Segurança e VPN : Remote Authentication Dial-In User Service (RADIUS)

FreeRADIUS usou-se para o acesso administrativo no exemplo da configuração do IOS da Cisco

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como configurar a autenticação RADIUS no Switches do ® do Cisco IOS com um servidor Radius da terceira parte (FreeRADIUS). Este exemplo cobre a colocação de um usuário diretamente no modo do privilégio 15 em cima da autenticação.

Contribuído por Minakshi Kumar, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Assegure-se de que você tenha seu switch Cisco definido como um cliente em FreeRADIUS com o endereço IP de Um ou Mais Servidores Cisco ICM NT e a mesma chave secreta compartilhada definidos em FreeRADIUS e no interruptor.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • FreeRADIUS
  • Versão do Cisco IOS 12.2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Configurar um interruptor para a authentication e autorização

  1. A fim criar um usuário local no interruptor com os privilégios completos para o acesso da reserva, entre:
    Switch(config)#username admin privilege 15 password 0 cisco123!
  2. A fim permitir o AAA, entre:
    switch(config)# aaa new-model
  3. A fim fornecer o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Radius assim como da chave, entre:
    switch# configure terminal
    switch(config)#radius-server host 172.16.71.146 auth-port 1645 acct-port 1646
    switch(config)#radius-server key hello123

    Nota: A chave deve combinar o segredo compartilhado configurado no servidor Radius para o interruptor.

  4. A fim testar a Disponibilidade do servidor Radius, inscreva o comando aaa do teste:
    switch# test aaa server Radius 172.16.71.146 user1 Ur2Gd2BH

    A autenticação de teste falha com uma rejeção do server porque não é configurada ainda, mas confirmará que o server próprio é alcançável.
  5. A fim configurar autenticações de login para cair de volta aos usuários locais se o RAIO é inacessível, entre:
    switch(config)#aaa authentication login default group radius local
  6. A fim configurar a autorização para um nível de privilégio de 15, enquanto um usuário é autenticado, entre:
    switch(config)#aaa authorization exec default group radius if-authenticated

Configuração de FreeRADIUS

Defina o cliente no server de FreeRADIUS

  1. A fim navegar ao diretório de configuração, entre:
    # cd /etc/freeradius
  2. A fim editar o arquivo clients.conf, entre:
    # sudo nano clients.conf
  3. A fim adicionar cada dispositivo (roteador/interruptor) identificado pelo hostname e incluir o segredo compartilhado correto, entre:
    client 192.168.1.1 {
    secret = secretkey
    nastype = cisco
    shortname = switch
    }
  4. A fim editar o arquivo de usuários, entre:
    # sudo nano users
  5. Adicionar cada usuário permitido alcançar o dispositivo. Este exemplo demonstra como ajustar um nível de privilégio do Cisco IOS de 15 para o usuário “Cisco.”
    cisco Cleartext-Password := "password"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=15"
  6. A fim reiniciar FreeRADIUS, entre:
    # sudo /etc/init.d/freeradius restart
  7. A fim mudar o grupo de usuário padrão no arquivo de usuário a fim dar todos os usuários que são membros do Cisco-RW um um nível de privilégio de 15, entre:
    DEFAULT Group == cisco-rw, Auth-Type = System
    Service-Type = NAS-Prompt-User,
    cisco-avpair :="shell:priv-lvl=15"
  8. Você pode adicionar outros usuários a níveis de privilégio diferentes como necessários no arquivo de usuários de FreeRADIUS. Por exemplo, este usuário (vida) é dado um nível de 3 (manutenção de sistema):
    sudo nano/etc/freeradius/users

    life Cleartext-Password := "testing"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=3"

    Restart the FreeRADIUS service:
    sudo /etc/init.d/freeradius restart

Nota: A configuração neste documento é baseada em FreeRADIUS é executado em Ubuntu 12.04 LTE e 13.04.

Verificar

A fim verificar a configuração no interruptor, use estes comandos:

switch# show  run | in radius       (Show the radius configuration)
switch# show run | in aaa (Show the running AAA configuration)
switch# show startup-config Radius (Show the startup AAA configuration in
start-up configuration)

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas



Document ID: 116291