Você está na página 1de 17

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

1 de 17

BLOG (http://brainwork.com.br/)

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

CONTATO (http://brainwork.com.br/contato/)

05/08/2015

Autenticao do
roteador no AD
(Windows Server 2008)

Autenticao do roteador no
AD (Windows Server 2008)

Arquivo

Select Month

Categorias

Select Category

Tags
Anteriormente aqui no blog, vimos como congurar um roteador para a utilizao de
usurio e senha local (Congurando usurio e senha para o roteador
(http://brainwork.com.br/2009/07/27/congurando-usurio-e-senha-para-o-roteador/)).
Naquele exemplo utilizamos os usurios criados no prprio equipamento para fazer a
autenticao.
Agora, evoluindo a soluo, vamos ver como fazer a integrao do equipamento com o
AD (Microsoft Active Directory), e assim utilizar o mesmo usurio da rede para acessar
o roteador. Para isso, alm do roteador e do AD, vamos precisar do IAS.
Neste exemplo utilizamos o Windows Server 2008 R2 com AD e IAS e um roteador
2801.
Congurao do Roteador
Apesar de usarmos um roteador no exemplo, as mesmas conguraes podem ser
aplicadas aos switches.
Temos que criar um usurio local, para que caso a comunicao com o servidor IAS
falhe ainda tenhamos acesso ao equipamento. Depois basta habilitar o AAA e
especicar o IP do Servidor, bem como a shared secret.

Ano 7

(http://www.blogoversary.com)

Login

Entrar
Posts RSS (Really
Simple
Syndication)

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

2 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

Habilitando autenticao via Radius/AD

!Criando um usurio local


username brain privi 15 secret cisco
! Habilitando o aaa
aaa new-model
! Especicando os mtodos de autenticao (primeiro via Radius, depois Local)
aaa authentication login default group radius local
aaa authentication enable default group radius enable
aaa authorization console
aaa authorization exec default group radius local
! IP do Servidor onde est instalado o IAS (Radius) e a shared Secret
radius-server host 192.168.1.41 auth-port 1812 acct-port 1813 key cisco@123
! IP que o roteador enviar para o servidor, durante a autenticao
ip radius source-interface f0/0
!
Com esta congurao o acesso via Telnet e console j ser autenticado via Radius.
Caso o SSH esteja habilitado, tambm passar a usar a autenticao via Radius.
J para o acesso HTTP, caso necessrio, devemos adicionar o comando ip http
authentication aaa .
Congurao no AD
Considerando-se que o AD j esteja funcionando, com as contas de usurios e tudo
mais, no ser necessrio nenhuma congurao adicional.
Opcionalmente podem ser criados grupos, onde os usurios que tero acesso aos
equipamentos devem ser adicionados.
Neste exemplo, temos dois grupos no AD: Acesso Priv 1 para Roteadores e Acesso
Priv 15 para Roteadores . No grupo Priv 1 esto os usurios que no podem acessar
o modo privilegiado e no grupo Priv 15 esto os usurios que tem acesso full ao
roteador.
Instalando o IAS (Radius Microsoft)
O Internet Authentication Server IAS o servidor Radius da Microsoft, e neste
exemplo vamos utiliz-lo para fazer o proxy entre os equipamentos e o AD. Ou seja,
ao logar no roteador o mesmo enviar as credenciais para o Radius (IAS), que por sua
vez passar estas informaes para o AD.
Se o usurio for vlido (usurio existir e a senha estiver correta) ele ter acesso ao
equipamento, caso contrrio o acesso ser negado.
Apesar de extensa a congurao simples so dont worry
1) No Windows Server 2008, Clique em Start > Administrative Tools > Server
Manager e em seguida Add Roles .

