开源堡垒机+免费radius 统一管理网络设备telnet、ssh登陆

前言
大部门企业的IT运维团队人员较多，同时负责网络设备上千台，因此不可能将网络设备的telnet用户名和密码告诉全部的IT人员，可是IT人员又须要telnet部分网络设备进行配置信息，这就能够利用AAA认+RADIUS（internet验证服务）的方式让全部的部分的域用户可以利用域账号+密码登陆telnet了。访问设备不能要作到命令审计、人员访问资源控制等功能。
1、准备工做
1台Centos6.5主机搭建堡垒机192.168.1.2；
1台Windows server 2012搭建radius服务器配置192.168.1.1。拓扑图以下：

2、开源堡垒机
堡垒机可以对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操做审计，支持IT运维人员对多种远程维护方式，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X十一、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的的详细记录和提供细粒度的审计，并支持操做过程的全程回放。网域IT运维安全审计将运维审计由事件审计提高为内容审计，并将身份认证、受权、管理、审计有机地结合，保证只有合法用户才能使用其拥有运维权限的关键资源。 本次使用Jumpserver搭建堡垒机
详见：http://docs.jumpserver.org/zh/docs/setup_by_centos7.html

3、radius安装
3.1，安装
首先在windows server 2012 中添加服务器角色网络策略和访问服务（Network Policy Server）功能选第一个策略，其余不选 而后右击NPS在AD中注册（每次重启后NPS默认不运行）
3.2，NPS（网络策略服务器）的设置
1）添加radius客户端定义友好名称（后面按这个调用）
输入须要认证的设备IP 密码供应商radius
Radius客户端新建

2）定义链接请求策略（这个值定义radius接入访问控制）
先定义名称
而后条件选择客户端友好名称输入开始定义的友好名称（文档上显示支持“×”补全）
下一步直到radius属性出现 在标准中添加login-server 选择telnet
图片以下
1）  链接请求策略新建

 
2)添加客户端友好名称

 
3）  下一步

4）在标准中添加login-server 选择telnet

 
3）定义网络策略（认证与受权）
先定义名称下一步
指定Windows组（在AD中定义）
还要添加客户端友好名称
1）网络策略的概述，新建

（2）这边须要添加客户端友好名称和windows组，组里面成员须要本身添加，做为后来telent链接的用户名和密码

下一步
在EAP界面去掉微软下面的用户的勾，而后勾上CHAP和PAP

下一步出现提示点否（点是跳出手册，毫无心义）
在radius属性中删掉原有配置添加Service-Type Login

3.3，AD的设置添加用户组，再加入用户，用户的拨入属性改为NPS

4、交换机radius配置
交换机的配置以下：
Ruijie#enable
Ruijie#configure terminal
Ruijie(config)#aaa new-model ------>开启AAA功能
Ruijie(config)#aaa domain enable ------>开启域名功能
Ruijie(config)#radius-server host 192.168.1.1 ------>配置radius IP
Ruijie(config)#radius-server key ruijie ------>配置与radius通讯的key
Ruijie(config)#aaa authentication login ruijie group radius local ------>设置登入方法认证列表为ruijie，先用radius组认证，若是radius没法响应，将用本地用户名和密码登入
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login authentication ruijie ------>vty模式下应用login认证
Ruijie(config-line)#exit
Ruijie(config)#username admin password ruijie ------>配置本地用户名和密码
Ruijie(config)#enable password ruijie ------>配置enable密码
Ruijie(config)#service password-encryption ------>对密码进行加密，这样show run就是密文显示配置的密码
Ruijie(config)#aaa local authentication attempts 3 ------>配限制用户尝试次数为3次，若是3次输入对了用户名可是输错了密码，将会没法登入交换机
Ruijie(config)#aaa local authentication lockout-time 1 ------>若是没法登入后，须要等待1小时才能再次尝试登入系统
5、测试
5.一、登陆堡垒机（登陆方式有两种web、客户端）
1）方式1，登陆堡垒机web界面 http://192.168.1.2

输入aaa帐号和密码便可
2）方式2，使用xshel、crt等客户端工具登陆

登陆后的界面

注：
堡垒机不支持短的RSA，网络配置RSA秘钥时长度建议为1024以上。