セキュリティと VPN : リモート認証ダイヤルイン ユーザ サービス(RADIUS)

Livingston サーバ認証を使用する RADIUS ダイヤルアップ の設定

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントは、Livingston RADIUS サーバへの認証を使用したダイヤルイン RADIUS 設定の設定およびデバッグについて、新規 RADIUS ユーザを支援します。 それは Cisco IOS の網羅的な記述ではないですか。 ソフトウェア RADIUS機能。 Livingston のドキュメントは Lucent Technologies の Web サイトから入手できます。 ルータの設定は、使用するサーバに関係なく同一です。

Cisco は Cisco Secure ACS for Windows、Cisco Secure UNIX、または Cisco アクセス レジストラの RADIUSコードを提供します。 この資料のルータコンフィギュレーションは Cisco IOS Software release 11.3.3 を実行するルータで作成されました。 radius の代りの Cisco IOS ソフトウェア リリース 12.0.5.T およびそれ以降使用 group radius。 従って、aaa authentication login default radius enable のような文は aaa authentication login default group radius enable として現われます。 RADIUS ルータ コマンドの詳細については、Cisco IOS マニュアルの RADIUS 情報を参照してください。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS Software release 11.3.3

  • リビングストンRADIUS

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

設定

このドキュメントでは次の設定を使用しています。

ルータの設定
!
aaa new-model
aaa authentication login default radius enable
aaa authentication ppp default if-needed radius
aaa authorization network default radius
enable password cisco
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!

!--- CHAP/PPP authentication user:

 interface Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
!

!--- PAP/PPP authentication user:

 interface Async2
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode dedicated
 peer default ip address pool async
 no cdp enable
 ppp authentication pap
!

!--- Login authentication user with autocommand PPP:

 interface Async3
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
!
ip local pool async 10.6.100.101 10.6.100.103
radius-server host 171.68.118.101
radius-server timeout 10
radius-server key cisco
!
line 1
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 2
 session-timeout 20
 exec-timeout 120 0
 script startup default
 script reset default
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line 3
 session-timeout 20
 exec-timeout 120 0
 autoselect during-login
 autoselect ppp
 script startup default
 script reset default
 modem Dialin
 autocommand ppp
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
end

サーバのクライアントファイル

This assumes Livingston Radius.

# Handshake with router--router needs "radius-server key cisco":
10.29.1.3 cisco

サーバ上のユーザファイル

This assumes Livingston Radius.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned from pool on router
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/pap authentication line 2
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
papuser Password = "papuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP

# ppp/chap authentication line 1 - password must be cleartext per chap rfc 1994
# address assigned by server
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

# ppp/pap authentication line 2
# address assigned by server
papadd Password = "papadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.11

# authentication user line 3
# address assigned from pool on router
# Can also have 'Password = "UNIX" which uses /etc/passwd
authauto = "authauto"
User-Service-Type = Login-User

ユーザライン1 および2向けの Microsoft Windowsセットアップ

PC 設定は使用するオペレーティングシステムのバージョンにわずかに基づいて変わることができます。

  1. Start > Programs > Accessories > Dial-Up Networking の順に選択 して下さい。

  2. 接続の名前を Connections > Make New Connection の順に選択 し、入力して下さい。

  3. モデム別の情報を入力して下さい。 の下で > 一般選択しましたりモデムの最高速度を、しかしこれの下でチェックしませんボックスを設定して下さい

  4. Configure > Connection の順に選択 し、8 データビットno parity および 1 つのストップ・ビットを使用して下さい。 コール プリファレンスに関しては、200 秒後に接続できない場合は『Wait for dial tone before dialing』 を選択 し、コールを取り消して下さい

  5. 高度にハードウェアフロー制御だけおよび変調タイプ規格を選択して下さい。

  6. の下で > 何も Status Control の下でを除いてチェックする必要がないオプション設定して下さい。 [OK] をクリックします。

  7. 宛先の電話番号を入力し、そして『Next』 をクリック し、終えて下さい

  8. 新しい接続 アイコンが現われたら、それを右クリックし、> サーバタイプ 『Properties』 を選択 して下さい。

  9. 『PPP』 を選択 して下さい: WINDOWS 95 は、WINDOWS NT 3.5、インターネット高度オプションをチェックしないし。 許可されたネットワークプロトコルの下で少なくとも TCP/IP をチェックして下さい。

  10. デフォルト ゲートウェイ TCP/IP 設定の下のリモートネットワークの『Server assigned IP address』 を選択 し、サーバの割り当てたネームサーバアドレス 使用。 [OK] をクリックします。

  11. ユーザが始動にダイヤルするためにアイコンを Connect To ウィンドウ ダブルクリックするときユーザはユーザネームおよび Password フィールドを記入する必要があり次に『Connect』 をクリック します。

ユーザライン3の向けの Microsoft Windowsセットアップ

ユーザラインのための設定はユーザ ラインのため 1 および 2.と(autocommand PPP の認証ユーザ)同じです。 例外は設定 > Options ウィンドウからの Bring up terminal window after dialing をチェックすることです。

始動にダイヤルするためにアイコンを Connect To ウィンドウ ダブルクリックするときユーザネームおよび Password フィールドを記入しないで下さい。 [Connect] をクリックします。 ルータへの接続がなされた後、現われる黒い ウィンドウの入力ユーザ名 および パスワード。 認証の後で『Continue (F7)』 をクリック して下さい。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ルータ トラブルシューティング コマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • terminal monitor - 現在の端末およびセッションの debug コマンドの出力とシステム エラー メッセージを表示します。

  • debug ppp negotiation — PPP オプションがネゴシエートされる PPP 始動の間に送信される PPP パケットを表示する。

  • debug ppp packet —送信され、受信される PPP パケットを表示する。 (このコマンドは、下位レベルのパケット ダンプを表示します。)

  • クライアントが認証を取得するかについて debug ppp chap — 情報を表示する(より 11.2)先の Cisco IOS ソフトウェア リリースのために。

  • debug aaa authentication:AAA/TACACS+ 認証に関する情報を表示します。

  • debug aaa authorization:AAA/TACACS+ 許可に関する情報を表示します。

server

これは Livingston の UNIXサーバ コードを使用します。

radiusd -x -d <full_path_to_users_clients_dictionary>

関連情報


Document ID: 8537