RSS (em ingls:


Really Simple
Syndication) dos
comentrios

WordPress.org

Acesse Tambm
Bartulihe
(http://bartulihe.wordpress.com/
Blog LabCisco
(http://labcisco.blogspot.com.br
/?m=0)

Cisco Certied
(Blog CCNA)
(http://www.blog.ccna.com.br/)
Cisco IOS hints
and tricks
(http://blog.ioshints.info/)
Cisco Support
Community
(https://supportforums.cisco.com
/community
/portuguese)
Coruja de TI
(http://blog.corujadeti.com.br/)
Estude CCNA
(http://estudeccna.com.br/)
Internetwork
Experts
(http://blog.internetworkexpert.com
Netnders Brasil
(http://netndersbrasil.blogspot.co
Rodrigo Rovere
(http://ciscoredes.com.br/)
Rota Default
(http://www.rotadefault.com.br/
Tekcert
(http://www.tekcert.com/)
The Cisco
Learning Network
(https://learningnetwork.cisco.com
/index.jspa)

Participaes
recentes

Everton
Niwmar
(http://brainwork.com.br
/2010/01
/13/comandosbsicospara-roteadorescisco/#comment128295) 03.08.15
Comandos

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

3 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

2) Na tela Add Roles Wizard, selecione a opo Network Policy and Access
Services. Depois Next duas vezes.

bsicos para
roteadores
Cisco
(http://brainwork.com.br
/2010/01
/13/comandosbsicospara-roteadorescisco/#comment128295)
Daniel
(http://brainwork.com.br
/2009/07/06/vpnipsec-parte2/#comment127950) 31.07.15

3) Selecione a opo Network Policy Server e clique em Next.

VPN IPSec
Parte 2
(http://brainwork.com.br
/2009/07
/06/vpnipsec-parte2/#comment127950)
Guilherme
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-ad-windowsserver2008/#comment126807) 24.07.15

4) Por m clique Install, espere a instalao ser concluda, clique em Close e reinicie
o servidor.
Congurando o IAS
Agora, com o IAS instalado, vamos congur-lo.
1) De volta ao Sever Manager, expanda a rvore Roles > Network Policy and
Access Service > NPS (Local), e ento clique com o boto direito do mouse e
selecione a opo Register service in Active Directory .
Obs.: Nesse momento ser solicitada a autenticao de um login com permisses
administrativas no domnio para integrao do servio.

Autenticao
do roteador
no AD
(Windows
Server 2008)
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-adwindowsserver2008/#comment126807)
Leandro
(http://brainwork.com.br
/2008/11
/28/editandoacl-numerada
/#comment126296) 22.07.15
Editando ACL
numerada
(http://brainwork.com.br
/2008/11
/28/editando-

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

4 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
acl-numerada
/#comment126296)
Wislley
(http://brainwork.com.br
/2015/07
/07/jumboframesem-switchescatalyst
/#comment123603) 08.07.15

Nas duas mensagens que aparecero em seguida (liberao de Dial-in para os usurios
do AD e conrmao), clique Ok.
3) Agora expanda a rvore NPS (Local) RADIUS Clients and Servers > RADIUS
Client, e clique com o boto direito. Em seguida selecione New Radius Client. Nesse
momento iremos informar que roteador poder utilizar o servio de autenticao.

Jumbo
Frames em
switches
Catalyst
(http://brainwork.com.br
/2015/07
/07/jumboframesem-switchescatalyst
/#comment123603)
Marcos
(http://brainwork.com.br
/2010/04
/09/montetopologiano-cacti-com-oweathermap
/#comment121286) 26.06.15

4) Preencha os campos com os dados do equipamento que utilizar o Radius para


autenticao, onde Friendly name = hostname, Address = IP do equipamento.
Selecione a opo Manual e informe a Shared Secret (cisco@123, neste exemplo).
Essa chave tambm cadastrado no roteador. Na opo Vendor Name selecione
RADIUS Standard e clique ok.

Monte
topologia no
Cacti com o
Weathermap
(http://brainwork.com.br
/2010/04
/09/montetopologiano-cacticom-oweathermap
/#comment121286)
Honorio
Adolfo
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-ad-windowsserver2008/#comment116892) 18.06.15
Autenticao
do roteador
no AD

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

5 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

Obs: O Friendly name pode ser qualquer coisa, mas ca mais fcil a administrao se
associarmos o hostname.
Repita este passo para todos os equipamentos que forem utilizar a autenticao via
IAS (Radius).
5) Novamente no menu do lado esquerdo, expanda a rvore Policies e selecione
Network Policies . Renomeie Connections to Microsoft Routing and Remote
Access Server para Priv 1 e renomeie Connections to other access servers
para Priv 15.

