Professional Documents
Culture Documents
1 de 17
BLOG (http://brainwork.com.br/)
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
CONTATO (http://brainwork.com.br/contato/)
05/08/2015
Autenticao do
roteador no AD
(Windows Server 2008)
Autenticao do roteador no
AD (Windows Server 2008)
Arquivo
Select Month
Categorias
Select Category
Tags
Anteriormente aqui no blog, vimos como congurar um roteador para a utilizao de
usurio e senha local (Congurando usurio e senha para o roteador
(http://brainwork.com.br/2009/07/27/congurando-usurio-e-senha-para-o-roteador/)).
Naquele exemplo utilizamos os usurios criados no prprio equipamento para fazer a
autenticao.
Agora, evoluindo a soluo, vamos ver como fazer a integrao do equipamento com o
AD (Microsoft Active Directory), e assim utilizar o mesmo usurio da rede para acessar
o roteador. Para isso, alm do roteador e do AD, vamos precisar do IAS.
Neste exemplo utilizamos o Windows Server 2008 R2 com AD e IAS e um roteador
2801.
Congurao do Roteador
Apesar de usarmos um roteador no exemplo, as mesmas conguraes podem ser
aplicadas aos switches.
Temos que criar um usurio local, para que caso a comunicao com o servidor IAS
falhe ainda tenhamos acesso ao equipamento. Depois basta habilitar o AAA e
especicar o IP do Servidor, bem como a shared secret.
Ano 7
(http://www.blogoversary.com)
Login
Entrar
Posts RSS (Really
Simple
Syndication)
05/08/2015 11:02
2 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
WordPress.org
Acesse Tambm
Bartulihe
(http://bartulihe.wordpress.com/
Blog LabCisco
(http://labcisco.blogspot.com.br
/?m=0)
Cisco Certied
(Blog CCNA)
(http://www.blog.ccna.com.br/)
Cisco IOS hints
and tricks
(http://blog.ioshints.info/)
Cisco Support
Community
(https://supportforums.cisco.com
/community
/portuguese)
Coruja de TI
(http://blog.corujadeti.com.br/)
Estude CCNA
(http://estudeccna.com.br/)
Internetwork
Experts
(http://blog.internetworkexpert.com
Netnders Brasil
(http://netndersbrasil.blogspot.co
Rodrigo Rovere
(http://ciscoredes.com.br/)
Rota Default
(http://www.rotadefault.com.br/
Tekcert
(http://www.tekcert.com/)
The Cisco
Learning Network
(https://learningnetwork.cisco.com
/index.jspa)
Participaes
recentes
Everton
Niwmar
(http://brainwork.com.br
/2010/01
/13/comandosbsicospara-roteadorescisco/#comment128295) 03.08.15
Comandos
05/08/2015 11:02
3 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
2) Na tela Add Roles Wizard, selecione a opo Network Policy and Access
Services. Depois Next duas vezes.
bsicos para
roteadores
Cisco
(http://brainwork.com.br
/2010/01
/13/comandosbsicospara-roteadorescisco/#comment128295)
Daniel
(http://brainwork.com.br
/2009/07/06/vpnipsec-parte2/#comment127950) 31.07.15
VPN IPSec
Parte 2
(http://brainwork.com.br
/2009/07
/06/vpnipsec-parte2/#comment127950)
Guilherme
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-ad-windowsserver2008/#comment126807) 24.07.15
4) Por m clique Install, espere a instalao ser concluda, clique em Close e reinicie
o servidor.
Congurando o IAS
Agora, com o IAS instalado, vamos congur-lo.
1) De volta ao Sever Manager, expanda a rvore Roles > Network Policy and
Access Service > NPS (Local), e ento clique com o boto direito do mouse e
selecione a opo Register service in Active Directory .
Obs.: Nesse momento ser solicitada a autenticao de um login com permisses
administrativas no domnio para integrao do servio.
Autenticao
do roteador
no AD
(Windows
Server 2008)
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-adwindowsserver2008/#comment126807)
Leandro
(http://brainwork.com.br
/2008/11
/28/editandoacl-numerada
/#comment126296) 22.07.15
Editando ACL
numerada
(http://brainwork.com.br
/2008/11
/28/editando-
05/08/2015 11:02
4 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
acl-numerada
/#comment126296)
Wislley
(http://brainwork.com.br
/2015/07
/07/jumboframesem-switchescatalyst
/#comment123603) 08.07.15
Nas duas mensagens que aparecero em seguida (liberao de Dial-in para os usurios
do AD e conrmao), clique Ok.
3) Agora expanda a rvore NPS (Local) RADIUS Clients and Servers > RADIUS
Client, e clique com o boto direito. Em seguida selecione New Radius Client. Nesse
momento iremos informar que roteador poder utilizar o servio de autenticao.
