In diesem Artikel beschreibe ich die Konfiguration der RADIUS Authentifizierung im Alcatel-Lucent Enterprise OmniVista 8770 Network Management System.

Zu diesem Zweck habe ich zwei Systeme vorbereitet:

  1. Windows AD/NPS als RADIUS Server
  2. Windows PC für die Alcatel-Lucent Enterprise OmniVista 8770 Server Installation

OmniVista 8770 Network Management System

Es müssen folgende Konfigurationen im OV8770 vorgenommen werden:

  • Authentication Server definieren
  • Password Policy anpassen
  • Authentifizierungsmodus umstellen
  • Im OV Benutzer anlegen (Berechtigung)

Lizenz im OmniVista 8770

Im OmniVista 8770 muss die Security Lizenz vorhanden sein. Prüfen kannst du dies unter Help -> About

Security Lizenz prüfen

Authentication Server definieren

In der gleichnamigen Applikation unter Setup -> Security legen wir den Authentication Server an.
Rechtklick auf nmc -> Create -> Authentication server
Als Name tragen wir AD-Server ein.
In das Feld IP address tragen wir die IP-Adresse des Radius bzw. Authentication Servers ein.
Für den Shared Secret überlegen wir uns ein wirklich sicheres Passwort und tragen dieses in beide Felder ein. Zum Beispiel 12345678 🙂
Die restlichen Werte können wir auf default stehen lassen und drücken den grünen Haken.

Authentication Server definieren

Zu Redundanzzwecken könnte auch auf gleichem Weg ein zweiter Authentication Server hinzugefügt werden.

Password Policy anpassen

Unter Security muss noch die Password Policy angepasst werden.
Wir deaktivieren hier alle Checkboxen, auch das Aging der Passwörter muss deaktiviert werden.

Password Policy und Password Aging anpassen

Authentifizierungsmodus umstellen

Unter Setup -> Administration -> nmc -> OmniVista 8770 stellen wir den Authentication mode auf External authentication with local fallback.

Authentication mode setzen

So würde nach einem Timeout der Verbindung zwischen OV8770 und Authentication Server die lokale Benutzeranmeldung greifen und ein Zugriff wäre möglich. Bei External authentication only müsste man bei einem Wegfall des Authentication Servers, über den ALE Support den Zugriff wieder freischalten lassen.

Benutzer im OV8770 anlegen

Unter Security -> Administration legen wir einen neuen Benutzer an.
Wichtig ist, dass die User id dem Domänen-Login entspricht (Case sensitive). Das definierte Passwort ist temporär, da wir uns ja mit dem AD Zugang anmelden wollen und dieses durch das AD Passwort ersetzt wird, sobald man sich das erste mal erfolgreich darüber anmeldet.

Der Benutzer muss dann noch für die entsprechende Berechtigungsfreigabe den benötigten Gruppen im OV8770 zugewiesen. In meinem Fall der Gruppe Administratoren.

Wenn wir uns nun am OmniVista 8770 mit dem Benutzernamen dgawin und dem im OV definierten Passwort anmelden wollen, erhalten wir Zugang zum Server. Da auf dem externen Authentifizierungsserver ja noch kein Radius-Server eingerichtet ist, greift der Timeout und wir können uns lokal am OV8770 anmelden.

Konfiguration des Radius-Server (NPS)

In meinem Testaufbau richten wir den Netzwerkrichtlinienserver auf einem Windows Server 2012 R2 ein. Folgende Konfigurationsschritte müssen auf dem Windows NPS Server vorgenommen werden:

  • OV8770 als Radius-Client hinzufügen
  • Netzwerkrichtlinie hinzufügen
  • Benutzer im AD anlegen

Radius Client anlegen

Zuerst definieren wir den RADIUS-Client (OmniVista 8770) damit dieser berechtigt ist Anfragen an den Radius-Server zu stellen.

Radius-Client -> Neu

Als Gemeinsamen geheimen Schlüssel tragen wir hier den gleichen Wert wie den Shared Secret aus der OV8770 Definition des Authentication server ein.

Netzwerkrichtlinie hinzufügen

Rechtsklick auf Netzwerkrichtlinien -> Neu

  1. Als Richtlinienname definiere ich OmniVista8770
  2. Als Bedingung nehme ich den NAS-Bezeichner OmniVista 8770
  3. Zugriffsberechtigung: Zugriff gewährt
  4. Als Authentifizierungsmethode definieren wir Unverschlüsselte Authentifizierung (PAP, SPAP)
  5. Die weiteren Punkte bis zum Schluss einfach durchklicken, Fertigstellen.

Der OmniVista 8770 kann auch zum Zeitpunkt dieses Artikels nur RADIUS Authentifzierung mittels PAP.

Ein erster Anmeldeversuch im OV8770

Der Login im OmniVista wird nun zumindest mit „Your password was not accepted.“ abgelehnt.

Hinzufügen des AD Benutzers

Ein zweiter Anmeldeversuch am OV8770

Der Login ist erfolgreich und wir erhalten entsprechend der Gruppen Berechtigung Zugang zu OV Applikationen. Im Wireshark sieht es dann wie folgt aus:

Was passiert wenn der Radius nicht verfügbar ist?

Testweise deaktiviere ich den NPS Dienst und versuche mich erneut einzuloggen.
Es klappt! Im Wireshark sehen wir zwar den Versuch des OV8770 sich zu authentifizieren, da der Radius aber nicht antwortet, nimmt er den lokalen fallback und kann so den Zugriff gewähren.

Bei Authentication mode: External authentification only wären wir jetzt ausgesperrt.

Weitere Möglichkeiten

Man könnte die Authentifizierung noch an die Mitgliedschaft einer Benutzergruppe im AD knüpfen.
Dazu einfach die Bedingung der Netzwerkrichtlinie noch um die Gruppen-Mitgliedschaft erweitern. Wobei sich eh nur Benutzer im OV8770 anmelden können, die auch dort lokal eingerichtet sind.

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Instagram

© 2022 Dominik Gawin