Sécurité et VPN : Service RADIUS (Remote Authentication Dial-In User Service)

FreeRADIUS l'a utilisé pour l'accès administratif sur l'exemple de configuration Cisco IOS

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment configurer l'authentification de RAYON sur des Commutateurs de Cisco IOS® avec un serveur de RAYON de tiers (FreeRADIUS). Cet exemple couvre le placement d'un utilisateur directement dans le mode du privilège 15 lors de l'authentification.

Contribué par Minakshi Kumar, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Assurez-vous que vous faites définir votre commutateur de Cisco en tant que client dans FreeRADIUS avec l'adresse IP et la même chose clé secrète partagée définie sur FreeRADIUS et le commutateur.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • FreeRADIUS
  • Version 12.2 de Cisco IOS

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Configurez un commutateur pour l'authentification et l'autorisation

  1. Afin de créer un utilisateur local sur le commutateur avec de pleins privilèges pour l'accès de retour, entrez :
    Switch(config)#username admin privilege 15 password 0 cisco123!
  2. Afin d'activer l'AAA, entrez :
    switch(config)# aaa new-model
  3. Afin de fournir l'adresse IP du serveur de RAYON aussi bien que de la clé, entrez :
    switch# configure terminal
    switch(config)#radius-server host 172.16.71.146 auth-port 1645 acct-port 1646
    switch(config)#radius-server key hello123

    Remarque: La clé doit apparier le secret partagé configuré sur le serveur de RAYON pour le commutateur.

  4. Afin de tester la disponibilité du serveur de RAYON, sélectionnez la commande d'AAA de test :
    switch# test aaa server Radius 172.16.71.146 user1 Ur2Gd2BH

    Le test d'authentification échoue avec un rejet du serveur parce qu'il n'est pas encore configuré, mais il confirmera que le serveur lui-même est accessible.
  5. Afin de configurer des authentifications de connexion pour retomber aux utilisateurs locaux si le RAYON est inaccessible, entrez :
    switch(config)#aaa authentication login default group radius local
  6. Afin de configurer l'autorisation pour un niveau de privilège de 15, tant que un utilisateur est authentifié, entrez :
    switch(config)#aaa authorization exec default group radius if-authenticated

Configuration de FreeRADIUS

Définissez le client sur le serveur de FreeRADIUS

  1. Afin de naviguer vers le répertoire de la configuration, entrez :
    # cd /etc/freeradius
  2. Afin d'éditer le fichier clients.conf, entrez :
    # sudo nano clients.conf
  3. Afin d'ajouter chaque périphérique (routeur/commutateur) identifié par l'adresse Internet et inclure le secret partagé correct, entrez :
    client 192.168.1.1 {
    secret = secretkey
    nastype = cisco
    shortname = switch
    }
  4. Afin d'éditer le fichier d'utilisateurs, entrez :
    # sudo nano users
  5. Ajoutez chaque utilisateur permis pour accéder au périphérique. Cet exemple explique comment placer un niveau de privilège de Cisco IOS de 15 pour l'utilisateur « Cisco. »
    cisco Cleartext-Password := "password"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=15"
  6. Afin de redémarrer FreeRADIUS, entrez :
    # sudo /etc/init.d/freeradius restart
  7. Afin de changer le groupe d'utilisateurs PAR DÉFAUT dans le fichier d'utilisateur afin de donner tous les utilisateurs qui sont des membres du Cisco-RW par niveau de privilège de 15, entrez :
    DEFAULT Group == cisco-rw, Auth-Type = System
    Service-Type = NAS-Prompt-User,
    cisco-avpair :="shell:priv-lvl=15"
  8. Vous pouvez ajouter d'autres utilisateurs à différents niveaux de privilège comme nécessaire dans le fichier d'utilisateurs de FreeRADIUS. Par exemple, cet utilisateur (vie) est donné un niveau de 3 (maintenance du système) :
    sudo nano/etc/freeradius/users

    life Cleartext-Password := "testing"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=3"

    Restart the FreeRADIUS service:
    sudo /etc/init.d/freeradius restart

Remarque: La configuration dans ce document est basée sur FreeRADIUS exécutent sur Ubuntu 12.04 LTE et 13.04.

Vérifiez

Afin de vérifier la configuration sur le commutateur, utilisez ces commandes :

switch# show  run | in radius       (Show the radius configuration)
switch# show run | in aaa (Show the running AAA configuration)
switch# show startup-config Radius (Show the startup AAA configuration in
start-up configuration)

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116291