Jumbo
Frames em
switches
Catalyst
(http://brainwork.com.br
/2015/07
/07/jumboframesem-switchescatalyst
/#comment123603)
Marcos
(http://brainwork.com.br
/2010/04
/09/montetopologiano-cacti-com-oweathermap
/#comment121286) 26.06.15
Monte
topologia no
Cacti com o
Weathermap
(http://brainwork.com.br
/2010/04
/09/montetopologiano-cacticom-oweathermap
/#comment121286)
Honorio
Adolfo
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-ad-windowsserver2008/#comment116892) 18.06.15
Autenticao
do roteador
no AD
05/08/2015 11:02
5 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
Obs: O Friendly name pode ser qualquer coisa, mas ca mais fcil a administrao se
associarmos o hostname.
Repita este passo para todos os equipamentos que forem utilizar a autenticao via
IAS (Radius).
5) Novamente no menu do lado esquerdo, expanda a rvore Policies e selecione
Network Policies . Renomeie Connections to Microsoft Routing and Remote
Access Server para Priv 1 e renomeie Connections to other access servers
para Priv 15.
(Windows
Server 2008)
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-adwindowsserver2008/#comment116892)
Lu Wo
(http://brainwork.com.br
/2009/05
/07/conceitossobre-ipsidsparte1/#comment116389) 17.06.15
Conceitos
sobre IPS/IDS
(Parte 1)
(http://brainwork.com.br
/2009/05
/07/conceitossobre-ipsidsparte1/#comment116389)
Honorio
7) Aps renomear as Policies, clique com o boto direito em Priv 1 > Propriedades.
Na tela Priv 1 Properties , marque a opo Grant Access. Grant Access if the
connection request matches the policy, no item Access Permission.
Adolfo
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-ad-windowsserver2008/#comment114803) 14.06.15
Autenticao
do roteador
no AD
(Windows
Server 2008)
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-adwindowsserver2008/#comment114803)
Emerson de
Melo Vala
(http://brainwork.com.br
/2009/03
/16/congurandovlan/#comment-
05/08/2015 11:02
6 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
114274) 13.06.15
Congurando
VLAN
(http://brainwork.com.br
/2009/03
/16/congurandovlan/#comment114274)
Recent comments
plugin
(https://wordpress.org
/plugins
/recentcomments/)
Tweets
/user?user_id=35906179) via Twitter Web Client
(http://twitter.com)
9) Busque o grupo que ter acesso somente leitura aos equipamentos (nvel 1),
previamente denido no AD. No exemplo Acesso Priv 1 para Roteadores .
Ms passado (https://twitter.com/twitterapi
/status/618767864300875776) from brainwork's
Twitter (https://twitter.com/intent
/user?user_id=35906179) via brainworkblog
Seguir @brainworkblog
05/08/2015 11:02
7 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
Novamente Ok. Ir aparecer uma mensagem perguntando se voc quer ver um tpico
da ajuda, pois foi selecionando um mtodo de autenticao inseguro (PAP). Clique
No.
12) No menu do lado esquerdo selecione a opo Vendor Specic e em seguida
Add . Na janela que se abrir selecione Cisco e novamente clique em Add .
05/08/2015 11:02
8 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
Pronto. O IAS foi instalado e congurado para os usurios do grupo Acess Priv 1 para
Roteadores (grupo criado no AD), que tero acesso limitado.
Para os usurios do grupo Acesso Priv 15 para Roteadores (modo privilegiado),
repita o procedimento, selecionando em Network Policies o grupo Priv 15 e
repetindo os passos anteriores, alterando o grupo Acesso Priv 15 para Roteadores
(grupo existente no AD) no item 7 e o Atributte Value para shell:priv-lvl=15 no item
12.
Assim, basta o administrador adicionar os usurios a um dos dois grupos no AD para
que o usurio tenha acesso limitado ou completo.
Throubleshoot
Para vericar o funcionamento da soluo, podemos utilizar os seguintes comandos
no roteador:
Ufa! At a prxima.
05/08/2015 11:02
9 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
1
TAGS: AD (HTTP:// BRAINWORK.COM.BR/ TAG/ AD/ ), AUTENTICAO AD (HTTP:/ / BRAINWORK.COM.BR
/ TAG/ AUTENTICACAO-AD/ ), IAS (HTTP:/ / BRAINWORK.COM .BR/ TAG/ IAS/), INTEGRAO COM AD;
AUTENTICAO RADIUS (HTTP:/ /BRAINWORK.COM.BR/ TAG/ INTEGRACAO-COM-AD-AUTENTICACAORADIUS/ ), RADIUS (HTTP:// BRAINWORK.COM.BR/ TAG/ RADIUS/)
2 00 8 / ?REPLYTOCOM= 1 43 0 #RESPOND)
Parabns,
Muito bom esse material
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
Anderson says :
2 00 8 / ?REPLYTOCOM= 1 99 5 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
Thiago says :
2 00 8 / ?REPLYTOCOM= 2 06 2 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 2 12 7 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 4 39 9 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 4 40 0 #RESPOND)
05/08/2015 11:02
10 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
denzel says :
2 00 8 / ?REPLYTOCOM= 7 97 3 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 7 97 6 #RESPOND)
Ol Denzel,
1) Com estas conguraes os usurios usaro o nome e senha da
rede. Ou seja, cada um tem o seu. No vai precisar criar usurios nos
equipamentos.
