配置Cisco路由器使用活动目录验证

在使用Windows的公司中，雇员们每天都使用他们的活动目录用户名和口令来使用自己的电脑。 那么，为什么在路由器上你就要使用不同的信任呢？ 其实你不需要——你可以直接使用Windows的活动目录数据库来登录你的Cisco路由器和交换机。

本文中我将会解释如何在你的路由器以及交换机上配置活动目录验证。上一次，我教你了如何安装，配置，以及调试Windows的IAS（互联网认证服务）下面我们将会继续本教程，并解释如何配置你的路由器和交换机，以使用活动目录认证。

在开始之前，首先复习一下本文的前提条件。 我们假设，你已经将你的路由器或者交换机连接到了局域网上，启用了它的局域网接口，并在该局域网端口上获得了一个IP地址。 如果存取这台交换机或者路由器是需要通过一个路由网络的话，那么它还需要一个配置好的默认网关。

就本文而言，我使用了一台Cisco 871W路由器，它运行Cisco IOS软件，C870软件(C870-ADVIPSERVICESK9-M)，版本12.4(4)XC2, RELEASE SOFTWARE (fc1)。 特别的，它有这个IOS文件： c870-advipservicesk9-mz.124-4.XC2.

这个路由器有一个VLAN1，是4个局域网以太端口默认共享的。 这就是我配置自己IP地址的地方，如下所示：

interface Vlan1
ip address 192.168.1.100 255.255.255.0

interface FastEthernet0
no shutdown

配置路由器或交换机

虽然我是在使用一台Cisco 871W路由器，但你也可以使用一台Cisco交换机，其配置过程是类似的。 你甚至可以在Cisco PIX防火墙或者ASA设备上配置这种类型的RADIUS认证。

要想为了管理的目的，配置一台路由器或者交换机来和Windows IAS RADIUS服务器交谈，以便认证登录，首先应当确认你已经启用了一个秘密口令，如下所示：

enable secret 5 Secret!Pass1

然后，配置路由器用于RADIUS认证。
 
表格A提供了一个示例。

在这个示例中，IP地址就是我们的Windows IAS RADIUS服务器的IP地址，而Key就是我们在IAS服务器上配置RADIUS客户端时所输入的Key。 另外，我们已经配置了源端口，以确保RADIUS服务器的IP地址和我们在IAS中所配置的RADIUS客户端IP地址相符。

我们同样也配置了一个认证列表，叫做TRAuthList。 虽然你可以使用默认的认证列表，但是我不推荐你这么做。 默认列表会自动应用于所有登录设备，包括控制台。 所以，如果RADIUS认证不能通过的话，可能会导致同时将你锁于控制台之外。

我也建议配置一个本地用户名/口令，以备RADIUS服务器万一不可用，而你又需要存取网络设备时使用。 因为我们使用了登录认证模式覆盖本地，所以如果RADIUS服务器瘫痪的话，那么路由器也无法回归本地认证服务器。 这里是如何配置一个本地用户：

R1-871W(config)# user netadmin pass secretpass1

下一步，我们需要使用我们建立的认证列表来配置所有的线路。就本例而言，我们使用了普通的5条线路（0到4），但是你的设备可能会有更多线路。 这里是一个示例：

R1-871W(config)# line vty 0 4
R1-871W(config-line)# login authentication TRAuthList

在这一点上，如果我们使用Telnet连接路由器或者交换机，那么Windows活动目录认证就会生效。 不过，基于安全方面的理由，我推荐使用SSH来替代Telnet，所以我们还需要配置SSH。

首先确保我们已经在路由器上有了主机名。 这里是一个示例：

Router(config)# hostname R1-871W

然后，确保已经配置了一个IP域名。 这里是一个示例：

R1-871W(config)# ip domain-name TechRepublic.com

下一步，生成加密key，如下所示，并以默认设置回答所有问题。

R1-871W(config)# crypto key generate rsa

最后，限定VTY线路只能使用SSH——而不是Telnet。 这里是一个示例：

R1-871W(config)# Line vty 0 4
R1-871W(config-line)# Transport input ssh