RADIUS DTLS zwischen Cisco ISE 3.4 und einem Catalyst 9300 mit IOS XE 17.15.05 richtest du nicht nur mit einem Shared Secret ein, sondern zusätzlich mit Zertifikaten auf beiden Seiten; genau dara...
Wie richte ich eine sichere SSH-Benutzerauthentifizierung per RADIUS auf einem Cisco Catalyst 9300 mit IOS-XE 17.15.05 ein?
Antwort vom**Sicher wird die SSH-Anmeldung auf einem Catalyst 9300 erst dann, wenn du AAA mit RADIUS _und_ einen lokalen Fallback-Admin _und_ ausschließlich SSHv2 auf den VTY-Lines kombinierst; nur „RADIUS einschalten“ reicht nicht, weil du dich sonst bei einem Serverfehler leicht selbst aussperrst.** ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) ## Empfohlene sichere Grundkonfiguration Die wichtigste Praxisregel ist: **erst lokalen Notfallzugang anlegen, dann AAA/RADIUS aktivieren, ganz am Ende die VTY-Lines umstellen**. Genau daran scheitern viele Standardanleitungen. ```ios conf t ! hostname C9300-01 ip domain name example.local ! username localadmin privilege 15 secret <STARKES-LOKALES-PASSWORT> ! aaa new-model ! radius server RAD1 address ipv4 10.10.10.20 auth-port 1812 acct-port 1813 key <LANGER-RADIUS-SHARED-SECRET> ! aaa group server radius RAD-GRP server name RAD1 ! ip radius source-interface Vlan10 ! aaa authentication login SSH-RADIUS group RAD-GRP local aaa authorization exec SSH-RADIUS group RAD-GRP local if-authenticated aaa accounting exec SSH-RADIUS start-stop group RAD-GRP ! crypto key generate rsa modulus 3072 ip ssh version 2 ip ssh time-out 60 ip ssh authentication-retries 3 ! line vty 0 15 transport input ssh login authentication SSH-RADIUS authorization exec SSH-RADIUS exec-timeout 10 0 ! end write memory ``` Cisco dokumentiert für IOS-XE 17.15 sowohl AAA-Login-Method-Lists mit `group radius local` als auch die SSH-Authentifizierung über RADIUS auf Catalyst 9300. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) ## Warum genau diese Variante sicherer ist `group RAD-GRP local` bedeutet: **zuerst RADIUS, bei Nichterreichbarkeit lokaler Fallback**. Das ist der entscheidende Unterschied zwischen „zentral verwaltet“ und „Aussperrungsrisiko“. Cisco zeigt genau dieses Muster als empfohlene AAA-Logik mit lokalem Fallback. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) `aaa authorization exec ...` ist wichtig, weil damit nach erfolgreicher Anmeldung auch die EXEC-Sitzung sauber autorisiert wird. Ohne diese Zeile funktioniert Login oft trotzdem, aber Rechtezuweisung und Session-Verhalten werden uneinheitlich. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) `transport input ssh` auf den VTY-Lines ist Pflicht, wenn du Telnet wirklich ausschließen willst. Der SSH-Guide für 17.15 beschreibt SSH als unterstützten Remote-Zugang und nennt RADIUS als unterstützte Authentifizierungsmethode für SSH. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_secure_shell__ssh_.html)) ## Was in vielen Anleitungen fehlt Ein häufiger Fehler ist `aaa authentication login default group radius` **ohne** `local`. Das ist in produktiven Umgebungen unnötig riskant: Fällt der RADIUS-Server oder der Pfad dorthin aus, ist kein Remote-Login mehr möglich. Der zweite typische Fehler ist, die `default`-Method-List sofort global zu verwenden. Sicherer ist zunächst eine **eigene Method-List** wie `SSH-RADIUS` und diese nur auf `line vty 0 15` zu binden. So bleibt die Konsole von Änderungen am SSH-Login getrennt. Cisco trennt in seiner AAA-Dokumentation Method-Lists genau für solche gezielten Einsatzzwecke. