Saya sendiri masih agak asing dengan radius, karena memang attribute nya yang sangat banyak. Saat kita menggunakan ACS sebagai AAA server, kita bisa membuat priviledge level untuk setiap user yang melakukan otentikasi ke dalam device, entah itu switch/router/asa atau device lainya yang support tacacs maupun radius. Biasanya, ketika saya melakukan implementasi, saya selalu menggunakan tacacs, selain device yang akan di manage adalah Cisco, juga karena Tacacs support command set, dimana kita bisa memberikan batasan kepada user, command apa aja yang bisa dilakukan saat dia berhasil melakukan otentikasi ke sebuah device.
Ada pertanyaan, "Apakah Radius juga bisa membatasi level user?", jawabnya bisa, hanya saja radius tidak bisa memberikan batasan command. Misalnya gini, user A dengan level 15, dia bisa melakukan semua command, dengan Tacacs user B dengan level 15 saya bisa batasi dia hanya bisa command show, tidak bisa selain itu, Radius tidak bisa melakukan itu.
Ok, berikut konfigurasi di switch dan ACS nya, untuk ACS saya menggunakan ACS 5.3
aaa authentication login SSH2 group radius local
aaa authorization exec SSH2 group radius local if-authenticated
!
!! Beberapa output di potong
radius-server host 172.16.10.138 auth-port 1645 acct-port 1646 key compnet123
!
!! Beberapa output di potong
line vty 0 4
authorization exec SSH2
login authentication SSH2
transport input ssh
Untuk konfigurasi di ACS nya, berikut beberapa screenshootnya.
[caption id="attachment_564" align="aligncenter" width="300"]
Manage user[/caption][caption id="attachment_566" align="aligncenter" width="300"]
Menambah radius attribute av-pair[/caption][caption id="attachment_567" align="aligncenter" width="300"]
Manage Access profile[/caption]Sedikit note untuk av-pair, shell:priv-lvl=15, 15 disini menunjukan priviledge level.
0 comments:
Post a Comment