Cấu hình RADIUS trên Router Cisco

Sử dụng máy chủ AAA bên ngoài để xác thực người dùng (external AAA server for User Authentication)

Thay vì sử dụng tài khoản người dùng cục bộ trên mỗi thiết bị để truy cập, quản trị viên nên sử dụng máy chủ AAA bên ngoài (TACACS+ hoặc RADIUS) sẽ an toàn, linh hoạt và có thể mở rộng hơn nhiều để xử lý Xác thực (Authentication), Ủy quyền (Authorization) và Kế toán (Accounting) quyền truy cập của người dùng vào thiết bị.

Với máy chủ AAA tập trung, bạn có thể dễ dàng thay đổi/bật/tắt mật khẩu tài khoản, thực thi chính sách mật khẩu mạnh, theo dõi việc sử dụng tài khoản và quyền truy cập của người dùng, v.v.

Ở đây chúng ta sẽ xem cách cấu hình cả máy chủ TACACS+ và RADIUS AAA với mật khẩu “enable secret” làm dự phòng nếu máy chủ AAA không khả dụng.




RADIUS

Router# config terminal
Router(config)# enable secret K6dn!#scfw35 <- trước tiên hãy tạo “enable secret” password
Router(config)# aaa new-model <- kích thoạt AAA service
Router(config)# aaa authentication login default group radius enable <- Sử dụng RADIUS cho xác thực với “enable” password làm dự phòng
Router(config)# radius-server host 192.168.1.10 <- gán internal AAA server
Router(config)# radius-server key ‘secret-key’ <- secret key được cấu hình trên AAA server
Router(config)# line vty 0 4
Router(config-line)# login authentication default <- Áp dụng xác thực AAA vào VTY lines (Telnet, SSH etc)
Router(config-line)# exit
Router(config)# line con 0 <- Áp dụng xác thực AAA vào cổng console port
Router(config-line)# login authentication default

Chi tiết xem tại: Cấu hình bảo mật tăng cường cho Router / Switch của Cisco