(Windows
Server 2008)
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-adwindowsserver2008/#comment116892)
Lu Wo
(http://brainwork.com.br
/2009/05
/07/conceitossobre-ipsidsparte1/#comment116389) 17.06.15
Conceitos
sobre IPS/IDS
(Parte 1)
(http://brainwork.com.br
/2009/05
/07/conceitossobre-ipsidsparte1/#comment116389)
Honorio

7) Aps renomear as Policies, clique com o boto direito em Priv 1 > Propriedades.
Na tela Priv 1 Properties , marque a opo Grant Access. Grant Access if the
connection request matches the policy, no item Access Permission.

Adolfo
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-ad-windowsserver2008/#comment114803) 14.06.15
Autenticao
do roteador
no AD
(Windows
Server 2008)
(http://brainwork.com.br
/2009/12
/10/autenticaodo-roteadorno-adwindowsserver2008/#comment114803)
Emerson de

8) Agora, na aba Conditions , remova o grupo padro, e em seguida clique em Add e


selecione a opo Windows Groups.

Melo Vala
(http://brainwork.com.br
/2009/03
/16/congurandovlan/#comment-

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

6 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...
114274) 13.06.15
Congurando
VLAN
(http://brainwork.com.br
/2009/03
/16/congurandovlan/#comment114274)
Recent comments
plugin
(https://wordpress.org
/plugins
/recentcomments/)

Tweets
/user?user_id=35906179) via Twitter Web Client
(http://twitter.com)

9) Busque o grupo que ter acesso somente leitura aos equipamentos (nvel 1),
previamente denido no AD. No exemplo Acesso Priv 1 para Roteadores .

Blog: Treinamentos Cisco em


promoo brainwork.com.br/2015
/07/08/t (http://t.co/OQYn8ljcfd)

Ms passado (https://twitter.com/twitterapi
/status/618767864300875776) from brainwork's
Twitter (https://twitter.com/intent
/user?user_id=35906179) via brainworkblog

Seguir @brainworkblog

Facebook

10) Na aba Constraints , remova as opes em EAP Types. A nica opo


selecionada nesta tela ser: Unencrypted authentication (PAP, SPAP).

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

7 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

11) Agora na aba Settings RADIUS ATTRIBUTES , remova o item chamado


Framed-Protocol. Em seguida clique Service-Type > Edit. Na janela Attribute
Information selecione a opo Others > Login e Ok.

Novamente Ok. Ir aparecer uma mensagem perguntando se voc quer ver um tpico
da ajuda, pois foi selecionando um mtodo de autenticao inseguro (PAP). Clique
No.
12) No menu do lado esquerdo selecione a opo Vendor Specic e em seguida
Add . Na janela que se abrir selecione Cisco e novamente clique em Add .

Continuando, clique em Add , no campo Attribute Value insira shell:priv-lvl=1.


Clique em Ok, Ok, Close, Ok, No, Ok.
ATENO: nesse momento que denimos que o grupo Acesso Priv 1 para
Roteadores ter permisso 1 (um), ou seja, acesso limitado (modo usurio).

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

8 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

Pronto. O IAS foi instalado e congurado para os usurios do grupo Acess Priv 1 para
Roteadores (grupo criado no AD), que tero acesso limitado.
Para os usurios do grupo Acesso Priv 15 para Roteadores (modo privilegiado),
repita o procedimento, selecionando em Network Policies o grupo Priv 15 e
repetindo os passos anteriores, alterando o grupo Acesso Priv 15 para Roteadores
(grupo existente no AD) no item 7 e o Atributte Value para shell:priv-lvl=15 no item
12.
Assim, basta o administrador adicionar os usurios a um dos dois grupos no AD para
que o usurio tenha acesso limitado ou completo.
Throubleshoot
Para vericar o funcionamento da soluo, podemos utilizar os seguintes comandos
no roteador:

debug aaa authentication


debug aaa authorization
debug radius authentication
Tambm possvel visualizar o status da autenticao no servidor (IAS), atravs do
Event Viewer (Start > Administrative Tools > Event Viewer).
Com o Event Viewer aberto, clique em Custom Views > Server Roles > Network Policy
and Account. No centro sero exibidos os eventos relacionados a login/falha no
roteador.

Ufa! At a prxima.

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

9 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

Sugesto e colaborao do leitor Daniel Gurgel.

