Seguridad y VPN : Remote Authentication Dial-In User Service (RADIUS)

Configuración de RADIUS con el servidor Livingston

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento se piensa para ayudar la primera vez al usuario de RADIUS en configurar y hacer el debug de una configuración de RADIUS a un servidor Livingston RADIUS. No es una descripción exhaustiva de las capacidades de RADIUS de Cisco IOS�. La documentación de Livingston es disponible desde el sitio web de Lucent Technologies.

La configuración del router es lo mismo no importa qué se utiliza el servidor. Cisco ofrece el código RADIUS disponible en el comercio en Couscouses NA, couscouses UNIX, o Cisco Access Registrar.

Esta configuración del router fue desarrollada en un router que funciona con el Cisco IOS Software Release 11.3.3; La versión 12.0.5.T y posterior utiliza el RADIUS de grupo en vez del radio, así que las declaraciones tales como permiso del RADIUS predeterminado de la conexión con el sistema de autenticación aaa aparecen como grupo predeterminado de la conexión con el sistema de autenticación aaa Habilitar Radius.

Refiera a la información de RADIUS en la documentación sobre Cisco IOS para los detalles en los comandos router RADIUS.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Autenticación

Complete estos pasos:

  1. Aseegurele el código RADIUS compilado en el servidor Unix. Las Configuraciones del servidor asumen que usted utiliza el código de servidor Livingston RADIUS. Las configuraciones del router necesitan trabajar con el otro código de servidor pero las Configuraciones del servidor diferencian. El código, radiusd, se debe funcionar con como raíz.

  2. El código del Livingston RADIUS viene con tres archivos de ejemplo que deban ser personalizados para su sistema: clients.example, users.example, y diccionario. Éstos son todos encontrados generalmente en el directorio del raddb. Usted puede modificar estos archivos o los usuarios y los archivos de los clientes en el extremo de este documento. Los tres archivos necesitan ser puestos en un directorio en funcionamiento. Pruebe para estar seguro el comienzo del servidor de RADIUS con los tres archivos:

    radiusd -x -d (directory_containing_3_files)

    Errores en la necesidad de lanzamiento de ser impreso a la pantalla o al directory_containing_3_files_logfile. Orden del incorporar ser RADIUS seguro comenzado, de otra ventana del servidor:

    ps -aux | grep radiusd
    (or ps -ef | grep radiusd)

    Usted ve dos procesos del radiusd.

  3. Mate al proceso del radio:

    kill -9 highest_radiusd_pid
  4. En el puerto de la consola del router, comience a configurar el RADIUS. Ingrese el enable mode y el tipo configuró terminal antes del comando set. Este sintaxis se asegura de que usted no sea router bloqueado de los inicialmente, dado que el RADIUS no se ejecuta en el servidor:

    
    !--- Turn on RADIUS
    
    aaa new-model
    enable password whatever
    
    !--- These are lists of authentication methods,
    !--- that is, "linmethod", "vtymethod", "conmethod" are
    !--- names of lists, and the methods listed on the same 
    !--- lines are the methods in the order to be tried.  As 
    !--- used here, if authentication fails due to the radiusd 
    !--- not being started, the enable password will be
    !--- accepted because it is in each list.
    
    aaa authentication login default radius enable
    aaa authentication login linmethod radius enable
    aaa authentication login vtymethod radius enable
    aaa authentication login conmethod radius enable
    
    !--- Point the router to the server, that is, 
    !--- #.#.#.# is the server IP address.
    
    radius-server host #.#.#.#
    
    !--- Enter a key for handshaking 
    !--- with the RADIUS server:
    
    radius-server key cisco
    line con 0
            password whatever
            
    !--- No time-out to prevent being  
            !--- locked out during debugging.
    
            exec-timeout 0 0
            login authentication conmethod
    line 1 8
            login authentication linmethod
            modem InOut
            transport input all
            rxspeed 38400
            txspeed 38400
            password whatever
            flowcontrol hardware
    line vty 0 4
            password whatever
            
    !--- No time-out to prevent being 
            !--- locked out during debugging.
    
            exec-timeout 0 0
            login authentication vtymethod
  5. Remain abrió una sesión al router a través del puerto de la consola mientras que usted orden del incorporar a estar segura que usted puede todavía acceder al router con Telnet antes de que usted continúe. Porque el radiusd no se está ejecutando, la contraseña habilitada necesita ser validada con cualquier userid.

    precaución Precaución: Mantenga a la sesión de puerto de la consola activa y permanezca en el enable mode. Asegúrese de que esta sesión no mida el tiempo hacia fuera. No se bloquee hacia fuera mientras que usted realiza los cambios de configuración.

