安全与 VPN : 远程验证拨入用户服务 (RADIUS)

配置 Livingston 服务器的 RADIUS

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文第一次是安装和调试的打算的协助RADIUS用户RADIUS配置到利文斯通RADIUS服务器。它不是思科IOS� RADIUS功能详尽说明。Livingston文档从朗讯科技网站是可得到。

路由器配置是相同的,不管使用服务器。思科提供在Couscouses NA, Couscouses UNIX或者Cisco Access Registrar的商业可用的RADIUS代码。

此路由器配置在运行Cisco IOS软件版本11.3.3的路由器开发;Release 12.0.5.T及以上版本使用组RADIUS而不是radius,因此语句例如aaa authentication login default radius enable出现作为aaa authentication login default group radius enable

参考在Cisco IOS文档的RADIUS信息关于在RADIUS路由器命令的详细信息。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

验证

完成这些步骤:

  1. 确保您在UNIX服务器的被编译的RADIUS代码。服务器配置假设您使用利文斯通RADIUS服务器代码。路由器配置需要工作与其他服务器编码,但是服务器配置有所不同。必须运行代码, radiusd,作为根。

  2. Livingston RADIUS代码附有将为您的system:定制的三个示例文件clients.example、users.example和字典。这些是在raddb目录通常找到的全部。您能修改这些文件或用户和客户端文件在此结束时文档。全部三个文件在工作目录需要安置。的测验肯定RADIUS服务器从三个文件启动:

    radiusd -x -d (directory_containing_3_files)

    在起始需要的错误打印到屏幕或directory_containing_3_files_logfile。登记命令是从另一个服务器窗口开始的,肯定的RADIUS :

    ps -aux | grep radiusd
    (or ps -ef | grep radiusd)

    您看到两radiusd进程。

  3. 结束radius进程:

    kill -9 highest_radiusd_pid
  4. 在路由器控制台端口上,请开始配置RADIUS。在命令集前输入 enable modeconfigure terminal。此语法保证您最初没有锁定在路由器外面,在的情况下RADIUS在服务器不运行:

    
    !--- Turn on RADIUS
    
    aaa new-model
    enable password whatever
    
    !--- These are lists of authentication methods,
    !--- that is, "linmethod", "vtymethod", "conmethod" are
    !--- names of lists, and the methods listed on the same 
    !--- lines are the methods in the order to be tried.  As 
    !--- used here, if authentication fails due to the radiusd 
    !--- not being started, the enable password will be
    !--- accepted because it is in each list.
    
    aaa authentication login default radius enable
    aaa authentication login linmethod radius enable
    aaa authentication login vtymethod radius enable
    aaa authentication login conmethod radius enable
    
    !--- Point the router to the server, that is, 
    !--- #.#.#.# is the server IP address.
    
    radius-server host #.#.#.#
    
    !--- Enter a key for handshaking 
    !--- with the RADIUS server:
    
    radius-server key cisco
    line con 0
            password whatever
            
    !--- No time-out to prevent being  
            !--- locked out during debugging.
    
            exec-timeout 0 0
            login authentication conmethod
    line 1 8
            login authentication linmethod
            modem InOut
            transport input all
            rxspeed 38400
            txspeed 38400
            password whatever
            flowcontrol hardware
    line vty 0 4
            password whatever
            
    !--- No time-out to prevent being 
            !--- locked out during debugging.
    
            exec-timeout 0 0
            login authentication vtymethod
  5. remain登陆到路由器到控制台端口,当您登记命令肯定时您能通过Telnet仍然访问路由器,在您继续前。由于radiusd不运行,特权密码需要接受与所有userid。

    警告 警告: 使控制台端口会话保持在活动状态并保持在启用模式。保证此会话不计时。当您做配置更改时,请勿锁定。

    发出这些命令为了发现服务器到路由器交互作用在路由器:

    terminal monitor
    debug aaa authentication
  6. 作为根,请开始在服务器的RADIUS :

    radiusd -x -d (directory_containing_3_files)

    在启动的错误打印对屏幕或directory_containing_3_files_logfile。检查是从另一个服务器窗口开始的肯定的RADIUS :

    Ps -aux | grep radiusd
    (or Ps -ef | grep radiusd)

    您需要看到两radiusd进程。

  7. Telnet (VTY)用户必须通过RADIUS当前验证。使用在路由器和服务器的调试,步骤5和6, Telnet到从网络的另一个部分的路由器里。路由器导致您应答的一用户名和密码提示符:

    ciscousr (username from users file)
    ciscopas (password from users file)

    观察服务器和,例如的路由器,您需要发现RADIUS交互作用什么发送的地方,答复和请求,等等。在您继续前,请更正所有问题。

  8. 如果也希望您的用户通过RADIUS验证进入特权模式,确保您的控制台端口会话仍然是活跃和添加此命令到路由器。

    
    !--- For enable mode, list "default" looks to RADIUS 
    !--- then enable password if RADIUS not running. 
    
    aaa authentication enable default radius enable
  9. 用户需要当前必须通过RADIUS启用。当调试进入在路由器和服务器的,步骤5和6, Telnet从网络的另一个部分的路由器。路由器需要导致您应答的用户名和密码提示符:

    ciscousr (username from users file)
    ciscopas (password from users file)

    当您输入特权模式时,路由器发送用户名$enable15$并且请求密码,您应答:

    shared

    观察服务器和,例如的路由器,您需要发现RADIUS交互作用什么发送的地方,答复和请求,等等。在您继续前,请更正所有问题。

  10. 检查您的控制台端口用户的验证通过RADIUS由远程登录会话的建立到路由器,需要通过RADIUS验证。保持已远程登录的到路由器,并且在特权模式,直到您肯定您能登陆到路由器到控制台端口,您的对路由器的原始连接注销到控制台端口,然后重新连接到控制台端口。登陆和启用的控制台端口认证通过使用在步骤9需要的用户名和密码当前是通过RADIUS。

  11. 当您保持已连接通过远程登录会话或控制台端口和与去在路由器和服务器的调试,步骤5和6时,请建立对线路1.线路用户需要的一个调制解调器连接当前必须通过RADIUS登陆和启用。路由器需要导致您应答的用户名和密码提示符:

    ciscousr (username from users file)
    ciscopas (password from users file)

    当您输入特权模式时,路由器发送用户名$enable15$并且请求密码,您应答:

    shared

    观察服务器和,例如的路由器,您需要发现RADIUS交互作用什么发送的地方,答复和请求,等等。在您继续前,请更正所有问题。

增加记账功能

添加记帐是可选的。

  1. 核算在路由器不发生,除非配置。在路由器的启用帐户在本例中喜欢:

    aaa accounting exec default start-stop radius
    aaa accounting connection default start-stop radius
    aaa accounting network default start-stop radius
    aaa accounting system default start-stop radius
  2. 开始在服务器的RADIUS有核算选项的:

    Start RADIUS on the server with the accounting option: 
  3. 为了看到服务器到路由器交互作用在路由器:

    terminal monitor
    debug aaa accounting
  4. 请访问路由器,当您通过调试时观察服务器和路由器交互作用,然后检查核算目录日志文件。

测试文件

这是用户测试文件:

ciscousr        Password = "ciscopas"
                User-Service-Type = Login-User,
                Login-Host = 1.2.3.4,
                Login-Service = Telnet

$enable15$      Password = "shared"
                User-Service-Type = Shell-User

这是客户端测试文件:

# 1.2.3.4 is the ip address of the client router and cisco is the key
1.2.3.4         cisco

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 8524