Remote Authentication Dial-In User Service (RADIUS) merupakan protokol yang mendukung authentication, authorization, accounting atau biasa disingkat AAA. Dengan menggunakan RADIUS, pengaturan user yang masuk ke router dapat diatur dengan mudah, karena akun didaftarkan dan disimpan pada server RADIUS. Pada router cisco terdapat 2 cara untuk login menggunakan AAA yaitu melalui RADIUS atau tacacs.
Software yang digunakan:
- WinRadius [Download]
- GNS3
Topologi
Topologi yang digunakan pada percobaan ini seperti gambar di atas. Router R1, R2, dan R3 dihubungkan dengan routing protocol OSPF area 22. Jika anda ingin bereksperimen, silahkan pakai routing protocol yang anda sukai. Setelah konfigurasi routing berjalan, pastikan setiap router dan PC bisa di PING. Disini saya menggunakan WinXP sebagai server RADIUS. C1 merupakan PC host yang terhubung dengan GNS3.
Konfigurasi WinRadius
- Download WinRadius pada link yang telah disediakan.
- Jalankan WinRadius pada Windows XP (karena hanya untuk simulasi, saya menggunakan RADIUS versi portable).
- Pada saat dijalankan untuk pertama kali, WinRadius akan Membuat database menggunakan ODBC. Untuk setting database pada WinRadius, Klik Setting> Database > Configure ODBC automatically.
- Setting parameter yang digunakan untuk WinRadius, klik Settings > System. Nas Secret merupakan key yang digunakan pada saat user terjadi interaksi dengan server RADIUS. RADIUS IP, merupakan IP server yang menjalankan service RADIUS. Pada saat percobaan, saya menggunakan IP dan key seperti di bawah ini.
- Setelah semuanya telah disetting, langkah selanjutnya adalah membuat akun untuk login melalui RADIUS. Klik tanda plus(+), kemudian isi username dan password.
Konfigurasi WinRadius telah selesai dilakukan, langkah selanjutnya adalah menghubungkan router dengan server RADIUS.
Konfigurasi Router
R1>enableUntuk mengaktifkan AAA pada cisco ketik command:
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#aaa ?
new-model Enable NEW access control commands and functions.
R1(config)#aaa new-model
R1(config)#aaa ?
accounting Accounting configurations parameters.
attribute AAA attribute definitions
authentication Authentication configurations parameters.
authorization Authorization configurations parameters.
cache AAA cache definitions
configuration Authorization configuration parameters.
dnis Associate certain AAA parameters to a specific DNIS
group AAA group definitions
local AAA Local method options
max-sessions Adjust initial hash size for estimated max sessions
nas NAS specific configuration
new-model Enable NEW access control commands and functions.
pod POD processing
route Static route downloading
session-id AAA Session ID
session-mib AAA session MIB options
traceback Traceback recording
user AAA user definitions
Setelah Aktif, terdapat pilihan tambahan ketika menggunakan bantuan (?). Yang saya sorot untuk percobaan ini yaitu authentication.
R1(config)#aaa authentication login ?
WORD Named authentication list.
default The default authentication list.
Jika anda lihat di atas, setelah perintah login terdapat WORD yang harus diisi, isi untuk menamai aaa yang kita pakai. Saya namai RADIUS_AUTH sebagai contoh.
R1(config)#aaa authentication login RADIUS_AUTH ?
enable Use enable password for authentication.
group Use Server-group
krb5 Use Kerberos 5 authentication.
krb5-telnet Allow logins only if already authenticated via ...
line Use line password for authentication.
local Use local username authentication.
local-case Use case-sensitive local username authentication.
none NO authentication.
Pehatikan perintah yang saya warnai diatas, terdapat line dan local. line digunakan untuk aaa login melalui line vty (telnet / SSH). dan local digunakan untuk login melalui console.
R1(config)#aaa authentication login RADIUS_AUTH line group ?
WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.
Yak, ada yang menarik disini, selain RADIUS perangkat cisco juga bisa menggunakan tacacs+. Untuk percobaan ini saya akan memasang auth radius jika user login menggunakan telnet/SSH. Berikut perintah lengkapnya.
R1(config)#aaa authentication login RADIUS_AUTH line group radius
Langkah selanjutnya, setting radius pada router, sehingga router dapat mengelani server RADIUS.
Lihat yang saya tandai, itu merupakan parameter yang ada pada winRadius.R1(config)#radius-server host 192.168.3.2 auth-port 1812 acct-port 1813 key WinRadius
Setting line vty untuk login telnet menggunakan RADIUS.
R1(config-line)#login authentication RADIUS_AUTH
Testing
Uji coba akan dilakukan remote login menggunakan telnet melalui C1 ke router 1(R1).
IP C1 : 192.168.10.2
IP R1 : 192.168.10.1 (fa0/0)
WinRadius akan mencatat user mana yang login dan pada tanggla berapa ia login seperti gambar diatas, sengaja saya tandai. Karena username slash26 sudah terdaftar pada RADIUS, maka akun slash26 dapat digunakan untuk login di router lainnya. Tentunya router yang telah menggunakan metode auth melalui RADIUS.
Sekian Informasi yang dapat saya sampaikan, kritik dan saran sangat membantu demi kelancaran bersama
nice share gan,
BalasHapussekarang kalo setiap user masuk ke lan kita harus login dlu gan,, gimana tu
BalasHapusTunggu di post selanjutnya
Hapus