5500-
series-wireless-controllers/115988-nps-wlc-config-000.html).
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=88622#RESPOND)
Vinicius dos Santos says :20/05/2015 at 16:14 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-104072)
Pessoal, estou com dificuldades tem fazer este sistemas na minha
empresa
Estou com dificuldades em fazer a etapa abaixo, onde eu executo
esses comando e o que é essa habilitação AAA
Habilitando autenticação via Radius/AD
!Criando um usuário local
username brain privi 15 secret cisco
! Habilitando o aaa
aaa new-model
! Especificando os métodos de autenticação (primeiro via Radius,
depois Local)
aaa authentication login default group radius local
aaa authentication enable default group radius enable
aaa authorization console
aaa authorization exec default group radius local
! IP do Servidor onde está instalado o IAS (Radius) e a shared Secret
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=104072#RESPOND)
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
14 de 17 05/08/2015 11:02
radius-server host 192.168.1.41 auth-port 1812 acct-port 1813 key
cisco@123
! IP que o roteador enviará para o servidor, durante a autenticação
ip radius source-interface f0/0
!
O que esta acontecendo é que quando eu tenho conectar no meu
Acces Point CIsco WAP321 na rede que eu criei para teste o mesmo
pede usuario e senha eu coloco o usuário e senha que esta no AD e
no grupo que eu crie para ter acesso, aparece a mensagem que
usuario ou senhas estão incorretos
alguém pode me ajudar ?
Obrigado
André Ortega (http://brainwork.com.br/blog) says :21/05/2015 at 11:03 (http://brainwork.com.br/2009/12/10/autenticao-
do-roteador-no-ad-windows-server-2008/#comment-104405)
Vinicius, este tutorial é para acesso administrativo ao
equipamento, e não à rede.
Além disso, este seu equipamento é configurado via interface
gráfica, não sendo possível seguir este tutorial.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=104405#RESPOND)
Vinicius dos Santos says :21/05/2015 at 15:14 (http://brainwork.com.br/2009/12
/10/autenticao-do-roteador-no-ad-windows-server-
2008/#comment-104467)
21/05/2015 at 15:14
André, se você puder me add no Skype Viniciusdsts
Resumindo o que estou tentando fazer não vai
funcionar certo ?
a ideia é a seguinte temos muitos problemas com
Wifi aqui que os usuario passam a senha um para os
outros para pessoas não autorizadas
o que eu queria fazer é o seguinte, usar o Servidor
Radius como metedo para autenticação para acessar
o Wifi da empresa
atraves do usuário e senha do Domínio que já existe.
Meu ambiene
Windows Server 2008 R2
AP com tecnologia Cisco
AD
DHCP
etcc
conseguiu entender ?
Obrigado
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-
SERVER-2008/?REPLYTOCOM=104467#RESPOND)
André Ortega (http://brainwork.com.br
/blog) says :09/06/2015 at 18:15 (http://brainwork.com.br
/2009/12/10/autenticao-do-roteador-no-ad-windows-
server-2008/#comment-112663)
O que você quer fazer é muito normal e
funciona. No entanto este tutorial não é para
isso.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-
WINDOWS-SERVER-2008/?REPLYTOCOM=112663#RESPOND)
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
15 de 17 05/08/2015 11:02
Você deve seguir este exemplo:
http://www.cisco.com/c/en/us/support
/docs/wireless/5500-series-wireless-
controllers/115988-nps-wlc-config-000.html
(http://www.cisco.com/c/en/us/support
/docs/wireless/5500-series-wireless-
controllers/115988-nps-wlc-config-000.html)
(não sei se o seu access-point suporta esta
funcionalidade (802.1x), pois é um
equipamento home/small business)
Vinicius dos Santos says :21/05/2015 at 15:14 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-104466)
André, se você puder me add no Skype Viniciusdsts
Resumindo o que estou tentando fazer não vai funcionar certo ?
a ideia é a seguinte temos muitos problemas com Wifi aqui que os
usuario passam a senha um para os outros para pessoas não
autorizadas
o que eu queria fazer é o seguinte, usar o Servidor Radius como
metedo para autenticação para acessar o Wifi da empresa
atraves do usuário e senha do Domínio que já existe.
Meu ambiene
Windows Server 2008 R2
AP com tecnologia Cisco
AD
DHCP
etcc
conseguiu entender ?
Obrigado
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=104466#RESPOND)
Honorio Adolfo (http://NetworkAdmin) says :14/06/2015 at 16:49 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-114803)
André,
parabéns pelo instrutivo.
eu fiz todas definições que ilustrou, o estranho é que com alguns
equipamentos, mesmo definido o grupo com privilegio 15, mostra no
modo de usuário e noutros no modo privilegiado.
a que de deve?
um abraço
hadolfo
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=114803#RESPOND)
André Ortega (http://brainwork.com.br/blog) says :17/06/2015 at 10:05 (http://brainwork.com.br/2009/12/10/autenticao-
do-roteador-no-ad-windows-server-2008/#comment-116392)
Obrigado Honorio,
Quais equipamentos?
Switches, dependendo da configuração pode cair no modo
usuário, mas se você informar a enable secret vai ter acesso
privilegiado.
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=116392#RESPOND)
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
16 de 17 05/08/2015 11:02
Honorio Adolfo says :18/06/2015 at 07:14 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-116892)
Obrigado Ortega,
como resolvo este erro?
“The Radius request did not match any configured connection request
policy(CRP)”
um abraço
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=116892#RESPOND)
Guilherme says :24/07/2015 at 23:17 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-
no-ad-windows-server-2008/#comment-126807)
Parabens !!!!
RESPONDER (/2009/12/10/AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2008/?REPLYTOCOM=126807#RESPOND)
Comentário
Deixe uma resposta
Envie o Comentário
Avise-me sobre comentários seguintes por email.
Avise-me sobre novas publicações por email.
GET SOCIAL
(http://brainwork.com.br)© 2014 Brainwork. Todos os direitos reservados.Customização e hospedagem da página por Brainwork(http://brainwork.com.br).
Brainwork | Autenticação do roteador no AD (Windows Server 2008) http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
17 de 17 05/08/2015 11:02