Active directory (AD) telah umum digunakan di perusahaan-perusahaan untuk mengelola user di dalamnya. User-user pada AD ini khususnya admin, dapat digunakan untuk autentikasi ke perangkat-perangkat jaringan misalkan cisco switch dan router. Sehingga kita tidak perlu menghafal local user di perangkat cisco atau melakukan konfigurasi user berbeda-beda pada masing-masing perangkat.
Gambar di atas adalah contoh topologi sederhana yang akan digunakan di artikel ini. Yang kita butuhkan adalah :
- Active Directory / AD Server –> Windows Server
- NPS Server –> Windows Server
- Cisco Switch –> Digunakan testing AAA
- Cisco Router –> Tambahan (Untuk koneksi ke host di dalam eve-ng)
Untuk Cisco Router pada gambar di atas hanya digunakan untuk koneksi ke host pada eve-ng, karena Cisco Switch yang digunakan adalah Switch L2 yang secara langsung tidak memiliki port untuk terhubung ke host. Tetapi yang pokok digunakan pada artikel ini adalah AD Server, NPS Server dan Cisco Switch.
Jadi sederhananya, ketika kita melakukan login di perangkat cisco, autentikasi akan di-redirect ke NPS Server dan kemudian NPS Server memeriksa di AD Server apakah user tersebut cocok atau tidak. Ketika user dan password cocok seperti yang ada di AD Server, maka autentikasi akan sukses. Jadi semua kontrol user untuk perangkat cisco terpusat di Active Directory. Kita bisa mendaftar siapa saja yang boleh mengakses perangkat cisco.
1. Setup AD Server
Hal yang pertama kita lakukan adalah melakukan setup AD Server. Lakukan setup dasar seperti pada umumnya hingga AD Server dapat beroperasi selayaknya. Lalu buat user dan group untuk testing AAA di perangkat cisco kemudian.
Sebagai contoh:
user –> user1, admin1, admin2
group –> IT Admin
Masukkan admin1 dan admin2 ke dalam group IT Admin. User di dalam group IT Admin nantinya akan digunakan sebagai user group yang dapat mengakses perangkat cisco.
2. Setup NPS
Lakukan join domain NPS Server ke AD Server. Kemudian registrasikan NPS Server ke Server AD.
Klik Register server in Active Directory.
Tambahkan Cisco Switch sebagai Radius Client. Klik kanan Radius Client > New.
Isikan hostname switch, yaitu S1 dan IP address nya yaitu 11.11.11.100. Kemudian set juga pada Shared secret.
Pada tab Advanced, pilih Cisco sebagai Vendor name.
Setelah itu kita buat Network Policy nya. Klik kanan Network Policies > New.
Beri nama policy, misalkan “Cisco Radius – S1“.
Klik Add.
Pilih Windows Groups. Klik Add.
Klik Add Groups.
Tambahkan user group yang sudah dibuat di AD Server, yaitu IT Admin.
Klik Add lagi.
Pilih Client Friendly Name. Klik Add.
Isikan hostname dari cisco switch yang menjadi Radius Client.
Klik Next.
Pilih Access granted. Klik Next.
Pilih Unencrypted authentication (PAP, SPAP) karena kita tidak menggunakan encrypted authentication. Klik Next.
Klik Next.
Pada RADIUS Attributes isikan seperti gambar di bawah, yaitu Service-Type dengan value NAS Prompt. Klik Next.
Pada Vendor Specific, Isikan seperti gambar di bawah. Pilih Cisco-AV-Pair dengan Vendor = Cisco dan Value = shell:priv-lvl=15.
Bisa dilihat summary nya seperti di bawah ini.
3. Konfigurasi AAA di Cisco Switch
### BUAT LOCAL USER
$ username cisco password cisco
### CONFIG AAA RADIUS
$ aaa new-model
$ aaa authentication login default group radius local
$ aaa authentication login No-Radius local
$ aaa authorization exec default group radius if-authenticated
$ radius-server host 11.11.11.20
$ radius-server key PasswordSaya
### SET LINE CONSOLE UNTUK TIDAK MENGGUNAKAN AUTENTIKASI RADIUS
$ line console 0
$ login authentication No-Radius
Dari konfigurasi di atas, secara default autentikasi menggunakan Radius. Kemudian khusus untuk koneksi console tidak menggunakan Radius ditandai dengan digunakannya profile No-Radius pada autentikasinya. Jadi line console akan menggunakan user lokal.
Jangan lupa konfigurasikan akses SSH untuk melakukan testing.
$ ip domain-name zakky.com
$ crypto key generate rsa
$ ip ssh version 2
$ line vty 0 4
$ transport input ssh
$ login authenticaion default
4. Testing
Lakukan testing dengan remote dari host.
$ ssh admin1@11.11.11.100