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) Der dritte Fehler: nur Authentifizierung konfigurieren, aber keinen definierten Source-Interface für RADIUS. Mit `ip radius source-interface Vlan10` stellst du sicher, dass der RADIUS-Server Anfragen immer von der erwarteten Management-IP sieht. Das verhindert schwer erkennbare Fehler bei ACLs, Firewalls und Server-Policies. Cisco beschreibt die RADIUS-Konfiguration inklusive globaler Serverparameter und serverbezogener Definitionen in der Security-Dokumentation für 17.15. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg.pdf)) ## Praktisch wichtig: Rechtevergabe über RADIUS Für reinen SSH-Zugang reicht Authentifizierung allein. Wenn der Benutzer nach dem Login aber direkt auf Privilege Level 15 landen soll, muss der RADIUS-Server passende Cisco-Attribute liefern. Sonst meldet sich der Nutzer zwar an, landet aber oft nur auf einem eingeschränkten Level. Der wenig beachtete Punkt dabei: **RADIUS ist für Geräte-Administration funktional möglich, aber TACACS+ ist für feingranulare CLI-Autorisierung meist besser geeignet**. Wenn du nur Benutzer gegen einen zentralen Server prüfen willst, ist RADIUS völlig in Ordnung. Wenn du pro Befehl steuern willst, wer was auf dem Switch darf, ist TACACS+ in Cisco-Umgebungen meist die sauberere Wahl. Die Cisco-AAA-Dokumentation trennt Authentifizierung, EXEC-Autorisierung und Command Authorization genau aus diesem Grund. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) ## Minimale Härtung, die du zusätzlich setzen solltest - Management-Zugriff nur aus dem Admin-Netz per ACL erlauben. - Lokalen Break-Glass-Account nur für Notfälle verwenden. - Shared Secret lang und zufällig wählen, nicht „cisco123“ oder ähnlich. - SSH-Schlüssel mit mindestens 3072 Bit erzeugen. - `exec-timeout` setzen, damit offene Admin-Sessions nicht ewig aktiv bleiben. - Wenn möglich, RADIUS-Accounting aktivieren, damit Anmeldungen nachvollziehbar sind. Cisco unterstützt dafür AAA-Accounting in derselben AAA-Architektur. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) ## Sichere Reihenfolge beim Ausrollen 1. Lokalen Admin testen. 2. Erreichbarkeit des RADIUS-Servers vom Management-VLAN prüfen. 3. AAA und RADIUS konfigurieren. 4. SSH lokal testen. 5. Erst danach `line vty` auf die neue Method-List umstellen. 6. Zweite SSH-Session offen lassen, bis der Test erfolgreich war. Das ist der praktische Unterschied zwischen einer funktionierenden und einer betriebssicheren Konfiguration. Für die Cisco-spezifischen Details zu AAA-Method-Lists und SSH auf IOS-XE 17.15 sind die relevanten Primärquellen die [AAA-Konfiguration für Catalyst 9300](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html) und die [SSH-Konfiguration für Catalyst 9300](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_secure_shell__ssh_.html).
Verwandte Fragen
Wie richte ich eine sichere SSH-Benutzerauthentifizierung auf einem Cisco Catalyst 9300 mit IOS-XE 17.15.05 ein?
Sicher richtest du SSH-Zugriff auf einem Catalyst 9300 nicht nur mit transport input ssh ein, sondern mit lokaler AAA-Authentifizierung, einem echten Admin-User mit Secret, SSHv2, RSA-Schlüsseln...
Wie richte ich es mit einem RADIUS-Server ein?
Mit einem RADIUS-Server richtest du zentrale Anmeldung für WLAN, VPN oder Netzwerkzugang ein; entscheidend ist, dass der Netzwerkdienst als Client mit dem RADIUS-Server spricht und der Server die...
Wie richte ich auf einem Cisco Switch mit IOS-XE 17.15.05 einen Cisco-ISE-Trustpoint ein?
Einen ISE-Trustpoint richtest du auf IOS‑XE 17.15.05 nicht „für ISE allgemein“ ein, sondern immer für einen konkreten Zweck: entweder damit der Switch der ISE-CA vertraut, oder d...