Cisco Secure ACS:
در بحث VPN در سرویس RRAS عملیات شناسایی (Authentication) به صورت پیش فرض بر روی Windows Authentication است ، این بدان معنا است که Username و Password ویندوز شرط است .
سوال :
آیا قابلیت دیگری جهت عملیات شناسایی (Authentication) وجود دارد که ، Username و
Password ویندوز ملاک نباشد ؟
✔️
در بحث شبکه های کامپیوتری قائده ای تحت نام AAA وجود دارد که مخفف :
Authentication: شخصی که
از طریق VPN به به ما وصل می شود ، ابتدا باید شناسایی شود . (Username و Password
آن تایید شود)
Authorization: بعد از تاییدشدن Username و Password شخص مورد نظر ، حال باید دسترسی و قابلیت های آن را مشخص
کنید .
Accounting : بعد از مشخص شدن محدوده عملیات آن ، چه کار هایی انجام یا انجام نداده است .
✔️به خاطر داشته باشید که از همه مهم تر (Authentication) است ، افراد از قائده AAA بیشتر در بحث شناسایی (Authentication) استفاده می کنند. اما اگر می خواهید از قابلیت AAA استفاده کنید ، برای این منظور 2 پروتکل شبکه وجود دارند که عملیات AAA را به شما ارائه می دهند :
+TACACS: مختص برند Cisco است .
RADIUS: وابسته به هیچ برندی نیست و به صورت استاندارد استفاده می شود.
✔️ نرم افزار هایی که با پروتکل های +TACACS و RADIUS کار می کنند عبارتند از : (NTTacPlus، ISPUtil، SIB، IBSng، ACS)
این نرم افزار ها در بازار به Accounting معروف هستند که ، در ISP مخابرات Username , Password کاربران بر روی این نرم افزار ها ساخته می شود و در آن تعیین شده که هر کاربر چقدر می تواند دانلود کند ، سرعت اتصال آن چقدر است و …
✔️ به خاطر داشته باشید که ، تمامی نرم افزار های گفته شده با پروتکل RADIUS کار می کنند ، اما نرم افزار ACS با هر 2 پروتکل +TACACS و RADIUS کار می کند ، بنابراین ACS محصول شرکت Cisco است . ACS یک نرم افزار Web Base است که نیازمند نصب Java بر روی ویندوز سرور است و جهت اجرا باید حتما سطح عملکرد Security مرورگر پایین در نظر گرفته شود .
✔️ عملیات (Authentication) بر روی پورت های 1645 ، 1812 و عملیات (Accounting) بر روی پورت های 1813 ، 1646 انجام می شوند. (Authorization شماره Port ندارد)
سناریو:
کاری که می خواهیم انجام دهیم این است که به سرویس RRAS بگوییم از این لحظه به
بعد هر کسی از طریق VPN به تو وصل شد :
1 Password ، Username ویندوز
شرط نیست و Password ، Username شرط است که در نرم افزار ACS تعریف شده باشد .
2 عملیات شناسایی
(Authentication) به جای ویندوز بر روی RADIUS Server انجام شود. (از نرم افزار ACS استفاده می کنیم )
3 نرم افزار ACS باید Client ها را مشخص کند :
(برای RRAS نسبت Radius Server 👈 ACS)
(برای ACS نسبت Radius Client 👈 RRAS)
4 نرم افزار ACS فقط به Client هایی جواب می دهد که بین آنها یک اسم رمز وجود داشته باشد . (دقیقا مثل عملکرد پروتکل L2TP)
5 عملیات شناسایی
(Authentication) باید در ACS چک شود ، بنابراین شماره Port مهم است و در هر دو سمت باید یکی باشد .
👈 تنظیمات نرم افزار ACS :
✔️
قسمت Network Configuration را انتخاب کنید .
✔️
در پنجری باز شده در قسمت AAA Server ، ابتدا IP و شماره Port نرم افزار ACS را تنظیم کنید .
✔️ وارد قسمت AAA Client شده و سرویس RRAS را به آن معرفی کنید .
✔️ IP سرویس RRAS را در قسمت AAA Server IP Address وارد کنید .
✔️ در قسمت Shared Secret اسم رمز مورد نظر را تایپ کنید.
✔️ از لیست Authenticated Using
حالت های مختلفی از RADIUS وجود دارد که حالت استاندارد RADIUS (IETF)
را انتخاب کنید.
به خاطر داشته باشید که ، Password ، Username ویندوز شرط نیست و Password ،
Username شرط است که در نرم افزار ACS تعریف شده باشد .
✔️ وارد بخش User Setup
شده و نسبت به ساخت یک
Username
با Password اقدام کنید .
👈 تنظیمات سرویس RRAS : (مشخص کردن Radius Server)
✔️ در سرویس RRAS بر روی اسم سرور Peropertise و تب Security را انتخاب کنید .
✔️ از لیست Radius Authentication را انتخاب و بر روی Configure کلیک کنید .
✔️
در پنجره باز شده بر روی Add کلیک و آدرس IP ، اسم رمز
و شماره Port را تایپ کنید .
✔️ گزینه initial score زمانی ارزش دارد که به سرویس RRAS بیش از یک Radius Server معرفی کنید و آن کسی که امتیازش بالاتر است اول پرسیده خواهد شد .
اگر همه مراحل با موفقیت انجام گردد ، این بدان معنا است که ما از یک سیستم Client به وسیله Username و Password ساخته شده در نرم افزار ACS به سرویس RRAS با VPN متصل خواهیم شد . (فرقی ندارد با پروتکل PPTP یا L2TP متصل شوید)