OmniVista 8770 Network Management System<\/h2>\n\n\n\n
Es m\u00fcssen folgende Konfigurationen im OV8770 vorgenommen werden:<\/p>\n\n\n\n
- \n
- Authentication Server definieren<\/li>\n\n\n\n
- Password Policy anpassen<\/li>\n\n\n\n
- Authentifizierungsmodus umstellen<\/li>\n\n\n\n
- Im OV Benutzer anlegen (Berechtigung)<\/li>\n<\/ul>\n\n\n\n
Lizenz im OmniVista 8770<\/h3>\n\n\n\n
Im OmniVista 8770 muss die Security Lizenz vorhanden sein. Pr\u00fcfen kannst du dies unter Help -> About<\/em><\/p>\n\n\n\n
![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV_8770_Security_License-2.png\")
Security Lizenz pr\u00fcfen<\/figcaption><\/figure>\n\n\n\n Authentication Server definieren<\/h3>\n\n\n\n
In der gleichnamigen Applikation unter Setup -> Security<\/em> legen wir den Authentication Server an.
Rechtklick auf nmc -> Create -> Authentication server<\/em>
Als Name<\/strong> tragen wir AD-Server<\/em> ein.
In das Feld IP address<\/strong> tragen wir die IP-Adresse des Radius bzw. Authentication Servers ein.
F\u00fcr den Shared Secret<\/strong> \u00fcberlegen wir uns ein wirklich sicheres Passwort und tragen dieses in beide Felder ein. Zum Beispiel 12345678 \ud83d\ude42
Die restlichen Werte k\u00f6nnen wir auf default <\/em>stehen lassen und dr\u00fccken den gr\u00fcnen <\/span>Haken.<\/p>\n\n\n\n\n ![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_Auth_Server_Add-2.png\")
<\/figure>\nAuthentication Server definieren<\/figcaption><\/figure>\n\n\n\n Zu Redundanzzwecken k\u00f6nnte auch auf gleichem Weg ein zweiter Authentication Server hinzugef\u00fcgt werden.<\/p>\n\n\n\n
Password Policy anpassen<\/h3>\n\n\n\n
Unter Security muss noch die Password Policy angepasst werden.
Wir deaktivieren hier alle Checkboxen, auch das Aging der Passw\u00f6rter muss deaktiviert werden.<\/p>\n\n\n\n\n ![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_Security_Password_Policy.png\")
<\/a><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_Security_Password_Aging.png\")
<\/a><\/figure>\nPassword Policy und Password Aging anpassen<\/figcaption><\/figure>\n\n\n\n Authentifizierungsmodus umstellen<\/h3>\n\n\n\n
Unter Setup -> Administration -> nmc -> OmniVista 8770<\/em> stellen wir den Authentication mode<\/strong> auf External authentication with local fallback<\/em>.<\/p>\n\n\n\n
![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_Administration_Auth_Mode.png\")
Authentication mode setzen<\/figcaption><\/figure>\n\n\n\n So w\u00fcrde nach einem Timeout der Verbindung zwischen OV8770 und Authentication Server die lokale Benutzeranmeldung greifen und ein Zugriff w\u00e4re m\u00f6glich. Bei External authentication only<\/em> m\u00fcsste man bei einem Wegfall des Authentication Servers, \u00fcber den ALE Support den Zugriff wieder freischalten lassen.<\/p>\n\n\n\n
Benutzer im OV8770 anlegen<\/h3>\n\n\n\n
Unter Security -> Administration<\/em> legen wir einen neuen Benutzer an.
