安全与 VPN : 远程验证拨入用户服务 (RADIUS)

FreeRADIUS使用了在Cisco IOS配置示例的管理访问

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何配置在Cisco IOS交换机的RADIUS验证用第三方RADIUS服务器(FreeRADIUS)。此示例包括用户的放置直接地到权限15模式在验证。

贡献用Minakshi库马尔, Cisco TAC工程师。

先决条件

要求

保证您安排您的Cisco交换机定义作为客户端在FreeRADIUS用IP地址和同样在FreeRADIUS和交换机定义的共享的密钥。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • FreeRADIUS
  • Cisco IOS版本12.2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

配置认证和授权的交换机

  1. 为了创建交换机的一个本地用户有fallback访问的全双工权限,请输入:
    Switch(config)#username admin privilege 15 password 0 cisco123!
  2. 为了启用AAA,请输入:
    switch(config)# aaa new-model
  3. 为了提供RADIUS服务器以及密钥的IP地址,请输入:
    switch# configure terminal
    switch(config)#radius-server host 172.16.71.146 auth-port 1645 acct-port 1646
    switch(config)#radius-server key hello123

    注意:密钥必须匹配在交换机的RADIUS服务器配置的共享机密。

  4. 为了测试RADIUS服务器可用性,请参与aaa命令的测验
    switch# test aaa server Radius 172.16.71.146 user1 Ur2Gd2BH

    测验验证失效与从服务器的拒绝,因为没有配置,但是确认服务器可及的。
  5. 为了配置登录认证落回到本地用户,如果RADIUS是不可得到的,回车:
    switch(config)#aaa authentication login default group radius local
  6. 为了配置权限级别的授权15,只要用户验证,请输入:
    switch(config)#aaa authorization exec default group radius if-authenticated

FreeRADIUS配置

定义FreeRADIUS服务器的客户端

  1. 为了导航到配置目录,请输入:
    # cd /etc/freeradius
  2. 为了编辑clients.conf文件,请输入:
    # sudo nano clients.conf
  3. 为了添加主机名(路由器/交换机)识别的每个设备和包括正确共享机密,回车:
    client 192.168.1.1 {
    secret = secretkey
    nastype = cisco
    shortname = switch
    }
  4. 为了编辑用户文件,回车:
    # sudo nano users
  5. 添加每个用户允许访问设备。此示例展示如何设置Cisco IOS权限级别15用户的“cisco”。
    cisco Cleartext-Password := "password"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=15"
  6. 为了重新启动FreeRADIUS,回车:
    # sudo /etc/init.d/freeradius restart
  7. 为了更改在用户文件的默认用户用户组为了给是思科RW成员每权限级别15的所有用户,回车:
    DEFAULT Group == cisco-rw, Auth-Type = System
    Service-Type = NAS-Prompt-User,
    cisco-avpair :="shell:priv-lvl=15"
  8. 您在FreeRADIUS用户文件能添加其他用户在不同的权限级别当必要时。例如,此用户(生活)给级别3 (系统维护) :
    sudo nano/etc/freeradius/users

    life Cleartext-Password := "testing"
    Service-Type = NAS-Prompt-User,
    Cisco-AVPair = "shell:priv-lvl=3"

    Restart the FreeRADIUS service:
    sudo /etc/init.d/freeradius restart

注意:在本文的配置根据FreeRADIUS在Ubuntu 12.04 LTE运行和13.04。

验证

为了验证在交换机的配置,请使用这些命令:

switch# show  run | in radius       (Show the radius configuration)
switch# show run | in aaa (Show the running AAA configuration)
switch# show startup-config Radius (Show the startup AAA configuration in
start-up configuration)

故障排除

目前没有针对此配置的故障排除信息。

相关信息



Document ID: 116291