Autenticação do roteador no AD (Windows Server 2008)
(6) Comentários Anteriormente aqui no blog, vimos como configurar um roteador para a utilização de usuário e senha local (Configurando usuário e senha para o roteador). Naquele exemplo utilizamos os usuários criados no próprio equipamento para fazer a autenticação.
Agora, evoluindo a solução, vamos ver como fazer a integração do equipamento com o AD (Microsoft Active Directory), e assim utilizar o mesmo usuário da rede para acessar o roteador. Para isso, além do roteador e do AD, vamos precisar do IAS.
Neste exemplo utilizamos o Windows Server 2008 R2 com AD e IAS e um roteador 2801.
Configuração do Roteador
Apesar de usarmos um roteador no exemplo, as mesmas configurações podem ser aplicadas aos switches.
Temos que criar um usuário local, para que caso a comunicação com o servidor IAS falhe ainda tenhamos acesso ao equipamento. Depois basta habilitar o AAA e especificar o IP do Servidor, bem como a shared secret.
Habilitando autenticação via Radius/AD
!Criando um usuário local
username brain privi 15 secret cisco
! Habilitando o aaa
aaa new-model
! Especificando os métodos de autenticação (primeiro via Radius, depois Local)
aaa authentication login default group radius local
aaa authentication enable default group radius enable
aaa authorization console
aaa authorization exec default group radius local
! IP do Servidor onde está instalado o IAS (Radius) e a shared Secret
radius-server host 192.168.1.41 auth-port 1812 acct-port 1813 key cisco@123
! IP que o roteador enviará para o servidor, durante a autenticação
ip radius source-interface f0/0
!
Com esta configuração o acesso via Telnet e console já será autenticado via Radius. Caso o SSH esteja habilitado, também passará a usar a autenticação via Radius.
Já para o acesso HTTP, caso necessário, devemos adicionar o comando ip http authentication aaa.
Configuração no AD
Considerando-se que o AD já esteja funcionando, com as contas de usuários e tudo mais, não será necessário nenhuma configuração adicional.
Opcionalmente podem ser criados grupos, onde os usuários que terão acesso aos equipamentos devem ser adicionados.
Neste exemplo, temos dois grupos no AD: Acesso Priv 1 para Roteadores e Acesso Priv 15 para Roteadores. No grupo Priv 1 estão os usuários que não podem acessar o modo privilegiado e no grupo Priv 15 estão os usuários que tem acesso full ao roteador.
Instalando o IAS (Radius Microsoft)
O Internet Authentication Server – IAS é o servidor Radius da Microsoft, e neste exemplo vamos utilizá-lo para fazer o “proxy” entre os equipamentos e o AD. Ou seja, ao logar no roteador o mesmo enviará as credenciais para o Radius (IAS), que por sua vez passará estas informações para o AD.
Se o usuário for válido (usuário existir e a senha estiver correta) ele terá acesso ao equipamento, caso contrário o acesso será negado.
Apesar de extensa a configuração é simples… so don’t worry 
1°) No Windows Server 2008, Clique em Start > Administrative Tools > Server Manager e em seguida Add Roles. 
2°) Na tela Add Roles Wizard, selecione a opção Network Policy and Access Services. Depois Next duas vezes. 
3°) Selecione a opção Network Policy Server e clique em Next. 
4°) Por fim clique Install, espere a instalação ser concluída, clique em Close e reinicie o servidor.
Configurando o IAS
Agora, com o IAS instalado, vamos configurá-lo.
1°) De volta ao Sever Manager, expanda a árvore Roles > Network Policy and Access Service > NPS (Local), e então clique com o botão direito do mouse e selecione a opção Register service in Active Directory.
Obs.: Nesse momento será solicitada a autenticação de um login com permissões administrativas no domínio para integração do serviço. 
Nas duas mensagens que aparecerão em seguida (liberação de Dial-in para os usuários do AD e confirmação), clique Ok.
