セキュリティと VPN : リモート認証ダイヤルイン ユーザ サービス(RADIUS)

Livingston サーバ を使用する RADIUS の設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントは、RADIUS を初めて使用するユーザが Livingston RADIUS サーバに対する RADIUS の設定をセットアップおよびデバッグする際に役立つことを目的としています。 それは Cisco IOS の網羅的な記述ではないですか。 RADIUS機能。 Livingston のドキュメントは Lucent Technologies の Web サイトから入手できます。

ルータコンフィギュレーションはサーバが使用される同じです。 Cisco は Couscouses NA、Couscouses UNIX、または Cisco アクセス レジストラの商用化された RADIUSコードを提供します。

このルータコンフィギュレーションは Cisco IOS Software release 11.3.3 を実行するルータで作成されました; Release 12.0.5.T および それ以降は radius の代りに group radius を使用します、従って aaa authentication login default radius enable のような文は aaa authentication login default group radius enable として現われます。

RADIUS router コマンドの詳細については Cisco IOSドキュメンテーションの RADIUS 情報を参照して下さい。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

認証

次の手順を実行します。

  1. UNIXサーバで RADIUSコードをコンパイルしたことを確かめて下さい。 サーバコンフィギュレーションはリビングストン RADIUS サーバ コードを使用することを前提しています。 ルータコンフィギュレーションは他のサーバコードと機能する必要がありますが、サーバコンフィギュレーションは異なります。 コードは、radiusd、ルートとして実行する必要があります。

  2. リビングストンRADIUS コードはシステムのためにカスタマイズされる 3 つのサンプル ファイルが付いています: clients.example、users.example および辞書。 これらは通常 raddb ディレクトリで見つけられるすべてです。 この資料の終わりにこれらのファイルかユーザおよびクライアント ファイルを修正できます。 3 つのファイルはすべてワーキング ディレクトリに置かれる必要があります。 RADIUSサーバが 3 つのファイルから開始することをことを確かめるためにテストして下さい:

    radiusd -x -d (directory_containing_3_files)

    画面か directory_containing_3_files_logfile に印刷される始動必要のエラー。 別のサーバ ウィンドウから、開始する確実な RADIUS であるために順序をチェックインして下さい:

    ps -aux | grep radiusd
    (or ps -ef | grep radiusd)

    2 つの radiusd プロセスを見ます。

  3. 半径プロセスを強制終了して下さい:

    kill -9 highest_radiusd_pid
  4. ルータ コンソールポートで、RADIUS を設定し始めて下さい。 イネーブル モードへ切り換え、コマンドを設定する前に configure terminal と入力します。 この構文は RADIUS がサーバで動作しないことルータから最初にロックアウトされない、与えられてことを確認します:

    
    !--- Turn on RADIUS
    
    aaa new-model
    enable password whatever
    
    !--- These are lists of authentication methods,
    !--- that is, "linmethod", "vtymethod", "conmethod" are
    !--- names of lists, and the methods listed on the same 
    !--- lines are the methods in the order to be tried.  As 
    !--- used here, if authentication fails due to the radiusd 
    !--- not being started, the enable password will be
    !--- accepted because it is in each list.
    
    aaa authentication login default radius enable
    aaa authentication login linmethod radius enable
    aaa authentication login vtymethod radius enable
    aaa authentication login conmethod radius enable
    
    !--- Point the router to the server, that is, 
    !--- #.#.#.# is the server IP address.
    
    radius-server host #.#.#.#
    
    !--- Enter a key for handshaking 
    !--- with the RADIUS server:
    
    radius-server key cisco
    line con 0
            password whatever
            
    !--- No time-out to prevent being  
            !--- locked out during debugging.
    
            exec-timeout 0 0
            login authentication conmethod
    line 1 8
            login authentication linmethod
            modem InOut
            transport input all
            rxspeed 38400
            txspeed 38400
            password whatever
            flowcontrol hardware
    line vty 0 4
            password whatever
            
    !--- No time-out to prevent being 
            !--- locked out during debugging.
    
            exec-timeout 0 0
            login authentication vtymethod
  5. 続ける前にまだ Telnet によってルータにアクセスできることをことを確かめるために順序をチェックインする間、Remain コンソールポートを通ってルータにログオンしました。 radiusd が動作していないので、イネーブルパスワードはあらゆる USERID と受け入れられる必要があります。

    注意 注意: コンソール ポート セッションをアクティブな状態で維持し、イネーブル モードのままにしておいてください。 このセッションが時間を計らないようにして下さい。 コンフィギュレーション変更を行なう間、あなた自身をロックしないで下さい。