2) O acesso externo igual. Ser utilizado o usurio de rede, no
precisa criar usurios locais.
3) Para VPN semenhante, mas no precisa da parte de privilgio. S
a autenticao j basta.
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 7 97 7 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
Joe says :
2 00 8 / ?REPLYTOCOM= 1 23 5 4 #RESPOND)
no-ad-windows-server-2008/#comment-12354)
05/08/2015 11:02
11 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
informar isso?
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
Valdemberg says :
2 00 8 / ?REPLYTOCOM= 1 49 9 3 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 1 79 6 2 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 1 79 6 7 #RESPOND)
Ol Gil,
realmente o RADIUS no possui est opo de logar os comandos.
Neste caso TACACS+ (evoluo do TACACS) a melhor opo.
Note que o TACACS+, apesar de ter sido criado pela Cisco, foi
publicado como draft no IETF, assim equipamentos de outros
fabricantes podem suportar este protocolo.
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 2 67 9 0 #RESPOND)
05/08/2015 11:02
12 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 2 67 9 2 #RESPOND)
Ol Wislley,
Seguem as denies:
aaa authorization exec default group RADIUS-SERVERS local:
faz com que o switch contacte o servidor Radius para
determinar se o usurio pode acesar o EXEC Shell. Se
houver falha na comunicao com o servidor Radius, o
usurio tem acesso a CLI normalmente, j que foi ao menos
autenticado.
aaa authorization network default group RADIUS-SERVERS
local: Este comando congura a autorizao via Radius. Ou
seja, alm de autorizar, o Radius poderia informar qual o IP o
usurio deve receber, a utilizao de uma ACL e outros
parmetros que podem ser especicados por usurio.
aaa session-id common: Garante que toda informao de
identicao de uma sesso seja idntica para a sesso. a
05/08/2015 11:02
13 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
opo padro.
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 2 67 9 3 #RESPOND)
RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 2 68 0 3 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 2 68 2 7 #RESPOND)
Obrigado Andr.
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 8 80 7 5 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 8 80 7 7 #RESPOND)
RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
05/08/2015 11:02
14 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
2 00 8 / ?REPLYTOCOM=
8 84 4at
3 #RESPOND)
26/03/2015
16:17 (http://brainwork.com.br/2009/12/10/autenticao-
do-roteador-no-ad-windows-server-2008/#comment-88443)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 8 85 8 0 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 8 85 8 3 #RESPOND)
RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 8 86 2 2 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 1 04 0 7 2 #RESPOND)
05/08/2015 11:02
15 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 1 04 4 0 5 #RESPOND)
21/05/2015 at 15:14
Andr, se voc puder me add no Skype Viniciusdsts
Resumindo o que estou tentando fazer no vai
funcionar certo ?
a ideia a seguinte temos muitos problemas com
Wi aqui que os usuario passam a senha um para os
outros para pessoas no autorizadas
o que eu queria fazer o seguinte, usar o Servidor
Radius como metedo para autenticao para acessar
o Wi da empresa
atraves do usurio e senha do Domnio que j existe.
Meu ambiene
Windows Server 2008 R2
AP com tecnologia Cisco
AD
DHCP
etcc
conseguiu entender ?
Obrigado
RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-
05/08/2015 11:02
16 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 1 04 4 6 6 #RESPOND)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 1 14 8 0 3 #RESPOND)
Andr,
parabns pelo instrutivo.
eu z todas denies que ilustrou, o estranho que com alguns
equipamentos, mesmo denido o grupo com privilegio 15, mostra no
modo de usurio e noutros no modo privilegiado.
a que de deve?
um abrao
hadolfo
RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 1 16 3 9 2 #RESPOND)
Obrigado Honorio,
Quais equipamentos?
Switches, dependendo da congurao pode cair no modo
usurio, mas se voc informar a enable secret vai ter acesso
privilegiado.
05/08/2015 11:02
17 de 17
http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
2 00 8 / ?REPLYTOCOM= 1 16 8 9 2 #RESPOND)
Obrigado Ortega,
como resolvo este erro?
The Radius request did not match any congured connection request
policy(CRP)
um abrao
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-
Guilherme says :
2 00 8 / ?REPLYTOCOM= 1 26 8 0 7 #RESPOND)
Parabens !!!!
Envie o Comentrio
Avise-me sobre comentrios seguintes por email.
Avise-me sobre novas publicaes por email.
GET SOCIAL
(http://brainwork.com.br)
2014 Brainwork. Todos os direitos reservados.
Customizao e hospedagem da pgina por Brainwork
(http://brainwork.com.br).
05/08/2015 11:02