Cisco Prime – Active Directory

Anbindung eines Cisco Prime Servers an das AD von Windows 2012 und den NetzwerkPolicyServer.
Dieses wird benötigt, damit sich Administratoren oder LobbyAdministratoren gegen das AD Authetifizieren können.

Stichwort “zentrale User Verwaltung”

Ich selber benutze dafür die Windows Standart Gruppen “Domänen Administratoren” und “Domänen Benutzer”

Was muss getan werden ?

In der Cisco Prime muss das AD als Radius Server eingetragen werden und die Authentifizierungs Methode muss von local auf Radius umgestellt werden.

Im Windows muss ein Radius Client angelegt werden und die Netzwerkrichtlinie eingetragen werden.

Eintragen des Radius im Prime

Im Prime oben Links auf die Navigation clicken und dann zu dem Punkt Administration / Users / Users, Roles & AAA wechseln.

Dort in dem Menü AAA Mode Settings die Authentifizierung umstellen von local auf Radius und den Punkt “Enable fallback to local” auf “on authentification failure or no Server responce” aktivieren.
So werden die User lokal authentifiziert, wenn der Radius Server nicht erreichbar ist.


Als nächstes wir der Radius Server eingetragen.
Dazu in den Menü Punkt “Radius Server” wechseln

Es muss die IP Adresse des Radius Servers (Windows Server) eingetragen werden, der Port über den die Prime den Radius Server ansprechen soll, der Authentication Typ und natürlich der shared Secret, das Passwort mit dem die Prime sich am AD/Radius anmelden kann.


Das war es schon soweit auf dem Prime Server, weiter geht es auf dem Windows Server im Bereich Netzrichtlinienverwaltung
Das der NPS natürlich installiert sein muss, setze ich voraus und gehe auf die Installation nicht weiter ein.

Eintragen des Prime Servers als Radius Client

Dazu im Bereich Radius-Clients “neuen Client” eintragen auswählen.

Hier muss jetzt der Name, die IP Adresse und das shared Secret Passwort eingetragen werden, wie es auch im Prime Server eingetragen wurde.

in der Registerkarte Erweitert, stellen wir noch den vendor um auf Cisco

und können jetzt das Fenster mit OK verlassen.

Der nächste Punkt ist das wir die Policy anlegen, damit der NPS weiss welcher User sich an der Prime einloggen darf und welche Berechtigungen er erhält.

Dazu in den Bereich Netzwerkrichtlinie wechseln

neue Richtlinie auswählen

Den Namen vergeben und den Zugriff gewähren

Als Bedingungen den Prime Server mit der IP Adresse als NAS IPv4 Adresse eintragen und die Windows Gruppe die den Zugriff erhalten soll.

Im Punkt Einschränkungen muss angegeben werden, mit welchem Protokoll sich die Prime am AD meldet.
Wie wir schon in der Prime angegeben haben, handlet es sich um PAP und dieses muss auch hier angewählt werden. alles andere kann abgewählt werden

Herstellerspezifisch –  Hier können Attribute eingetragen werden, die der Radius Server an die Prime zurück liefert.
In diesem Fall müssen wir das auch machen, da sonst der Zugang von der Prime verweigert wird.

Die Attribute sind zum einen, welche Rolle der User auf der Prime haben soll und an welcher Domänen auf der Prime sich der User bewegen kann.
Beides muss eingetragen werden, sonst verweigert die Prime dem User den Zugang

Das wars dann auch schon, nun kann man das ganze testen