Wichtig ist, dass die User id<\/strong> dem Dom\u00e4nen-Login entspricht (Case sensitive). Das definierte Passwort ist tempor\u00e4r, da wir uns ja mit dem AD Zugang anmelden wollen und dieses durch das AD Passwort ersetzt wird, sobald man sich das erste mal erfolgreich dar\u00fcber anmeldet.<\/p>\n\n\n\nDer Benutzer muss dann noch f\u00fcr die entsprechende Berechtigungsfreigabe den ben\u00f6tigten Gruppen im OV8770 zugewiesen. In meinem Fall der Gruppe Administratoren. <\/p>\n\n\n\n
\n ![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_Add_User.png\")
<\/a><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_Add_User_to_Group.png\")
<\/a><\/figure>\n<\/figure>\n\n\n\nWenn wir uns nun am OmniVista 8770 mit dem Benutzernamen dgawin und dem im OV definierten Passwort anmelden wollen, erhalten wir Zugang zum Server. Da auf dem externen Authentifizierungsserver ja noch kein Radius-Server eingerichtet ist, greift der Timeout und wir k\u00f6nnen uns lokal am OV8770 anmelden.<\/p>\n\n\n\n
Konfiguration des Radius-Server (NPS)<\/h2>\n\n\n\n
In meinem Testaufbau richten wir den Netzwerkrichtlinienserver auf einem Windows Server 2012 R2 ein. Folgende Konfigurationsschritte m\u00fcssen auf dem Windows NPS Server vorgenommen werden:<\/p>\n\n\n\n
- \n
- OV8770 als Radius-Client hinzuf\u00fcgen<\/li>\n\n\n\n
- Netzwerkrichtlinie hinzuf\u00fcgen<\/li>\n\n\n\n
- Benutzer im AD anlegen<\/li>\n<\/ul>\n\n\n\n
Radius Client anlegen<\/h3>\n\n\n\n
Zuerst definieren wir den RADIUS-Client (OmniVista 8770) damit dieser berechtigt ist Anfragen an den Radius-Server zu stellen.<\/p>\n\n\n\n
Radius-Client -> Neu<\/em><\/p>\n\n\n\n
Als Gemeinsamen geheimen Schl\u00fcssel<\/strong> tragen wir hier den gleichen Wert wie den Shared Secret<\/strong> aus der OV8770 Definition des Authentication server ein. <\/p>\n\n\n\n
\n ![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_NPS_Client_Add.png\")
<\/a><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_NPS_Client_Add2.png\")
<\/a><\/figure>\n<\/figure>\n\n\n\nNetzwerkrichtlinie hinzuf\u00fcgen<\/h3>\n\n\n\n
Rechtsklick auf Netzwerkrichtlinien -> Neu<\/em> <\/p>\n\n\n\n
- \n
- Als Richtlinienname definiere ich OmniVista8770<\/em><\/li>\n\n\n\n
- Als Bedingung nehme ich den NAS-Bezeichner OmniVista 8770<\/em><\/li>\n\n\n\n
- Zugriffsberechtigung: Zugriff gew\u00e4hrt<\/em><\/li>\n\n\n\n
- Als Authentifizierungsmethode definieren wir Unverschl\u00fcsselte Authentifizierung (PAP, SPAP)<\/em><\/li>\n\n\n\n
- Die weiteren Punkte bis zum Schluss einfach durchklicken, Fertigstellen.<\/li>\n<\/ol>\n\n\n\n
\n ![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_NPS_Policy_Add.png\")
<\/a><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_NPS_Policy_Add_Wizard_1.png\")
<\/a><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_NPS_Policy_Add_Wizard_2.png\")
<\/a><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_NPS_Policy_Add_Wizard_3.png\")
<\/a><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_NPS_Policy_Add_Wizard_4.png\")
<\/a><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_NPS_Policy_Dashboard_Overview.png\")
<\/a><\/figure>\n<\/figure>\n\n\n\nDer OmniVista 8770 kann auch zum Zeitpunkt dieses Artikels nur RADIUS Authentifzierung mittels PAP.<\/p>\n\n\n\n
Ein erster Anmeldeversuch im OV8770<\/h3>\n\n\n\n
Der Login im OmniVista wird nun zumindest mit “Your password was not accepted.” abgelehnt.<\/p>\n\n\n\n
\n ![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_Login_nicht_erfolgreich2.png\")
<\/a><\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_Login_nicht_erfolgreich3.png\")
<\/a><\/figure>\n<\/figure>\n\n\n\nHinzuf\u00fcgen des AD Benutzers<\/h3>\n\n\n\n
\n ![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_AD_User_Create_1.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_AD_User_Create_2.png\")
<\/figure>\n<\/figure>\n\n\n\nEin zweiter Anmeldeversuch am OV8770<\/h3>\n\n\n\n
Der Login ist erfolgreich und wir erhalten entsprechend der Gruppen Berechtigung Zugang zu OV Applikationen. Im Wireshark sieht es dann wie folgt aus:<\/p>\n\n\n\n
\n ![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_AD_Login_erfolgreich1.png\")
<\/figure>\n<\/figure>\n\n\n\nWas passiert wenn der Radius nicht verf\u00fcgbar ist?<\/h2>\n\n\n\n
Testweise deaktiviere ich den NPS Dienst und versuche mich erneut einzuloggen.
