HiveManager Admin Authentication mit RADIUS

HiveManager Login

Wer mit mehreren Administratoren arbeitet, sollte im HiveManager Classic persönliche Administrator-Accounts verwenden. Das hilft beim Nachvollziehen, wer welche Änderung an der Konfiguration durchgeführt hat. Verwendet man dafür auch noch ein Active Directory Konto über einen RADIUS-Server, muss der Administrator sich ein Kennwort weniger merken. AeroHive hat dafür die Einstellung „HiveManager Admin Authentication“ integriert. Da sich im Netz dazu bisher keine brauchbare Anleitung finden lässt und auch die Aerohive Dokumentation eher dürftig ist, hier eine kurzes How-To.

HiveManager Admin Authentication mit RADIUS

Die Funktion zum Login per RADIUS Benutzer aktiviert man in mehreren Schritten.

RADIUS-Server Verwaltung im HiveManager

In diesem Beitrag wird davon ausgegangen, dass Windows Server mit aktivierter NPS-Rolle vorbereitet wurde. Diesen fügt man dann als RADIUS-Server im HiveManager hinzu.
Configuration > Advanced Configuration > Authentication > AAA Client Settings > New
RADIUS-Server hinzufügen. Im gezeigten Screenshot wurden zwei RADIUS-Server hinzugefügt.

 

HiveManager RADIUS-Server Verwaltung

RADIUS-Server Vorbereitung

Auf dem Windows NPS Server legt man anschließend eine Verbindungsanforderungsrichtlinie und eine Netzwerkrichtlinie an.

In der Verbindungsanforderungsrichtlinie wird nahezu alles erlaubt.

Verbindungsanforderungsrichtlinie

In der Netzwerkrichtlinie gibt man die HiveManager IP-Adresse, die gewünschte administrative Active Directory Gruppe und einige Zusatzeinstellungen an. Die Richtlinie konfiguriert man wie in folgendem Screenshot abgebildet.

Netzwerkrichtlinie

Zusätzlich gibt man als herstellerspezifisches Attribut die Gruppenzugehörigkeit der in diese Richtlinie authentifizierten Benutzer mit.
Das Feld „Attributwert“ bestimmt dabei die Gruppe.

Standardmäßig bietet Aerohive die folgenden Gruppen:

0= Monitoring Only
1 = Super User
2 = Configuration and Monitoring

Unter Home > Administration > Administrators > Admin Groups kann man zusätzlich benutzerdefinierte Gruppen mit speziellen Berechtigungen erstellen.
Hierbei ist zu beachten, dass die Attributwerte erst ab 10 vergeben werden können. Alle Werte darunter sind reserviert.

Wird dieses Attribut nicht konfiguriert, erscheint beim Login im HiveManager die folgende Fehlermeldung:
„The login information you entered does not match an account on record. Please try again.“

Bei einer Konfiguration wie im folgenden Screenshot sind die angemeldeten Benutzer „Super User“.

Herstellerspezifisches Attribut

Aktivierung des RADIUS-Logins im HiveManager

Abschließend aktiviert man den Login mit einem RADIUS-Benutzer. Dies erfolgt im folgenden Menü.

Home > Administration > HiveManager Services >  HiveManager Admin Authentication Settings

HiveManager Admin Authentication Settings

 

HiveManager Login

Nach der Konfiguration wie beschrieben ist eine Anmeldung am HiveManager mit einem RADIUS/Active Directory Benutzer möglich. Im Audit Log zeigt der HiveManager dann alle Logs mit dem ausführenden Benutzer an.

Audit Log