1
TAGS: AD (HTTP:// BRAINWORK.COM.BR/ TAG/ AD/ ), AUTENTICAO AD (HTTP:/ / BRAINWORK.COM.BR
/ TAG/ AUTENTICACAO-AD/ ), IAS (HTTP:/ / BRAINWORK.COM .BR/ TAG/ IAS/), INTEGRAO COM AD;
AUTENTICAO RADIUS (HTTP:/ /BRAINWORK.COM.BR/ TAG/ INTEGRACAO-COM-AD-AUTENTICACAORADIUS/ ), RADIUS (HTTP:// BRAINWORK.COM.BR/ TAG/ RADIUS/)

33 Responses to Autenticao do roteador no AD


(Windows Server 2008)
RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Jean Carlos says :

2 00 8 / ?REPLYTOCOM= 1 43 0 #RESPOND)

08/10/2010 at 18:48 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-1430)

Parabns,
Muito bom esse material

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Anderson says :

2 00 8 / ?REPLYTOCOM= 1 99 5 #RESPOND)

07/11/2010 at 19:43 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-1995)

UFAAA! Excelente trabalho ! Venho procurando um explicao dessas


h 2 semanas! Parabns! Sem comentrios pela sua facilidade e
capacidade para criar esse post.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Thiago says :

2 00 8 / ?REPLYTOCOM= 2 06 2 #RESPOND)

11/11/2010 at 18:52 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-2062)

Muito bom funciona tbm em switches? E access points ser que


poderia adicionar grupo de usurios para acessar wi?

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Andr Ortega (http://brainwork.com.br/blog) says :

2 00 8 / ?REPLYTOCOM= 2 12 7 #RESPOND)

15/11/2010 at 11:44 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-2127)

Thiago, funciona em switches e aps tambm. Para acessar o wi


semelhante, mas munda um pouco (802.1x ser congurado).

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Vinicius Francez says :

2 00 8 / ?REPLYTOCOM= 4 39 9 #RESPOND)

06/06/2011 at 16:24 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-4399)

Andr, muito bom, parabns, tenho um AP cisco e queria congurar a


autenticao Wi-Fi no Radius/AD, tem algum material que explica
como conguro?
Obrigado

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Andr Ortega (http://brainwork.com.br/blog) says :

2 00 8 / ?REPLYTOCOM= 4 40 0 #RESPOND)

06/06/2011 at 16:45 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-4400)

Vinicius, coloque sua pergunta no brainwork responde. Fica melhor


para compartilharmos as informaes.

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

10 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

denzel says :

2 00 8 / ?REPLYTOCOM= 7 97 3 #RESPOND)

31/07/2012 at 12:39 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-7973)

Caro Andre Ortega!


Muito obrigado mesmo por etste post. realmente uma grande
materia que eu venho procurando a faz tempo. A minha pergunta a
seguinte:
1. Caso eu tenha mais de 10 pessoas ou mesmo 5, que eu queira dar
acesso ou que precisam aceder ao dispositivo (router, switc, ASA
etc.).ser que todos estes 5 ou 10 utilizadores usariam a mesma
username e palavra passe??? ou teriamos neste caso que criar
igualmente 5 ou 10 outras contas com seus usernames e palavra
passe??
2. Relativamente ao acesso ao dispositivo fora da minha instalaao ou
empresa..
a)devo criar outras contas? ou bastaria que fosse por exemplo acima;
!Criando um usurio local
username brain privi 15 secret cisco??
3. Ja que estamos a falar de RADIUS.
Como seria entao caso eu tenha uma VPN, como seria a Autenticaao
dos utilizadores remotos que se queiram ligar a minha rede interna
para aceder recursos da rede?
Criaria eu outros usernames e senha?? ou o username e senha acima
seria o suciente!!
Muito obrigado uma vez mais pelo Post
E co no Aguardo de sua resposta.
Denzel.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Andr Ortega (http://brainwork.com.br/blog) says :

2 00 8 / ?REPLYTOCOM= 7 97 6 #RESPOND)

31/07/2012 at 16:35 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-7976)

Ol Denzel,
1) Com estas conguraes os usurios usaro o nome e senha da
rede. Ou seja, cada um tem o seu. No vai precisar criar usurios nos
equipamentos.
2) O acesso externo igual. Ser utilizado o usurio de rede, no
precisa criar usurios locais.
3) Para VPN semenhante, mas no precisa da parte de privilgio. S
a autenticao j basta.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Daniel Gurgel says :

2 00 8 / ?REPLYTOCOM= 7 97 7 #RESPOND)

31/07/2012 at 16:42 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-7977)

importante criar um usurio local apenas para gerencia do


equipamento em caso do radius server car o nesse caso o logon
ser com o usurio local.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Joe says :

2 00 8 / ?REPLYTOCOM= 1 23 5 4 #RESPOND)

06/02/2013 at 15:33 (http://brainwork.com.br/2009/12/10/autenticao-do-roteador-

no-ad-windows-server-2008/#comment-12354)

Ola, estou tentando autenticar um switch 3com 4210G mas no caso


no encontrei o attribute value para colocar, algum saberia me

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

11 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

informar isso?

