Wie richte ich eine sichere SSH-Benutzerauthentifizierung per RADIUS auf einem Cisco Catalyst 9300 mit IOS-XE 17.15.05 ein?

Antwort vom

**Sicher wird die SSH-Anmeldung auf einem Catalyst 9300 erst dann, wenn du AAA mit RADIUS _und_ einen lokalen Fallback-Admin _und_ ausschließlich SSHv2 auf den VTY-Lines kombinierst; nur „RADIUS einschalten“ reicht nicht, weil du dich sonst bei einem Serverfehler leicht selbst aussperrst.** ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) ## Empfohlene sichere Grundkonfiguration Die wichtigste Praxisregel ist: **erst lokalen Notfallzugang anlegen, dann AAA/RADIUS aktivieren, ganz am Ende die VTY-Lines umstellen**. Genau daran scheitern viele Standardanleitungen. ```ios conf t ! hostname C9300-01 ip domain name example.local ! username localadmin privilege 15 secret <STARKES-LOKALES-PASSWORT> ! aaa new-model ! radius server RAD1 address ipv4 10.10.10.20 auth-port 1812 acct-port 1813 key <LANGER-RADIUS-SHARED-SECRET> ! aaa group server radius RAD-GRP server name RAD1 ! ip radius source-interface Vlan10 ! aaa authentication login SSH-RADIUS group RAD-GRP local aaa authorization exec SSH-RADIUS group RAD-GRP local if-authenticated aaa accounting exec SSH-RADIUS start-stop group RAD-GRP ! crypto key generate rsa modulus 3072 ip ssh version 2 ip ssh time-out 60 ip ssh authentication-retries 3 ! line vty 0 15 transport input ssh login authentication SSH-RADIUS authorization exec SSH-RADIUS exec-timeout 10 0 ! end write memory ``` Cisco dokumentiert für IOS-XE 17.15 sowohl AAA-Login-Method-Lists mit `group radius local` als auch die SSH-Authentifizierung über RADIUS auf Catalyst 9300. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) ## Warum genau diese Variante sicherer ist `group RAD-GRP local` bedeutet: **zuerst RADIUS, bei Nichterreichbarkeit lokaler Fallback**. Das ist der entscheidende Unterschied zwischen „zentral verwaltet“ und „Aussperrungsrisiko“. Cisco zeigt genau dieses Muster als empfohlene AAA-Logik mit lokalem Fallback. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) `aaa authorization exec ...` ist wichtig, weil damit nach erfolgreicher Anmeldung auch die EXEC-Sitzung sauber autorisiert wird. Ohne diese Zeile funktioniert Login oft trotzdem, aber Rechtezuweisung und Session-Verhalten werden uneinheitlich. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) `transport input ssh` auf den VTY-Lines ist Pflicht, wenn du Telnet wirklich ausschließen willst. Der SSH-Guide für 17.15 beschreibt SSH als unterstützten Remote-Zugang und nennt RADIUS als unterstützte Authentifizierungsmethode für SSH. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_secure_shell__ssh_.html)) ## Was in vielen Anleitungen fehlt Ein häufiger Fehler ist `aaa authentication login default group radius` **ohne** `local`. Das ist in produktiven Umgebungen unnötig riskant: Fällt der RADIUS-Server oder der Pfad dorthin aus, ist kein Remote-Login mehr möglich. Der zweite typische Fehler ist, die `default`-Method-List sofort global zu verwenden. Sicherer ist zunächst eine **eigene Method-List** wie `SSH-RADIUS` und diese nur auf `line vty 0 15` zu binden. So bleibt die Konsole von Änderungen am SSH-Login getrennt. Cisco trennt in seiner AAA-Dokumentation Method-Lists genau für solche gezielten Einsatzzwecke. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) Der dritte Fehler: nur Authentifizierung konfigurieren, aber keinen definierten Source-Interface für RADIUS. Mit `ip radius source-interface Vlan10` stellst du sicher, dass der RADIUS-Server Anfragen immer von der erwarteten Management-IP sieht. Das verhindert schwer erkennbare Fehler bei ACLs, Firewalls und Server-Policies. Cisco beschreibt die RADIUS-Konfiguration inklusive globaler Serverparameter und serverbezogener Definitionen in der Security-Dokumentation für 17.15. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg.pdf)) ## Praktisch wichtig: Rechtevergabe über RADIUS Für reinen SSH-Zugang reicht Authentifizierung allein. Wenn der Benutzer nach dem Login aber direkt auf Privilege Level 15 landen soll, muss der RADIUS-Server passende Cisco-Attribute liefern. Sonst meldet sich der Nutzer zwar an, landet aber oft nur auf einem eingeschränkten Level. Der wenig beachtete Punkt dabei: **RADIUS ist für Geräte-Administration funktional möglich, aber TACACS+ ist für feingranulare CLI-Autorisierung meist besser geeignet**. Wenn du nur Benutzer gegen einen zentralen Server prüfen willst, ist RADIUS völlig in Ordnung. Wenn du pro Befehl steuern willst, wer was auf dem Switch darf, ist TACACS+ in Cisco-Umgebungen meist die sauberere Wahl. Die Cisco-AAA-Dokumentation trennt Authentifizierung, EXEC-Autorisierung und Command Authorization genau aus diesem Grund. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) ## Minimale Härtung, die du zusätzlich setzen solltest - Management-Zugriff nur aus dem Admin-Netz per ACL erlauben. - Lokalen Break-Glass-Account nur für Notfälle verwenden. - Shared Secret lang und zufällig wählen, nicht „cisco123“ oder ähnlich. - SSH-Schlüssel mit mindestens 3072 Bit erzeugen. - `exec-timeout` setzen, damit offene Admin-Sessions nicht ewig aktiv bleiben. - Wenn möglich, RADIUS-Accounting aktivieren, damit Anmeldungen nachvollziehbar sind. Cisco unterstützt dafür AAA-Accounting in derselben AAA-Architektur. ([cisco.com](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html)) ## Sichere Reihenfolge beim Ausrollen 1. Lokalen Admin testen. 2. Erreichbarkeit des RADIUS-Servers vom Management-VLAN prüfen. 3. AAA und RADIUS konfigurieren. 4. SSH lokal testen. 5. Erst danach `line vty` auf die neue Method-List umstellen. 6. Zweite SSH-Session offen lassen, bis der Test erfolgreich war. Das ist der praktische Unterschied zwischen einer funktionierenden und einer betriebssicheren Konfiguration. Für die Cisco-spezifischen Details zu AAA-Method-Lists und SSH auf IOS-XE 17.15 sind die relevanten Primärquellen die [AAA-Konfiguration für Catalyst 9300](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_authentication.html) und die [SSH-Konfiguration für Catalyst 9300](https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/sec/b_1715_sec_9300_cg/configuring_secure_shell__ssh_.html).

