Sécurité et VPN : Service RADIUS (Remote Authentication Dial-In User Service)

Configuration de l'accès commuté RADIUS avec l'authentification de serveur Livingston

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document aide la première fois qu'utilisateur RADIUS dans la façon installer et mettre au point une configuration RADIUS d'accès distant avec l'authentification à un serveur Livingston RADIUS. Ce n'est pas une description exhaustive des capacités de RAYON de logiciel de Ý de Cisco IOS. La documentation de Livingston est fournie par le site Web de Lucent Technologies. La configuration de routeur est identique n'importe ce que le serveur vous les utilisent.

Cisco offre le code de RAYON dans le Cisco Secure ACS pour Windows, Cisco Secure UNIX, ou le Cisco Access Registrar. La configuration de routeur dans ce document a été développée sur une version du logiciel Cisco IOS courante 11.3.3 de routeur. La version du logiciel Cisco IOS 12.0.5.T et les utilisations postérieures groupent le rayon au lieu du rayon. Par conséquent, les déclarations telles que le radius enable d'aaa authentication login default apparaissent en tant que radius enable de groupe d'aaa authentication login default. Référez-vous aux informations de RAYON dans la documentation Cisco IOS pour des détails sur des commandes de routeur de RAYON.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version du logiciel Cisco IOS 11.3.3

  • Livingston RADIUS

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour trouver plus d'informations sur les commandes utilisées dans ce document.

Configuration

Ce document utilise la configuration suivante :

Configuration du routeur
!
aaa new-model
aaa authentication login default radius enable
aaa authentication ppp default if-needed radius
aaa authorization network default radius
enable password cisco
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!

!--- CHAP/PPP authentication user:

 interface Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
!

!--- PAP/PPP authentication user:

 interface Async2
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication pap
!

!--- Login authentication user with autocommand PPP:

 interface Async3
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
!
ip local pool async 10.6.100.101 10.6.100.103
radius-server host 171.68.118.101
radius-server timeout 10
radius-server key cisco
!
line 1
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 2
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 3
 session-timeout 20
 exec-timeout 120 0
 autoselect during-login
 autoselect ppp
 script startup default
 script reset default
 modem Dialin
 autocommand ppp
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
end

Fichier de clients sur le serveur

Remarque: Ceci assume le Livingston RADIUS.

# Handshake with router--router needs "radius-server key cisco":
10.29.1.3 cisco

Fichier d'utilisateurs sur le serveur

Remarque: Ceci assume le Livingston RADIUS.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned from pool on router
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/pap authentication line 2
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
papuser Password = "papuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned by server
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

# ppp/pap authentication line 2
# address assigned by server
papadd Password = "papadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.11

# authentication user line 3
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
authauto = "authauto"
User-Service-Type = Login-User

Microsoft Windows a installé pour les lignes d'utilisateurs 1 et 2

Remarque: La configuration de PC peut varier légèrement basé sur la version du système d'exploitation que vous utilisez.

  1. Sélectionnez le début > le Programs > Accessories > Dial Up Networking.

  2. Les connexions choisies > établissent le nouveau rapport et écrivent un nom pour votre connexion.

  3. Écrivez vos informations de modem-particularité. Sous configurez > général choisissent la vitesse la plus élevée de votre modem, mais ne cochent pas la case au-dessous de ceci.

  4. Choisi configurez > connexion, et bits de données de l'utilisation 8, aucune parité, et 1 bit d'arrêt. Pour des préférences d'appel, sélectionnez l'attente la tonalité avant la composition, et annulez l'appel sinon connecté après 200 secondes.

  5. Sélectionnez seulement le contrôle de flux matériel et le type de modulation norme pour avancé.

  6. Sous configurez > des options que rien ne devrait être vérifié excepté sous le contrôle d'état. Cliquez sur OK.

  7. Introduisez le numéro de téléphone de la destination, puis cliquez sur Next et terminez.

  8. Une fois que la nouvelle icône de connexion apparaît, cliquez avec le bouton droit là-dessus et sélectionnez Properties > le type de serveur.

  9. Choisissez le PPP : Le WINDOWS 95, WINDOWS NT 3.5, Internet et ne vérifie aucune option avancée. TCP/IP de contrôle au moins sous des protocoles réseau permis.

  10. Choisissez l'adresse IP assignée par serveur, les adresses de Serveur de noms assignées par serveur, et la passerelle par défaut d'utilisation sur le réseau distant sous des configurations TCP/IP. Cliquez sur OK.

  11. Quand l'utilisateur double-cliquer l'icône pour évoquer le connecter à la fenêtre pour composer, l'utilisateur doit compléter les champs de nom d'utilisateur et de mot de passe, et puis clique sur se connectent.

Microsoft Windows a installé pour la ligne de l'utilisateur 3

La configuration pour la ligne de l'utilisateur 3 (utilisateur d'authentification avec le PPP d'autocommand) est identique que pour la ligne d'utilisateurs 1 et 2. L'exception est de vérifier apportent le terminal window après composition de la fenêtre de configurer > d'options.

Quand vous double-cliquer l'icône pour évoquer le connecter à la fenêtre pour composer, ne complétez pas les champs de nom d'utilisateur et de mot de passe. Cliquez sur Connect. Après que le rapport au routeur soit établi, l'entrer le nom d'utilisateur et mot de passe dans la fenêtre noire qui apparaît. Le clic continuent (F7) après authentification.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Commandes de dépannage de routeur

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • terminal monitor — Les affichages mettent au point des messages d'erreur de sortie de commande et de système pour le terminal et la session en cours.

  • debug ppp negotiation — Paquets PPP d'affichages envoyés pendant le startup de PPP, où des options PPP sont négociées.

  • paquet de debug ppp — Affiche les paquets PPP qui sont envoyés et reçus. (Cette commande affiche des vidages mémoire de paquet à bas niveau.)

  • debug ppp chap — Affiche des informations au sujet de si un client passe l'authentification (pour des versions du logiciel Cisco IOS plus tôt que 11.2).

  • debug aaa authentication — Affiche des informations sur l'authentification AAA/TACACS+.

  • autorisation de debug aaa — Affiche des informations sur l'autorisation AAA/TACACS+.

Serveur

Remarque: Ceci assume le code de serveur Unix de Livingston.

radiusd -x -d <full_path_to_users_clients_dictionary>

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 8537