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Valdemberg says :

2 00 8 / ?REPLYTOCOM= 1 49 9 3 #RESPOND)

18/04/2013 at 12:51 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-14993)

Ola, estou com difuculdade em conectar um roteador edimax


wireless com rmware verso 9 da ap router no meu servidor
windows server 2008 r2 enterprise, o servidor esta congurado com
ip xos,
todos os pcs se conctar ao servidor e tem internet, mais no consigo
liberar a internet para o roteador edimax, alguem pode me ajudar.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Gil Amaral says :

2 00 8 / ?REPLYTOCOM= 1 79 6 2 #RESPOND)

09/08/2013 at 09:20 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-17962)

Caro Andr Ortega,


estou buscando uma soluo de AAA para minha empresa. A soluo
at ento levantada seria o TACACS, mas como tenho outros
dispositivos que no CISCO na rede, estou optando por RADIUS. Uma
dvida que me bateu depois de ler este excelente tutorial como
cam os logs dos comandos executados pelo usurio nos devices?
Ou seja, no TACACS, tenho log de todos os comandos executados
pelo user para uma futura anlise de falha.
Obrigado.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Andr Ortega (http://brainwork.com.br/blog) says :

2 00 8 / ?REPLYTOCOM= 1 79 6 7 #RESPOND)

09/08/2013 at 11:23 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-17967)

Ol Gil,
realmente o RADIUS no possui est opo de logar os comandos.
Neste caso TACACS+ (evoluo do TACACS) a melhor opo.
Note que o TACACS+, apesar de ter sido criado pela Cisco, foi
publicado como draft no IETF, assim equipamentos de outros
fabricantes podem suportar este protocolo.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Wislley (http://brainwork.com.br) says :

2 00 8 / ?REPLYTOCOM= 2 67 9 0 #RESPOND)

10/06/2014 at 10:57 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-26790)

Bom dia Andr,


Excelente tpico.
Seguindo seu tutorial consegui autenticar com sucesso um SWITCH
CISCO no servidor Windows 2008 R2 com NPS (RADIUS), mas na parte
dos comandos no SWITCH tenho algumas dvidas sobre algumas
linhas que eu z.
Primeiro vou relatar todos os passos que estou z:
Primeiro criei um usurio local para o caso do servidor RADIUS car
indisponvel.
Switch(cong)#username admin privilege 15 password cisco
Depois ativei o AAA.
Switch(cong)#aaa new-model
Depois congurei autenticao AAA apontando primeiro para o
grupo RADIUS-SERVERS e no caso do server car indisponvel ele vai

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

12 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

autenticar com o usurio local.


Switch(cong)#aaa authentication login default group RADIUSSERVERS local
Depois congurei a autorizao do AAA.
Aqui tenho dvida nessas linhas.
Sei que ele autoriza o grupo RADIUS-SERVERS, mas no entendi a
diferena da linha de comando que tem EXEC e a linha de comando
que tem NETWORK.
Switch(cong)#aaa authorization exec default group RADIUS-SERVERS
local
Switch(cong)#aaa authorization network default group RADIUSSERVERS local
Depois criei o grupo RADIUS-SERVER e adicionei meu servidor ao
grupo.
Switch(cong)#aaa group server radius RADIUS-SERVERS
Switch(cong-sg-radius)#server X.X.X.X auth-port 1812 acct-port 1813
Depois especico o servidor IP do server RADIUS, portas usadas e a
senha.
Esses dados sero TAMBM sero inseridos no servidor RADIUS na
parte do NPS.
Switch(cong)#radius-server host X.X.X.X auth-port 1812 acct-port
1813 key XXXXX
O comando abaixo no sei sua funo.
Switch(cong)#aaa session-id common
O comando abaixo habilita as conexes telnet para se autenticarem
no RADIUS.
Switch(cong)#line vty 0 15
Switch(cong-line)#login authentication default
Em resumo tenho dvidas nos 3 comandos abaixo:
Switch(cong)#aaa authorization exec default group RADIUS-SERVERS
local
Switch(cong)#aaa authorization network default group RADIUSSERVERS local
Switch(cong)#aaa session-id common
Agradecido pela ateno.

RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Andr Ortega (http://brainwork.com.br/blog) says :

2 00 8 / ?REPLYTOCOM= 2 67 9 2 #RESPOND)

10/06/2014 at 11:40 (http://brainwork.com.br/2009/12/10/autenticaodo-roteador-no-ad-windows-server-2008/#comment-26792)

Ol Wislley,
Seguem as denies:
aaa authorization exec default group RADIUS-SERVERS local:
faz com que o switch contacte o servidor Radius para
determinar se o usurio pode acesar o EXEC Shell. Se
houver falha na comunicao com o servidor Radius, o
usurio tem acesso a CLI normalmente, j que foi ao menos
autenticado.
aaa authorization network default group RADIUS-SERVERS
local: Este comando congura a autorizao via Radius. Ou
seja, alm de autorizar, o Radius poderia informar qual o IP o
usurio deve receber, a utilizao de uma ACL e outros
parmetros que podem ser especicados por usurio.
aaa session-id common: Garante que toda informao de
identicao de uma sesso seja idntica para a sesso. a

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

13 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

opo padro.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Wislley (http://brainwork.com.br) says :

2 00 8 / ?REPLYTOCOM= 2 67 9 3 #RESPOND)

10/06/2014 at 12:33 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-26793)

Obrigado pela resposta Andre,


Mas ainda no entendi bem as linhas de autorizao.
O conceito que tenho de AAA que depois da AUTENTICAO vem a
AUTORIZAO e que ela tem a funo de diferenciar o privilgio do
usurio que est autenticando.
Pelo que entendi as permisses so denidas pela linha shell:privlvl=15 no NPS que esto apontadas para determinado grupo do AD.
O que seria o EXEC SHELL que voc informou?
Sobre o comando AAA SESSION-ID COMMON no entendi sua
explicao.

RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Andr Ortega (http://brainwork.com.br/blog) says :

2 00 8 / ?REPLYTOCOM= 2 68 0 3 #RESPOND)

10/06/2014 at 17:21 (http://brainwork.com.br/2009/12/10/autenticaodo-roteador-no-ad-windows-server-2008/#comment-26803)

Uma coisa ter autorizao, outra o nvel de autorizao


voc est autorizao, mas que comandos pode usar?
E isso s possvel no TACACS, Radius no suporta este nvel
de autorizao
Shell Exec a linha de comando do roteador, e quanto ao
session-id, imagine que esto sendo gerados vrios logs
sobre a sesso, com este comando seria mantido um
identicador da sesso nestes logs.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Wislley (http://brainwork.com.br) says :

2 00 8 / ?REPLYTOCOM= 2 68 2 7 #RESPOND)

11/06/2014 at 12:20 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-26827)

Obrigado Andr.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Jonas (http://www.hitekinformatica.com.br) says :

2 00 8 / ?REPLYTOCOM= 8 80 7 5 #RESPOND)

24/03/2015 at 22:23 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-88075)

Caro Andr, Parabns pelo post, muito bom!!!


Porm eu estou com uma duvida, gostaria de autenticar via WiFi (ser
para usurios pblicos) equipamentos que no esto no AD
(Smartphones, Ipads, Notes) , e no quero usar certicado, apenas
autenticao com login e senha do AD na hora de se conectar via WiFi
com roteador apontando para servidor Radius, possvel ? Como ?
Abraos!

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Jonas (http://www.hitekinformatica.com.br) says :

2 00 8 / ?REPLYTOCOM= 8 80 7 7 #RESPOND)

24/03/2015 at 22:25 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-88077)

Esqueci de mencionar o roteador um simples da Tp-link 300 mbps.

RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Andr Ortega (http://brainwork.com.br/blog) says :

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

14 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

2 00 8 / ?REPLYTOCOM=
8 84 4at
3 #RESPOND)
26/03/2015
16:17 (http://brainwork.com.br/2009/12/10/autenticao-

do-roteador-no-ad-windows-server-2008/#comment-88443)

possvel sim, mas no sei se este equipamento suporta esta


funcionalidade.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Jonas (http://www.hitekinformatica.com.br) says :

2 00 8 / ?REPLYTOCOM= 8 85 8 0 #RESPOND)

27/03/2015 at 12:12 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-88580)

Andr o roteador tem a funo de radius, gostaria de saber como


fazer autenticao sem precisar de certicado.

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Jonas (http://www.hitekinformatica.com.br) says :

2 00 8 / ?REPLYTOCOM= 8 85 8 3 #RESPOND)

27/03/2015 at 12:34 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-88583)

Ele tem a funo Radius mas acho q no aplica a mesma


congurao deste procedimento, pois vi que tem uns parametros
cisco, eu testei com um servidor Linux (ipcop) e funcionou, mas
preciso funcionar somente com esse roteador mesmo, acho que meu
problema est na parte de autenticao.
Desde j agradeo,
Abraos!!!

RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Andr Ortega (http://brainwork.com.br/blog) says :

2 00 8 / ?REPLYTOCOM= 8 86 2 2 #RESPOND)

27/03/2015 at 16:36 (http://brainwork.com.br/2009/12/10/autenticaodo-roteador-no-ad-windows-server-2008/#comment-88622)

Com certeza a congurao deste post no se aplica, pois


este post trata de controle de acesso administrativo, e no
acesso a rede. O que voc procura na verdade isto:
http://www.cisco.com/c/en/us/support/docs/wireless/5500series-wireless-controllers/115988-nps-wlc-cong-000.html
(http://www.cisco.com/c/en/us/support/docs/wireless/5500series-wireless-controllers/115988-nps-wlc-cong-000.html).

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Vinicius dos Santos says :

2 00 8 / ?REPLYTOCOM= 1 04 0 7 2 #RESPOND)

20/05/2015 at 16:14 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-104072)

Pessoal, estou com diculdades tem fazer este sistemas na minha


empresa
Estou com diculdades em fazer a etapa abaixo, onde eu executo
esses comando e o que essa habilitao AAA
Habilitando autenticao via Radius/AD
!Criando um usurio local
username brain privi 15 secret cisco
! Habilitando o aaa
aaa new-model
! Especicando os mtodos de autenticao (primeiro via Radius,
depois Local)
aaa authentication login default group radius local
aaa authentication enable default group radius enable
aaa authorization console
aaa authorization exec default group radius local
! IP do Servidor onde est instalado o IAS (Radius) e a shared Secret

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

15 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

radius-server host 192.168.1.41 auth-port 1812 acct-port 1813 key


cisco@123
! IP que o roteador enviar para o servidor, durante a autenticao
ip radius source-interface f0/0
!
O que esta acontecendo que quando eu tenho conectar no meu
Acces Point CIsco WAP321 na rede que eu criei para teste o mesmo
pede usuario e senha eu coloco o usurio e senha que esta no AD e
no grupo que eu crie para ter acesso, aparece a mensagem que
usuario ou senhas esto incorretos
algum pode me ajudar ?
Obrigado

RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Andr Ortega (http://brainwork.com.br/blog) says :

2 00 8 / ?REPLYTOCOM= 1 04 4 0 5 #RESPOND)

21/05/2015 at 11:03 (http://brainwork.com.br/2009/12/10/autenticaodo-roteador-no-ad-windows-server-2008/#comment-104405)

Vinicius, este tutorial para acesso administrativo ao


equipamento, e no rede.
Alm disso, este seu equipamento congurado via interface
grca, no sendo possvel seguir este tutorial.
RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-

Vinicius dos Santos says :

SERVER-2 00 8 / ?REPLYTOCOM= 1 04 4 6 7 #RESPOND)

21/05/2015 at 15:14 (http://brainwork.com.br/2009/12


/10/autenticao-do-roteador-no-ad-windows-server2008/#comment-104467)

21/05/2015 at 15:14
Andr, se voc puder me add no Skype Viniciusdsts
Resumindo o que estou tentando fazer no vai
funcionar certo ?
a ideia a seguinte temos muitos problemas com
Wi aqui que os usuario passam a senha um para os
outros para pessoas no autorizadas
o que eu queria fazer o seguinte, usar o Servidor
Radius como metedo para autenticao para acessar
o Wi da empresa
atraves do usurio e senha do Domnio que j existe.
Meu ambiene
Windows Server 2008 R2
AP com tecnologia Cisco
AD
DHCP
etcc
conseguiu entender ?
Obrigado
RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-

