開源堡壘機+免費radius 統一管理網絡設備telnet、ssh登陸

前言
大部門企業的IT運維團隊人員較多，同時負責網絡設備上千臺，因此不可能將網絡設備的telnet用戶名和密碼告訴全部的IT人員，可是IT人員又須要telnet部分網絡設備進行配置信息，這就能夠利用AAA認+RADIUS（internet驗證服務）的方式讓全部的部分的域用戶可以利用域賬號+密碼登陸telnet了。訪問設備不能要作到命令審計、人員訪問資源控制等功能。
1、準備工做
1臺Centos6.5主機搭建堡壘機192.168.1.2；
1臺Windows server 2012搭建radius服務器配置192.168.1.1。拓撲圖以下：

2、開源堡壘機
堡壘機可以對主機、服務器、網絡設備、安全設備等的管理維護進行安全、有效、直觀的操做審計，支持IT運維人員對多種遠程維護方式，如字符終端方式(SSH、Telnet、Rlogin)、圖形方式（RDP、X十一、VNC、Radmin、PCAnywhere）、文件傳輸（FTP、SFTP）以及多種主流數據庫的的詳細記錄和提供細粒度的審計，並支持操做過程的全程回放。網域IT運維安全審計將運維審計由事件審計提高爲內容審計，並將身份認證、受權、管理、審計有機地結合，保證只有合法用戶才能使用其擁有運維權限的關鍵資源。 本次使用Jumpserver搭建堡壘機
詳見：http://docs.jumpserver.org/zh/docs/setup_by_centos7.html

3、radius安裝
3.1，安裝
首先在windows server 2012 中添加服務器角色網絡策略和訪問服務（Network Policy Server）功能選第一個策略，其餘不選 而後右擊NPS在AD中註冊（每次重啓後NPS默認不運行）
3.2，NPS（網絡策略服務器）的設置
1）添加radius客戶端定義友好名稱（後面按這個調用）
輸入須要認證的設備IP 密碼供應商radius
Radius客戶端新建

2）定義鏈接請求策略（這個值定義radius接入訪問控制）
先定義名稱
而後條件選擇客戶端友好名稱輸入開始定義的友好名稱（文檔上顯示支持「×」補全）
下一步直到radius屬性出現 在標準中添加login-server 選擇telnet
圖片以下
1）  鏈接請求策略新建

 
2)添加客戶端友好名稱

 
3）  下一步

4）在標準中添加login-server 選擇telnet

 
3）定義網絡策略（認證與受權）
先定義名稱下一步
指定Windows組（在AD中定義）
還要添加客戶端友好名稱
1）網絡策略的概述，新建

（2）這邊須要添加客戶端友好名稱和windows組，組裏面成員須要本身添加，做爲後來telent鏈接的用戶名和密碼

下一步
在EAP界面去掉微軟下面的用戶的勾，而後勾上CHAP和PAP

下一步出現提示點否（點是跳出手冊，毫無心義）
在radius屬性中刪掉原有配置添加Service-Type Login

3.3，AD的設置添加用戶組，再加入用戶，用戶的撥入屬性改爲NPS

4、交換機radius配置
交換機的配置以下：
Ruijie#enable
Ruijie#configure terminal
Ruijie(config)#aaa new-model ------>開啓AAA功能
Ruijie(config)#aaa domain enable ------>開啓域名功能
Ruijie(config)#radius-server host 192.168.1.1 ------>配置radius IP
Ruijie(config)#radius-server key ruijie ------>配置與radius通訊的key
Ruijie(config)#aaa authentication login ruijie group radius local ------>設置登入方法認證列表爲ruijie，先用radius組認證，若是radius沒法響應，將用本地用戶名和密碼登入
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login authentication ruijie ------>vty模式下應用login認證
Ruijie(config-line)#exit
Ruijie(config)#username admin password ruijie ------>配置本地用戶名和密碼
Ruijie(config)#enable password ruijie ------>配置enable密碼
Ruijie(config)#service password-encryption ------>對密碼進行加密，這樣show run就是密文顯示配置的密碼
Ruijie(config)#aaa local authentication attempts 3 ------>配限制用戶嘗試次數爲3次，若是3次輸入對了用戶名可是輸錯了密碼，將會沒法登入交換機
Ruijie(config)#aaa local authentication lockout-time 1 ------>若是沒法登入後，須要等待1小時才能再次嘗試登入系統
5、測試
5.一、登陸堡壘機（登陸方式有兩種web、客戶端）
1）方式1，登陸堡壘機web界面 http://192.168.1.2

輸入aaa帳號和密碼便可
2）方式2，使用xshel、crt等客戶端工具登陸

登陸後的界面

注：
堡壘機不支持短的RSA，網絡配置RSA祕鑰時長度建議爲1024以上。