安全与 VPN : 远程验证拨入用户服务 (RADIUS)

通过 Livingston 服务器认证配置 RADIUS 拨号

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文协助解决,第一次如何的RADIUS用户设置和调试与验证的一个拨入RADIUS配置到利文斯通RADIUS服务器。它不是Cisco IOS 软件RADIUS功能的详尽说明。Livingston文档从朗讯科技网站是可得到。路由器配置是相同的,不管服务器您使用。

思科提供在Cisco Secure ACS for Windows, Cisco Secure UNIX或者Cisco Access Registrar的RADIUS代码。在本文的路由器配置在路由器运行Cisco IOS软件版本11.3.3开发。Cisco IOS软件版本12.0.5.T及以后用途组RADIUS而不是radius。所以,语句例如aaa authentication login default radius enable出现作为aaa authentication login default group radius enable。参考在Cisco IOS文档的RADIUS信息关于在RADIUS路由器命令的详细信息。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco IOS软件版本11.3.3

  • Livingston RADIUS

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 有关本文档所用命令的详细信息,请使用命令查找工具仅限注册用户)。

配置

本文档使用以下配置:

路由器配置
!
aaa new-model
aaa authentication login default radius enable
aaa authentication ppp default if-needed radius
aaa authorization network default radius
enable password cisco
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!

!--- CHAP/PPP authentication user:

 interface Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
!

!--- PAP/PPP authentication user:

 interface Async2
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication pap
!

!--- Login authentication user with autocommand PPP:

 interface Async3
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
!
ip local pool async 10.6.100.101 10.6.100.103
radius-server host 171.68.118.101
radius-server timeout 10
radius-server key cisco
!
line 1
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 2
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 3
 session-timeout 20
 exec-timeout 120 0
 autoselect during-login
 autoselect ppp
 script startup default
 script reset default
 modem Dialin
 autocommand ppp
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
end

服务器上的客户端文件

注意: 这假设Livingston RADIUS。

# Handshake with router--router needs "radius-server key cisco":
10.29.1.3 cisco

服务器上的用户文件

注意: 这假设Livingston RADIUS。

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned from pool on router
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/pap authentication line 2
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
papuser Password = "papuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned by server
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

# ppp/pap authentication line 2
# address assigned by server
papadd Password = "papadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.11

# authentication user line 3
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
authauto = "authauto"
User-Service-Type = Login-User

用于用户线路 1 和 2 的 Microsoft Windows 设置

注意: PC配置能变化轻微基于您使用的操作系统版本。

  1. 选择Start > Programs > Accessories > Dial-Up Networking

  2. 选择连接> Make New Connection并且输入一名称对于您的连接。

  3. 输入您的特定调制解调器信息。下面请配置>General选择高速度您的调制解调器,但是不在此之下检查方框。

  4. 选择配置>连接和使用8数据位无奇偶校验1个结束位。对于呼叫首选,请选择在拨号前等待拨号音,并且取消呼叫,如果没连接在200秒之后

  5. 选择仅硬件流控制调制类型先进的英文虎报

  6. 下面请配置>不应该检查除了在状态控制下什么都的选项。单击 Ok

  7. 输入目的地的电话号码,然后其次单击并且完成

  8. 一旦新连接图标出现,请用鼠标右键单击对此并且选择Properties > Server Type

  9. 选择PPP :WINDOWS 95, WINDOWS NT 3.5,互联网,并且不检查任何高级选项。检查至少TCP/IP在允许网络协议下。

  10. 选择服务器指定的IP地址服务器分配的域名服务器地址使用默认网关在远程网络在TCP/IP设置下。单击 Ok

  11. 当用户双击图标启动Connect To窗口拨号时,用户必须填写用户名和密码字段,然后单击连接

用于用户线路 3 的 Microsoft Windows 设置

用户线路的3 (有自动命令PPP的认证用户)是相同的象为用户Line1和2.配置。例外是检查从配置>选项窗口的Bring up terminal window after dialing

当您双击图标启动Connect To窗口拨号时,请勿填写用户名和密码字段。单击 Connect。在对路由器的联系被建立后,回车在出现的黑色窗口的用户名和密码。在验证以后单击Continue(F7)

验证

当前没有可用于此配置的验证过程。

故障排除

路由器故障排除命令

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • terminal monitor - 显示当前终端和会话的 debug 命令输出和系统错误消息。

  • debug ppp协商—在PPP启动期间,显示PPP发送的数据包, PPP选项协商。

  • debug ppp packet —显示被发送并且接收的PPP数据包。(此命令显示低级数据包转储信息。)

  • debug ppp chap —显示信息关于客户端是否通过验证(Cisco IOS软件版本早于11.2)。

  • debug aaa authentication - 显示 AAA/TACACS+ 身份验证的信息。

  • debug aaa authorization - 显示有关 AAA/TACACS+ 授权的信息。

服务器

注意: 这假设Livingston的UNIX服务器代码。

radiusd -x -d <full_path_to_users_clients_dictionary>

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 8537