Andr Ortega (http://brainwork.com.br


/blog) says :

WINDOWS-SERVER-2 0 0 8 /?REPLYTOCOM= 1 1 2 66 3 #RESPOND)

09/06/2015 at 18:15 (http://brainwork.com.br


/2009/12/10/autenticao-do-roteador-no-ad-windowsserver-2008/#comment-112663)

O que voc quer fazer muito normal e


funciona. No entanto este tutorial no para
isso.

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

16 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

Voc deve seguir este exemplo:


http://www.cisco.com/c/en/us/support
/docs/wireless/5500-series-wirelesscontrollers/115988-nps-wlc-cong-000.html
(http://www.cisco.com/c/en/us/support
/docs/wireless/5500-series-wirelesscontrollers/115988-nps-wlc-cong-000.html)
(no sei se o seu access-point suporta esta
funcionalidade (802.1x), pois um
equipamento home/small business)

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Vinicius dos Santos says :

2 00 8 / ?REPLYTOCOM= 1 04 4 6 6 #RESPOND)

21/05/2015 at 15:14 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-104466)

Andr, se voc puder me add no Skype Viniciusdsts


Resumindo o que estou tentando fazer no vai funcionar certo ?
a ideia a seguinte temos muitos problemas com Wi aqui que os
usuario passam a senha um para os outros para pessoas no
autorizadas
o que eu queria fazer o seguinte, usar o Servidor Radius como
metedo para autenticao para acessar o Wi da empresa
atraves do usurio e senha do Domnio que j existe.
Meu ambiene
Windows Server 2008 R2
AP com tecnologia Cisco
AD
DHCP
etcc
conseguiu entender ?
Obrigado

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Honorio Adolfo (http://NetworkAdmin) says :

2 00 8 / ?REPLYTOCOM= 1 14 8 0 3 #RESPOND)

14/06/2015 at 16:49 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-114803)

Andr,
parabns pelo instrutivo.
eu z todas denies que ilustrou, o estranho que com alguns
equipamentos, mesmo denido o grupo com privilegio 15, mostra no
modo de usurio e noutros no modo privilegiado.
a que de deve?
um abrao
hadolfo

RESPONDER (/ 20 0 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Andr Ortega (http://brainwork.com.br/blog) says :

2 00 8 / ?REPLYTOCOM= 1 16 3 9 2 #RESPOND)

17/06/2015 at 10:05 (http://brainwork.com.br/2009/12/10/autenticaodo-roteador-no-ad-windows-server-2008/#comment-116392)

Obrigado Honorio,
Quais equipamentos?
Switches, dependendo da congurao pode cair no modo
usurio, mas se voc informar a enable secret vai ter acesso
privilegiado.

05/08/2015 11:02

Brainwork | Autenticao do roteador no AD (Windows Server 2008)

17 de 17

http://brainwork.com.br/2009/12/10/autenticao-do-roteador-no-ad-wi...

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Honorio Adolfo says :

2 00 8 / ?REPLYTOCOM= 1 16 8 9 2 #RESPOND)

18/06/2015 at 07:14 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-116892)

Obrigado Ortega,
como resolvo este erro?
The Radius request did not match any congured connection request
policy(CRP)
um abrao

RESPONDER (/ 2 00 9 / 1 2/ 1 0 / AUTENTICAO-DO-ROTEADOR-NO-AD-WINDOWS-SERVER-

Guilherme says :

2 00 8 / ?REPLYTOCOM= 1 26 8 0 7 #RESPOND)

24/07/2015 at 23:17 (http://brainwork.com.br/2009/12/10/autenticao-do-roteadorno-ad-windows-server-2008/#comment-126807)

Parabens !!!!

Deixe uma resposta


Comentrio

Envie o Comentrio
Avise-me sobre comentrios seguintes por email.
Avise-me sobre novas publicaes por email.

GET SOCIAL
(http://brainwork.com.br)
2014 Brainwork. Todos os direitos reservados.
Customizao e hospedagem da pgina por Brainwork
(http://brainwork.com.br).

05/08/2015 11:02