    ルータでルータの 相互対話にサーバを見るためにこれらのコマンドを発行して下さい:

    terminal monitor
    debug aaa authentication
  6. ルートとして、サーバの RADIUS を開始して下さい:

    radiusd -x -d (directory_containing_3_files)

    始動のエラーは画面か directory_containing_3_files_logfile に印刷されます。 別のサーバ ウィンドウから開始する確実な RADIUS であるためにチェックして下さい:

    Ps -aux | grep radiusd
    (or Ps -ef | grep radiusd)

    2 つの radiusd プロセスを見る必要があります。

  7. Telnet (VTY)ユーザは RADIUS によって今認証を受けなければなりません。 ルータおよびサーバのデバッグ、ステップ 5 および 6 を使って、ネットワークの他の一部からのルータへの Telnet。 ルータは答えるユーザ名 および パスワード プロンプトを生成 します:

    ciscousr (username from users file)
    ciscopas (password from users file)

    ところで送信 されて いる何がサーバをおよびたとえば、応答および要求、等 RADIUS 相互作用を確認する必要があるルータを監視して下さい。 問題がある場合は修正してから次へ進みます。

  8. またイネーブル モードに得るためにユーザに確かめるために RADIUS によって認証してほしければコンソールポートセッションは今でもアクティブアクティブこのコマンドをルータに追加するためにであり。

    
    !--- For enable mode, list "default" looks to RADIUS 
    !--- then enable password if RADIUS not running. 
    
    aaa authentication enable default radius enable
  9. 今 RADIUS によって有効に ならなければならないユーザーのニーズは。 ネットワークの他の一部からのルータにルータおよびサーバで、ステップ 5 および 6、Telnet 入るデバッグと。 ルータは答えるユーザ名 および パスワード プロンプトを生成 する必要があります:

    ciscousr (username from users file)
    ciscopas (password from users file)

    モードを enable と入力するとき、ルータはユーザ名 $enable15$ を送信 し、答えるパスワードを要求します:

    shared

    ところで送信 されて いる何がサーバをおよびたとえば、応答および要求、等 RADIUS 相互作用を確認する必要があるルータを監視して下さい。 問題がある場合は修正してから次へ進みます。

  10. RADIUS によって認証する必要ルータに Telnetセッションの確立によって RADIUS によってコンソールポート ユーザの認証があるように確認して下さい。 ルータに Telnet で接続して残せばイネーブル モードでコンソールポートからルータにログインできることをことを確かめるまでコンソールポートを通したルータへの元の接続のログアウトはコンソールポートに、それから再接続し。 今 RADIUS によってあるステップ 9 必要のユーザー ID パスワードの使用によってログインし、有効に なるべきコンソールポート認証。

  11. Telnetセッションかコンソールポートを通っておよびルータおよびサーバで、ステップ 5 および 6 行く間、デバッグと今 RADIUS によってログインし、有効に ならなければならないライン行ユーザーのニーズに 1.モデム接続を確立して下さい。 ルータは答えるユーザ名 および パスワード プロンプトを生成 する必要があります:

    ciscousr (username from users file)
    ciscopas (password from users file)

    モードを enable と入力するとき、ルータはユーザ名 $enable15$ を送信 し、答えるパスワードを要求します:

    shared

    ところで送信 されて いる何がサーバをおよびたとえば、応答および要求、等 RADIUS 相互作用を確認する必要があるルータを監視して下さい。 問題がある場合は修正してから次へ進みます。

アカウンティングの追加

アカウンティングの追加はオプションです。

  1. 会計はルータで設定されて起こりません。 この例ののようなルータの会計をイネーブルにして下さい:

    aaa accounting exec default start-stop radius
    aaa accounting connection default start-stop radius
    aaa accounting network default start-stop radius
    aaa accounting system default start-stop radius
  2. 会計 オプションのサーバの RADIUS を開始して下さい:

    Start RADIUS on the server with the accounting option: 
  3. サーバをルータでルータの 相互対話に見るため:

    terminal monitor
    debug aaa accounting
  4. デバッグによってサーバおよびルータの 相互対話を観察するアクセスし、次にログファイルがあるように会計 ディレクトリを確認して下さい間、ルータに。

テストファイル

これはユーザ テストファイルです:

ciscousr        Password = "ciscopas"
                User-Service-Type = Login-User,
                Login-Host = 1.2.3.4,
                Login-Service = Telnet

$enable15$      Password = "shared"
                User-Service-Type = Shell-User

これはクライアント テストファイルです:

# 1.2.3.4 is the ip address of the client router and cisco is the key
1.2.3.4         cisco

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 8524