В данной статье я опишу реализацию доменной авторизации на коммутаторах Zyxel ES2108 с разграничением прав для техника (чтение) и (чтение+запись) для системного администратора.
Этим мы решаем задачу по смене пароля каждые 90 дней, согласно моей групповой политике в домене. А так же при увольнения сотрудника у вас пропадёт надобность менять пароли на коммутаторах — блокировкой в домене исключаем компрометацию логина и пароля на наше сетевое устройство.

Коммутаторы конечно старенькие, но с ценой в 600 рублей мало что сейчас найдёшь.
Неоднократно приобретал Б/У у Дом.ру, канал с публикацией тут.
Прошивку сразу обновляем до последней версии, при этом пароль сбросится.

Прошивка коммутатора Zyxel es-2108


Нам потребуется TeraTerm, скачиваем с оф.сайта.
Подключаем к ПК по COM порту (RS-232).
Нажимаем любую клавишу для входа в Debug mode.



После входа в Debug mode, вводим команду atlc.

Если вы загрузили коммутатор на скорости 9600, то в дебаг мод вводим команду atba5 и переподключаем терминал на скорости 15200. Это необходимо сделать, чтобы прошивка заливалась быстрее. Если вы сразу загрузились на скорости 15200, то этот шаг можно пропустить. Далее данный шаг не рассматриваю.

Скачать прошивку можно здесь.



Указываем скаченную вами прошивку в меню выбора.

Перезагружаем коммутатор командой ATGO. Это вернёт COM порт на скорость порта 9600.

Настройка Zyxel es-2108


Создаём пользователя для подключения по SSH и включаем защиту от петель на портах:

config
logins username adminxel password vS!b!r!-H0l0dn0-4t

admin-password vS!b!r!-H0l0dn0-ag vS!b!r!-H0l0dn0-ag

interface port-channel 1-7
loopguard
exit

Настраиваем RADIUS подключение к основному и резервному серверу, настраиваем snmp на наш community «tokb-v2», указываем сервер времени и часовой пояс:

radius-server host 2 10.10.0.2 key HawAiRules%73_Zyxel
radius-server host 1 172.31.200.2 key HawAiRules%73_Zyxel
radius-accounting host 2 10.10.0.2 key HawAiRules%73_Zyxel
radius-accounting host 1 172.31.200.2 key HawAiRules%73_Zyxel
hostname M2-F1-R2
time timezone 700
timesync server 10.200.0.2
timesync ntp
storm-control
loopguard
snmp-server set-community tokb-v2
snmp-server trap-community tokb-v2
snmp-server contact admin location M2-F1-R2
aaa accounting system radius
aaa accounting exec start-stop radius
aaa authentication login radius local

  • Создаём VLAN 100 управления указываем ip коммутатора, 10.10.0.61, а 10.10.0.1 основной шлюз;
  • Создаём VLAN 510 на всех портах тегировано;
  • Создаём VLAN 210 с 1 по 7 порт не тэгировано, 8 порт в тэге.


vlan 100
  normal 1-7
  fixed 8
  forbidden ""
  untagged ""
  ip address default-management 10.10.0.61 255.255.255.0
  ip address default-gateway 10.10.0.1
exit
vlan 510
  normal ""
  fixed 1-8
  forbidden ""
  untagged ""
exit
interface port-channel 1
  pvid 100
  bmstorm-limit
  bmstorm-limit 128
  loopguard
exit
interface port-channel 2
  pvid 100
  bmstorm-limit
  bmstorm-limit 128
  loopguard
exit
interface port-channel 3
  pvid 100
  bmstorm-limit
  bmstorm-limit 128
  loopguard
exit
interface port-channel 4
  pvid 100
  bmstorm-limit
  bmstorm-limit 128
  loopguard
exit
interface port-channel 5
  pvid 100
  bmstorm-limit
  bmstorm-limit 128
  loopguard
exit
interface port-channel 6
  pvid 100
  bmstorm-limit
  bmstorm-limit 128
  loopguard
exit
interface port-channel 7
  pvid 100
  bmstorm-limit
  bmstorm-limit 128
  loopguard
exit
interface port-channel 8
  vlan-trunking
exit

write memory


Настройка RADIUS (NPS на Windows Server 2016)


Считаем что роль сервера политик сети уже установлена. Запускаем Сервер политик сети -> Политики -> Сетевые политики-> Новый документ.
Создаём по аналогии:


Указываем имя политики:


Как видно из скриншота, у нас создана отдельная группа в AD — Switches-Write. Пользователи, входящие в эту группу, получают права администратора на коммутаторах и могут вносить изменения в конфигурацию.

Так как коммутаторов у нас много и вендоры разные мы создаём RADIUS клиентов с наименование вендора, в нашем случае Zyxel*, по имени и будут применяться правила.


Доступ разрешаем:


Оставляем проверку подлинности по менее безопасным проверкам подлинности CHAP и PAP:


Нажимаем «Нет»:


Далее лишнее удаляем, выделенное зелёным, изменяем согласно изображению ниже:



Создаём общий секрет для каждого вида коммутаторов:


Далее создаём RADIUS клиента, с указанием правильного имени «Zyxel.......», указываем IP-адрес коммутатора, выбираем общий секрет из выпадающего меню Zyxel:


Имя поставщика оставляем «RADIUS стандарт.

В домене можно создать учётку с логином „$ena15$“ с добавлением пользователя в группу „Switches-Write“, но я этого не делал.

При подключении по SSH и ввода логина и пароля для получения администратора, используйте команду «enable», после потребуется ввести привилегированный пароль, по умолчанию он »1234". Если вы хотите привилегированный пароль из домена, то придётся создать в домене отдельную учётную запись – формат атрибута User-Name: $enab#$, где # представляет собой уровень привилегий (1-14)

P.S.
Доменный логин не может быть более 15 символов, я с эти столкнулся!
Увидел по логам, что на радиус сервер отправляется только первые 15 символом.


Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud — в нашем Telegram-канале



Список используемых источников:




? Читайте также:

Комментарии (0)