Kategorie: Technik Tags: Cisco Radius SSH

Verwandte Fragen

Wie richte ich RADIUS DTLS mit Cisco ISE 3.4 und Catalyst 9300 unter IOS XE 17.15.05 ein?

RADIUS DTLS zwischen Cisco ISE 3.4 und einem Catalyst 9300 mit IOS XE 17.15.05 richtest du nicht nur mit einem Shared Secret ein, sondern zusätzlich mit Zertifikaten auf beiden Seiten; genau dara...

Wie richte ich eine sichere SSH-Benutzerauthentifizierung auf einem Cisco Catalyst 9300 mit IOS-XE 17.15.05 ein?

Sicher richtest du SSH-Zugriff auf einem Catalyst 9300 nicht nur mit transport input ssh ein, sondern mit lokaler AAA-Authentifizierung, einem echten Admin-User mit Secret, SSHv2, RSA-Schlüsseln...

Wie richte ich es mit einem RADIUS-Server ein?

Mit einem RADIUS-Server richtest du zentrale Anmeldung für WLAN, VPN oder Netzwerkzugang ein; entscheidend ist, dass der Netzwerkdienst als Client mit dem RADIUS-Server spricht und der Server die...

Wie richte ich auf einem Cisco Switch mit IOS-XE 17.15.05 einen Cisco-ISE-Trustpoint ein?

Einen ISE-Trustpoint richtest du auf IOS‑XE 17.15.05 nicht „für ISE allgemein“ ein, sondern immer für einen konkreten Zweck: entweder damit der Switch der ISE-CA vertraut, oder d...