堡垒机Jumpserver与radius管理网络安全设备

Posted 2023-03-01

参考技术A 一、目的

通过开源堡垒机Jumpserver与radius服务器管理网络设备可以实现以下功能：

1、ssh、telnet登录网络设备的账户统一在radius进行，方便定期修改密码、账户删减；

2、通过堡垒机登录设备能控制权限、资源，并且有操作记录，符合安全等报；

二、安装步骤

2.1 开源堡垒机Jumpserver安装

可以参考jumperserver官网安装步骤；

2.2、radius服务器安装

radius可以使用Windows的NPS（Network Policy Server ）或者是freeradius。

本次使用Windows server 2008安装NPS

2.3 交换机配置

Ruijie#enable

Ruijie#configure terminal

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa domain enable    ------>开启域名功能

Ruijie(config)#radius-server host  X..X.X.X------>配置radius IP

Ruijie(config)#radius-server key RADIUS      ------>配置与radius通信的key

Ruijie(config)#aaa authentication login radius group radius local  ------>设置登入方法认证列表为ruijie，先用radius组认证，如果radius无法响应，将用本地用户名和密码登入

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication radius    ------>vty模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#username admin password ruijie  ------>配置本地用户名和密码

Ruijie(config)#enable password ruijie        ------>配置enable密码

Ruijie(config)#service password-encryption            ------>对密码进行加密，这样show run就是密文显示配置的密码

Ruijie(config)#aaa local authentication attempts 3          ------>配限制用户尝试次数为3次，如果3次输入对了用户名但是输错了密码，将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1    ------>如果无法登入后，需要等待1小时才能再次尝试登入系统

注：锐捷交换机3760设备型号较老旧，使用ip domain-lookup

    2.2 ssh配置

    1）开启交换机的web服务功能

      Ruijie#configure terminal

      Ruijie(config)#enable service ssh-server

   2) 生成加密密钥：

      Ruijie(config)#crypto key generate dsa            ------>加密方式有两种：DSA和RSA,可以随意选择

      Choose the size of the key modulus in the range of 360 to 2048 for your

      Signature Keys. Choosing a key modulus greater than 512 may take

      a few minutes.

      How many bits in the modulus [512]:  1024               ------>输入1024直接敲回车

      % Generating 512 bit DSA keys ...[ok]

注：Jumpserver管理网络设备建议使用ssh方式，同时交换机、路由器、防火墙等网络安全设备创建ssh秘钥长度一定要大于1024