    Publique estos comandos para ver el servidor a la interacción del router en el router:

    terminal monitor
    debug aaa authentication
  6. Como raíz, comience el RADIUS en el servidor:

    radiusd -x -d (directory_containing_3_files)

    Los errores en el lanzamiento se imprimen a la pantalla o al directory_containing_3_files_logfile. Marque para ser RADIUS seguro comenzado de otra ventana del servidor:

    Ps -aux | grep radiusd
    (or Ps -ef | grep radiusd)

    Usted necesita ver dos procesos del radiusd.

  7. Los usuarios de Telnet (vty) ahora tienen que autenticar con el RADIUS. Con el debug en el router y el servidor, los pasos 5 y 6, Telnet en el router de otra parte de la red. El router produce un prompt del nombre de usuario y contraseña al cual usted conteste:

    ciscousr (username from users file)
    ciscopas (password from users file)

    Mire el servidor y al router donde usted necesita ver la interacción RADIUS, por ejemplo, se está enviando qué donde, las respuestas, y las peticiones, y así sucesivamente. Corrija cualquier problema antes de que usted continúe.

  8. Si usted también quisiera que sus usuarios autenticaran con el RADIUS para conseguir en el enable mode, aseegure a su sesión de puerto de la consola sigue siendo active y agrega este comando al router.

    
    !--- For enable mode, list "default" looks to RADIUS 
    !--- then enable password if RADIUS not running. 
    
    aaa authentication enable default radius enable
  9. La necesidad de usuarios ahora tuvo que habilitar con el RADIUS. Con el debug entrando en el router y el servidor, los pasos 5 y 6, Telnet el router de otra parte de la red. El router necesita producir un prompt del nombre de usuario y contraseña al cual usted conteste:

    ciscousr (username from users file)
    ciscopas (password from users file)

    Cuando usted ingresa el enable mode, el router envía el nombre de usuario $enable15$ y pide una contraseña, a la cual usted contesta:

    shared

    Mire el servidor y al router donde usted necesita ver la interacción RADIUS, por ejemplo, se está enviando qué donde, las respuestas, y las peticiones, y así sucesivamente. Corrija cualquier problema antes de que usted continúe.

  10. Marque para saber si hay autenticación de sus usuarios del puerto de la consola con el RADIUS por el establecimiento de una sesión telnet al router, que las necesidades de autenticar con el RADIUS. Permanece el telnetted en el router y en el enable mode hasta que usted esté seguro que usted puede iniciar sesión al router a través del puerto de la consola, el logout de su conexión original al router a través del puerto de la consola, y entonces vuelve a conectar al puerto de la consola. Autenticación de puerto de consola a iniciar sesión y a habilitar con el uso de las identificaciones del usuario y contraseña en la necesidad del paso 9 ahora de estar con el RADIUS.

  11. Mientras que usted sigue conectado a través de una sesión telnet o del puerto de la consola y con el debug que va en el router y el servidor, los pasos 5 y 6, establezca una conexión del módem para alinear 1. líneas necesidad de usuarios ahora tuvieron que iniciar sesión y habilitar con el RADIUS. El router necesita producir un prompt del nombre de usuario y contraseña al cual usted conteste:

    ciscousr (username from users file)
    ciscopas (password from users file)

    Cuando usted ingresa el enable mode, el router envía el nombre de usuario $enable15$ y pide una contraseña, a la cual usted contesta:

    shared

    Mire el servidor y al router donde usted necesita ver la interacción RADIUS, por ejemplo, se está enviando qué donde, las respuestas, y las peticiones, y así sucesivamente. Corrija cualquier problema antes de que usted continúe.

Incorporación de contabilidad

La Incorporación de contabilidad es opcional.

  1. Las estadísticas no ocurren a menos que estén configuradas en el router. Habilite las estadísticas en el router como en este ejemplo:

    aaa accounting exec default start-stop radius
    aaa accounting connection default start-stop radius
    aaa accounting network default start-stop radius
    aaa accounting system default start-stop radius
  2. Comience el RADIUS en el servidor con la opción de las estadísticas:

    Start RADIUS on the server with the accounting option: 
  3. Para ver el servidor a la interacción del router en el router:

    terminal monitor
    debug aaa accounting
  4. Acceda al router mientras que usted observa el servidor y la interacción del router con el debug, y después marque el directorio de las estadísticas para los archivos del registro.

Archivos de prueba

Éste es los archivos de prueba de los usuarios:

ciscousr        Password = "ciscopas"
                User-Service-Type = Login-User,
                Login-Host = 1.2.3.4,
                Login-Service = Telnet

$enable15$      Password = "shared"
                User-Service-Type = Shell-User

Éste es los archivos de prueba de los clientes:

# 1.2.3.4 is the ip address of the client router and cisco is the key
1.2.3.4         cisco

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 8524