Es klappt! Im Wireshark sehen wir zwar den Versuch des OV8770 sich zu authentifizieren, da der Radius aber nicht antwortet, nimmt er den lokalen fallback und kann so den Zugriff gew\u00e4hren.<\/p>\n\n\n\n\n ![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_NPS_Service_deactivate.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.dominikgawin.de\/wp-content\/uploads\/2022\/01\/OV8770_NPS_Service_unreachable-1024x191.png\")
<\/figure>\n<\/figure>\n\n\n\nBei Authentication mode:<\/strong> External authentification only<\/em> w\u00e4ren wir jetzt ausgesperrt.<\/p>\n\n\n\n
Weitere M\u00f6glichkeiten<\/h3>\n\n\n\n
Man k\u00f6nnte die Authentifizierung noch an die Mitgliedschaft einer Benutzergruppe im AD kn\u00fcpfen.
Dazu einfach die Bedingung der Netzwerkrichtlinie noch um die Gruppen-Mitgliedschaft erweitern. Wobei sich eh nur Benutzer im OV8770 anmelden k\u00f6nnen, die auch dort lokal eingerichtet sind.<\/p>\n","protected":false},"excerpt":{"rendered":"In diesem Artikel beschreibe ich die Konfiguration der RADIUS Authentifizierung im Alcatel-Lucent Enterprise OmniVista 8770 Network Management System. Zu diesem Zweck habe ich zwei Systeme vorbereitet: OmniVista 8770 Network Management System Es m\u00fcssen folgende Konfigurationen im OV8770 vorgenommen werden: Lizenz im OmniVista 8770 Im OmniVista 8770 muss die Security Lizenz vorhanden sein. Pr\u00fcfen kannst du […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,6],"tags":[],"class_list":["post-32","post","type-post","status-publish","format-standard","hentry","category-ale","category-omnivista-8770"],"_links":{"self":[{"href":"https:\/\/www.dominikgawin.de\/index.php?rest_route=\/wp\/v2\/posts\/32","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dominikgawin.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dominikgawin.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dominikgawin.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dominikgawin.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=32"}],"version-history":[{"count":26,"href":"https:\/\/www.dominikgawin.de\/index.php?rest_route=\/wp\/v2\/posts\/32\/revisions"}],"predecessor-version":[{"id":1194,"href":"https:\/\/www.dominikgawin.de\/index.php?rest_route=\/wp\/v2\/posts\/32\/revisions\/1194"}],"wp:attachment":[{"href":"https:\/\/www.dominikgawin.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=32"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dominikgawin.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=32"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dominikgawin.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=32"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Als Bedingung nehme ich den NAS-Bezeichner OmniVista 8770<\/em><\/li>\n\n\n\n
- Als Richtlinienname definiere ich OmniVista8770<\/em><\/li>\n\n\n\n