Segurança e VPN : Remote Authentication Dial-In User Service (RADIUS)

Configuring RADIUS Dial-Up with Livingston Server Authentication

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento ajuda a primeira vez que usuário RADIUS em como estabelecer e debugar uma configuração RADIUS do discado com autenticação a um servidor RADIUS Livingston. Não é uma descrição exaustiva dos recursos de RADIUS do software do � do Cisco IOS. A documentação livingston está disponível do site do LUCENT TECHNOLOGIES. A configuração de roteador é a mesma não importa o que o server você se usa.

Cisco oferece o código radius no Cisco Secure ACS for Windows, no Cisco UNIX seguro, ou no Cisco Access Registrar. A configuração de roteador neste documento foi desenvolvida em um Cisco IOS Software Release 11.3.3 running do roteador. O Cisco IOS Software Release 12.0.5.T e Mais Recente usa o raio de grupo em vez do raio. Consequentemente, as indicações tais como o raio padrão da autentificação de login aaa permitem aparecem como o habilitado para radius do grupo padrão da autentificação de login aaa. Refira a informação radius na documentação IOS Cisco para detalhes em comandos router do RAIO.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco IOS Software Release 11.3.3

  • Radius livingston

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a ferramenta Command Lookup Tool (apenas para clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Configuração

Este documento utiliza esta configuração:

Configuração do roteador
!
aaa new-model
aaa authentication login default radius enable
aaa authentication ppp default if-needed radius
aaa authorization network default radius
enable password cisco
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!

!--- CHAP/PPP authentication user:

 interface Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
!

!--- PAP/PPP authentication user:

 interface Async2
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication pap
!

!--- Login authentication user with autocommand PPP:

 interface Async3
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
!
ip local pool async 10.6.100.101 10.6.100.103
radius-server host 171.68.118.101
radius-server timeout 10
radius-server key cisco
!
line 1
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 2
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 3
 session-timeout 20
 exec-timeout 120 0
 autoselect during-login
 autoselect ppp
 script startup default
 script reset default
 modem Dialin
 autocommand ppp
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
end

Arquivo dos clientes no servidor

Nota: Isso assume Livingston RADIUS.

# Handshake with router--router needs "radius-server key cisco":
10.29.1.3 cisco

Arquivo de usuários no servidor

Nota: Isso assume Livingston RADIUS.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned from pool on router
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/pap authentication line 2
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
papuser Password = "papuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned by server
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

# ppp/pap authentication line 2
# address assigned by server
papadd Password = "papadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.11

# authentication user line 3
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
authauto = "authauto"
User-Service-Type = Login-User

Configuração do Microsoft Windows para linhas de usuários 1 e 2

Nota: A configuração do PC pode variar baseado levemente na versão do sistema operacional que você se usa.

  1. Selecione o iniciar > programas > acessórios > rede dial-up.

  2. Selecione conexões > Make New Connection e dê entrada com um nome para sua conexão.

  3. Entre em seu informação específico de modem. Sob configurar > general escolhem a velocidade a mais alta de seu modem, mas não verificam a caixa abaixo desta.

  4. Seleto configurar > conexão, e bit de dados do uso 8, nenhuma paridade, e 1 bit de interrupção. Para preferências de chamada, selecione a espera para o tom de discagem antes de discar, e cancele o atendimento se não conectado após 200 segundos.

  5. Selecione o padrão somente do controle de fluxo de hardware e do tipo de modulação para avançado.

  6. Sob configurar > opções que nada deve ser verificado exceto sob o controle de status. Clique em OK.

  7. Entre no número de telefone do destino, a seguir clique-o em seguida e termine-o.

  8. Uma vez que o ícone da nova conexão aparece, clicar com o botão direito nele e selecione propriedades > tipo de servidor.

  9. Escolha o PPP: O WINDOWS 95, WINDOWS NT 3.5, Internet e não verifica nenhuma opções avançada. Verifique pelo menos o TCP/IP sob protocolos de rede permitidos.

  10. Escolha o endereço IP atribuído do server, o gateway padrão dos endereços de servidor de nome designado de servidor, e do uso na rede remota sob ajustes TCP/IP. Clique em OK.

  11. Quando o usuário faz duplo clique o ícone para trazer acima a conexão ao indicador para discar, o usuário deve preencher os campos do nome de usuário e de senha, e clica então conecta.

Configuração do Microsoft Windows para Linha 3 do usuário

A configuração para a linha de usuário 3 (usuário de autenticação com comando automático PPP) é a mesma que para a linha de usuários 1 e 2. A exceção é verificar traz acima a janela terminal após discar configurar > da janela de opções.

Quando você faz duplo clique o ícone para trazer acima a conexão ao indicador para discar, não preencha os campos do nome de usuário e de senha. Clique em Conectar. Depois que a conexão ao roteador é feita, a entrada o nome de usuário e senha na janela preta que aparece. O clique continua (F7) após a autenticação.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Comandos de Troubleshooting do roteador

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • monitor terminal — Indicadores comando debug e mensagens de erro de sistema para o terminal atual e a sessão.

  • debugar a negociação ppp — Indica os pacotes PPP enviados durante a inicialização de PPP, onde as opções de PPP são negociadas.

  • debugar o pacote ppp — Indica os pacotes PPP que são enviados e recebidos. (Este comando mostra cópias parciais da memória de pacote de nível baixo.)

  • debugar o PPP chap — Indica a informação sobre se um cliente passa a autenticação (para Cisco IOS Software Release mais cedo de 11.2).

  • debug aaa authentication — Exibe informações sobre autenticação AAA/TACACS+.

  • debug aaa authorization — Exibe informações sobre autorização AAA/TACACS+.

Servidor

Nota: Isto supõe o código de servidor Unix de Livingston.

radiusd -x -d <full_path_to_users_clients_dictionary>

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 8537