3°) Agora expanda a árvore NPS (Local) RADIUS Clients and Servers > RADIUS Client, e clique com o botão direito. Em seguida selecione New Radius Client. Nesse momento iremos informar que roteador poderá utilizar o serviço de autenticação. 
4°) Preencha os campos com os dados do equipamento que utilizará o Radius para autenticação, onde Friendly name = hostname, Address = IP do equipamento. Selecione a opção Manual e informe a Shared Secret (cisco@123, neste exemplo). Essa chave também é cadastrado no roteador. Na opção Vendor Name selecione RADIUS Standard e clique ok. 
Obs: O Friendly name pode ser qualquer coisa, mas fica mais fácil a administração se associarmos o hostname.
Repita este passo para todos os equipamentos que forem utilizar a autenticação via IAS (Radius).
5°) Novamente no menu do lado esquerdo, expanda a árvore Policies e selecione Network Policies. Renomeie “Connections to Microsoft Routing and Remote Access Server” para “Priv 1“ e renomeie “Connections to other access servers” para “Priv 15“. 
7°) Após renomear as Policies, clique com o botão direito em Priv 1 > Propriedades. Na tela Priv 1 Properties, marque a opção Grant Access. Grant Access if the connection request matches the policy, no item Access Permission. 
8°) Agora, na aba Conditions, remova o grupo padrão, e em seguida clique em Add e selecione a opção Windows Groups. 
9°) Busque o grupo que terá acesso somente leitura aos equipamentos (nível 1), previamente definido no AD. No exemplo Acesso Priv 1 para Roteadores. 
10°) Na aba Constraints, remova as opções em EAP Types. A única opção selecionada nesta tela será: Unencrypted authentication (PAP, SPAP). 
11°) Agora na aba Settings – RADIUS ATTRIBUTES, remova o item chamado “Framed-Protocol”. Em seguida clique Service-Type > Edit. Na janela Attribute Information selecione a opção Others > Login e Ok. 
Novamente Ok. Irá aparecer uma mensagem perguntando se você quer ver um tópico da ajuda, pois foi selecionando um método de autenticação “inseguro” (PAP). Clique No.
12°) No menu do lado esquerdo selecione a opção Vendor Specific e em seguida Add…. Na janela que se abrirá selecione Cisco e novamente clique em Add…. 
Continuando, clique em Add…, no campo Attribute Value insira shell:priv-lvl=1. Clique em Ok, Ok, Close, Ok, No, Ok.
ATENÇÃO: É nesse momento que definimos que o grupo Acesso Priv 1 para Roteadores terá permissão 1 (um), ou seja, acesso limitado (modo usuário).
Pronto. O IAS foi instalado e configurado para os usuários do grupo Acess Priv 1 para Roteadores (grupo criado no AD), que terão acesso limitado.
Para os usuários do grupo Acesso Priv 15 para Roteadores (modo privilegiado), repita o procedimento, selecionando em Network Policies o grupo “Priv 15” e repetindo os passos anteriores, alterando o grupo Acesso Priv 15 para Roteadores (grupo existente no AD) no item 7 e o Atributte Value para shell:priv-lvl=15 no item 12.
Assim, basta o administrador adicionar os usuários a um dos dois grupos no AD para que o usuário tenha acesso limitado ou completo.
Throubleshoot
Para verificar o funcionamento da solução, podemos utilizar os seguintes comandos no roteador:
debug aaa authentication
debug aaa authorization
debug radius authentication
Também é possível visualizar o status da autenticação no servidor (IAS), através do Event Viewer (Start > Administrative Tools > Event Viewer).
Com o Event Viewer aberto, clique em Custom Views > Server Roles > Network Policy and Account. No centro serão exibidos os eventos relacionados a login/falha no roteador.
Ufa! Até a próxima.
Sugestão e colaboração do leitor Daniel Gurgel.
