Xác thực login router cisco bằng tài khoản Active Directory

by HaiNguyen -IT | 16/04/2026 | Lượt xem: 96

Mô hình:

 Khi ta telnet/ssh vào R7; thông thường dùng account trên thiết bị hoặc qua radius thì nhược điểm là người quản trị tạo account ban đầu sẽ biết hết pass của từng tài khoản và mình không tự đổi được.

Ở đây khi mình gõ login trên R7 nó sẽ hỏi lên AD , dùng luôn pass của AD nên đồng bộ với tài khoản dược cấp cho từng người 

Trên R7 mình khai nhanh:

aaa new-model
aaa authentication login default group radius local #nghĩa là dùng xác thực bằng cách hỏi AD, nếu không thông với AD thì nhảy về dùng account trên chính R7, bạn có thể tạo thêm acc local trên R7
!
radius server AD_SERVER
 address ipv4 192.168.2.100 auth-port 1812 acct-port 1813
 key Pppp@123 #key này sẽ điền trên AD ở đoạn sau, khớp nhau là được
!
line vty 0 4
 password cisco #để phòng khi AD không thông thì vẫn telnet dc bằng pass local nàytransport input telnet

 

  

Trên AD:
Khai domain tuỳ ý; ví dụ của mình là hainm.local, rồi tạo 1 vài account ví dụ u1/Pppp@123
Rồi khai NPS (google  hoặc youtube/AI)

Sau đó cấu hình NPS server như này:


  

 Chọn Add rồi điền R7:

 Tiếp theo vào policy chọn new

 Điền thông số cho R7

  DONEE
============TEST LẠI===============
Trên R7 dùng lệnh này test nhanh xem ăn chưa
test aaa group radius u1 Pppp@123 legacy


Thấy successfully là dc:

Từ R6 thử telnet sang R7
Thấy đã xài được user u1 lấy từ AD

Một số lệnh debug

debug aaa authentication

debug radius

undebug all #để ngắt đỡ tràn log

 

Bài viết cùng danh mục
Chia sẻ
Danh mục bài viết
Bài viết nổi bật
Bài viết mới nhất